Zorginstellingen van elke omvang kunnen hard worden getroffen door een cyberaanval. Grotere organisaties hebben meer patiënten en beschikken daardoor over meer medische dossiers die cybercriminelen kunnen stelen. Kleinere zorginstellingen daarentegen hebben mogelijk niet voldoende financiële middelen om zich tegen cybercriminelen te beschermen of op een aanval te reageren.
Een datalek of succesvolle cyberaanval kan een enorme financiële tol eisen van zorginstellingen. Het verhelpen van beveiligingsincidenten kost namelijk veel tijd, geld en mankracht. Dit heeft ernstige gevolgen voor het aantal patiënten dat op een dag kan worden geholpen (of hoe lang het ook duurt om de schade te herstellen). En dat heeft weer financiële en reputatieschade als gevolg.
Zorginstellingen zijn kwetsbare doelwitten voor cybercriminelen. Ze staan voor de opgave om gegevens van soms wel duizenden patiënten veilig te houden. Daarnaast zijn ze wettelijk verplicht om aan de HIPAA- en HITECH-regelgeving te voldoen. Zorginstellingen hebben vaak onvoldoende beveiligingsmedewerkers (en kennis) in huis om te voorkomen dat persoonsgegevens door cybercriminelen worden gestolen en misbruikt. Vanwege de noodzaak om continu patiënten te ontvangen en behandelen, is cybersecurity niet altijd een topprioriteit voor hen geweest. Maar dat zou wel zo moeten zijn.
Gevaar van binnenuit
Volgens het 2019 Data Breach Investigations Report (DBIR) van Verizon werd voor het tweede jaar op rij het leeuwendeel van alle beveiligingsincidenten die in 2018 in de zorgsector plaatsvonden niet veroorzaakt door aanvallen van buitenaf, maar door insiders. Deze trend geldt alleen voor de zorgsector. Deze insiders zijn meestal mensen die werkzaam zijn binnen zorginstellingen (artsen, verpleegkundigen, enz.) die een grotere kans hebben om een datalek te veroorzaken dan hackers van buitenaf. Hoewel ze niet altijd kwade bedoelingen hebben, is het belangrijkste probleem dat deze insiders toegang tot systemen hebben gekregen om hun werk uit te kunnen voeren. Zij hoeven niets te hacken om vertrouwelijke informatie te bemachtigen.
Het verzenden van informatie naar de verkeerde ontvanger is in diverse sectoren de meest voorkomende oorzaak van datalekken. De gezondheidszorg is daar geen uitzondering op. Vaak worden er patiëntgegevens naar het verkeerde e-mailadres verzonden en ontslagbrieven of andere privédocumenten aan de verkeerde persoon overhandigd.
Zorginstellingen hebben daarnaast te lijden onder het wijdverspreide probleem van social engineering-aanvallen. Net als organisaties in veel andere sectoren hebben zij te maken met een constante stroom van phishing-mails. Deze zetten argeloze ontvangers ertoe aan om persoonlijke informatie zoals inloggegevens in te voeren op nagemaakte websites. Die gestolen inloggegevens worden vervolgens door cybercriminelen gebruikt om toegang te krijgen tot het e-mailaccount van het slachtoffer. Hierdoor lopen de patiëntengegevens in zijn of haar inbox, verzonden items of andere e-mailmappen gevaar.
Meldingsplicht
Als gevolg van regelgeving zijn zorginstellingen wettelijk verplicht om melding te maken van ransomware-aanvallen. Deze aanvallen halen vaak de krantenkoppen omdat ze zorginstellingen ervan weerhouden om hun belangrijkste taak uit te voeren: het verlenen van patiëntenzorg. Hoewel sommige organisaties zich gewonnen geven en het geëiste losgeld betalen, is dit geen garantie dat de criminelen de benodigde encryptiesleutel zullen verstrekken. De kans bestaat dat ze simpelweg het geld pakken en niets meer van zich laten horen.
Hoe kunnen zorginstellingen zichzelf dan immuun maken voor cyberaanvallen en datalekken? Daar bestaat helaas geen wondermiddel voor. Ze kunnen echter wel voorzorgmaatregelen treffen om zichzelf effectiever tegen interne en externe bedreigingen te beschermen.
Een recept voor het beschermen van je netwerk:
- Breng de probleemgebieden in kaart:
- Breng de veiligheid van je organisatie op orde door de staat van het netwerk in kaart te brengen. Bestuurders en beheerders binnen zorginstellingen moeten precies weten wat de belangrijkste opslaglocaties voor data zijn. Verder moeten zij noodzakelijke toegang tot die locaties beperken en bijhouden wie toegang tot gevoelige informatie probeert te krijgen. Zo kunnen zwakke plekken worden gelokaliseerd. Niet alle medewerkers hebben volledige toegang tot alle bestanden en medische dossiers nodig om hun werk te kunnen doen. Zorginstellingen kunnen daarnaast gebruikmaken van betaalbare controlemechanismen om diverse fouten te voorkomen die de beveiliging kunnen aantasten.
- Maak het eenvoudiger voor medewerkers om problemen te melden:
- Kleine fouten zoals phishing kunnen besmettelijk zijn. Zorginstellingen moeten het voor hun personeel makkelijk maken om melding te doen van phishing-mails, of ze er nu wel of niet in trappen. Dit maakt het mogelijk om aanvallen in de kiem te smoren en te voorkomen dat steeds meer medewerkers het netwerk kwetsbaar maken voor hackers. Zorginstellingen kunnen dit proces stimuleren door medewerkers te belonen voor het snel melden van incidenten, zodat er minder mensen en informatie gevaar lopen.
- Inspecties en controlemechanismen:
- Er zou een strijdplan moeten zijn om incidenten en datalekken te voorkomen in plaats van na afloop van een incident de beveiliging weer te herstellen. Zorginstellingen moeten precies weten welke processen persoonlijke gegevens opleveren, verwijderen of openbaar maken. Daarnaast moeten ze controles uitvoeren om te voorkomen dat fouten van werknemers uitmonden in een datalek. Regelmatige inspecties van de mobiele en netwerkbeveiliging zorgen voor een maatstaf waartegen zorginstellingen hun prestaties kunnen afmeten. Zo houden zij altijd een vinger aan de pols.
Plan van aanpak
Nu zorginstellingen steeds sterker verbonden worden, moet er een plan zijn dat de mobiele en netwerkbeveiliging aanpakt, voordat een cyberaanval plaatsvindt. Cybersecurity moet worden gezien als een vorm van patiëntenzorg: medische apparatuur kan worden gehackt, incidenten kunnen leiden tot verkeerde diagnoses en medische dossiers die op computersystemen zijn opgeslagen, kunnen worden gestolen. Om nog maar te zwijgen van het feit dat de downtime tijdens beveiligingsincidenten patiënten in levensgevaar kan brengen.
Voorkomen is beter dan genezen. Zorginstellingen moeten passende maatregelen treffen om grip te krijgen op hun mobiele en netwerkbeveiliging, zodat ze cyberaanvallen effectiever kunnen afslaan. Dit geldt vooral voor aanvallen van binnenuit. Door beveiligingsmechanismen in te stellen voor medewerkers (waaronder dokters en verpleekundingen) beschermen zorginstellingen zichzelf tegen onopzettelijke handelingen die het netwerk in gevaar brengen. Zorginstellingen kunnen zo de kans op een incident of datalek verminderen of zelfs volledig voorkomen.
Maar je kunt altijd nog vragen om een second opinion.
David van den Berg, Associated Director bij Verizon Benelux
