Banken en andere financiële instellingen zijn tegenwoordig prima beveiligd. De keerzijde is dat cybercriminelen zich nu richten op doelen die minder goed beveiligd zijn en waar zich ook waardevolle informatie bevindt, zoals zorginstellingen. Veel zorginstellingen, ook in België leven in de veronderstelling dat ze niet aangevallen zullen worden omdat ze geen bank zijn en ze daarom weinig te vrezen hebben. Zowel het bestuur als de werknemers zijn zich in veel gevallen niet bewust van de security risico’s die direct impact kunnen hebben op de continuïteit en de reputatie van de organisatie. Toch zijn zorginstellingen een geliefkoosd doelwit aan het worden bij cybercriminelen.
Zorginstellingen hebben veel persoonlijke informatie in hun bezit en het is juist die informatie waar cybercriminelen naar op zoek zijn. Deze gegevens worden verhandeld op internet, denk aan identiteitsgegevens van cliënten of patiënten en werknemers en deze informatie levert veel geld op. Medische informatie levert circa 60 dollar per record op en dat is meer dan de circa 40 dollar die bijvoorbeeld kredietkaartinformatie oplevert. Dit geeft dus direct aan wat de waarde is van de informatie die zorginstellingen in handen hebben en de noodzaak om deze te beveiligen.
Laag losgeld
Cybercriminelen zetten onder andere phishingmails in met een link waar medewerkers van een instelling op klikken. Hierdoor kan ransomware geïnstalleerd worden, waarna de zorginstelling geen beschikking meer heeft over bepaalde systemen of documenten. Steeds vaker wordt bericht over malware die in zorginstellingen het gehele proces stilleggen. In Amerika (Hollywood Presbyterian Medical Center), Duitsland (Lukas Krankenhaus in Neuss en Klinikum Arnsberg), maar ook in België zien we zorginstellingen die getroffen worden door cyberincidenten. Zo stonden vorig jaar een maand lang alle patiëntengegevens online van de Algemene Ziekenhuizen van Mechelen en Malle door een slecht beveiligde website.
Het losgeld is vaak aan de lage kant. Het bedraagt veelal maar een of enkele bitcoins. Vanwege de lage bedragen, zal een zorginstelling snel overgaan tot betaling indien er geen andere oplossingen zijn. Dit vooral omdat men zo snel mogelijk weer wil beschikken over de gegijzelde systemen en informatie. Het inhuren van specialisten kost meer. Dit lage losgeld is ook een duidelijke aanwijzing dat er niet doelgericht is aangevallen. Zou de aanvaller een specifieke zorginstelling willen treffen, dan zou hij zonder twijfel meer geld vragen.
Zorginstellingen eenvoudig aan te vallen
Dat het relatief eenvoudig is om een zorginstelling met succes aan te vallen is ook om een andere reden niet zo vreemd. Zorginstellingen, en met name ziekenhuizen, zijn openbare gelegenheden. Er lopen voortdurend mensen in en uit. De systemen staan in tegenstelling tot bij een bank of kantoor vaak open en bloot. Ze zijn een makkelijke prooi. Bovendien wordt steeds meer apparatuur van bezoeker en patiënten aan het netwerk gekoppeld. De ervaring leert dat medische systemen vaak voorzien zijn van standaard wachtwoorden. Ook zijn ze vaak niet up-to-date, waardoor weer risico’s ontstaan. Daarnaast hebben veel medische apparaten zoals MRI scanners en USB bloeddrukmeters geen enkele beveiliging. Wifi-netwerken die niet losgekoppeld zijn van de operationele systemen en kantooromgevingen, vormen eveneens een groot risico.
Continuïteit, imago, wet- en regelgeving
Voor zorginstellingen en met name ziekenhuizen, zijn de belangrijkste bedrijfsrisico’s: verstoring van de continuïteit, imagoschade en het niet voldoen aan de wet- en regelgeving. Ook een schot ‘digitale hagel’ kan die continuïteit ernstig bedreigen en onder andere voor grote imago- en financiële schade zorgen. Patiënten en verwijzers kunnen het vertrouwen verliezen in een zorginstelling en naar andere instellingen overstappen, wat grote gevolgen kan hebben. Daarnaast wil je voorkomen dat apparatuur op een operatiekamer wordt geraakt door ransomware. Dan staat immers de fysieke veiligheid van een patiënt op het spel. Tot slot kan de instelling een forse boete oplopen als blijkt dat er niet aan de wet- en regelgeving is voldaan.
Stapsgewijs naar een realistische oplossing
De bijzondere situatie waarin zorginstellingen verkeren, vraagt om een gefaseerde aanpak. Het is niet realistisch om te verwachten dat met een enorm project binnen een korte tijd alle hier bovengenoemde zaken aangepakt kunnen worden. Alleen al de bewustwording en de cultuurveranderingen kosten de nodige tijd. En dan zijn er ook nog financiële beperkingen en het gebrek aan resources om de maatregelen uit te voeren.
Een duurzame verbetering van de security is in deze situatie haalbaar. Mits men in deelprojecten de maatregelen uitvoert op basis van prioriteit. Aan de hand van een risico-inventarisatie kan bepaald worden welke van die risico’s de grootste impact op de zorginstelling hebben> Die moeten dus als eerste worden aangepakt. Tegelijk kan een traject in gang worden gezet om het security-bewustzijn te bevorderen.
Financieel en organisatorisch haalbaar
Deze aanpak maakt het ook veel makkelijker dan voor een omvangrijk projectbudget vrij te maken. Belangrijk voor het toewijzen van budget is dat de zorginstelling zich moet realiseren dat het hier om relatief nieuwe risico’s gaat. Ze zijn niet inzichtelijk. Ze kunnen direct (continuïteit van de zorg en dus de veiligheid van patiënten) of indirect (verlies vertrouwen patiënten of verwijzers door reputatieschade) tot grote schade leiden.
Breng de risico’s op organisatorisch en technisch gebied in stappen in kaart te brengen. Pak deze op basis van prioriteit op. Ban ze vervolgens waar mogelijk uit. Zo nemen bij de zorginstelling gaandeweg de risico’s af. En wel op een manier die zowel financieel als organisatorisch haalbaar is.
Martin Zandvliet, Fox-IT
