Hoogwaardige technologische bedrijven -waaronder ziekenhuizen- beschermen zich onvoldoende tegen cyberbedreigingen. Dat komt naar voren uit het rapport ‘Een nooit gelopen race – Over cyberdreigingen en versterking van weerbaarheid’ van het Rathenau Instituut.
De huidige maatregelen van overheid en bedrijfsleven tegen cyberdreigingen volstaan niet meer, zo concluderen de onderzoekers. De steeds professionelere methoden van cybercriminelen, cyberspionnen en hackers vragen om extra maatregelen nodig.
IT-intensieve economie
De rijksoverheid en bedrijven met hoogwaardige technologie zijn inmiddels structureel doelwit van digitale spionage-aanvallen. Als één van de meest ICT-intensieve economieën ter wereld is Nederland een aantrekkelijk doelwit voor cybercriminelen, cyberspionnen en hackers. De grootste dreiging vormen buitenlandse inlichtingendiensten die in ons land op grote schaal politieke, militaire en technologische informatie verzamelen en manipuleren. Zowel burgers en bedrijven, maar ook ziekenhuizen, krijgen steeds vaker te maken met malware die computerbestanden versleutelt en daarmee ontoegankelijk maakt, waarbij voor ontsleuteling van de bestanden losgeld wordt gevraagd.
Bewustwording
In de zorg bestaat vaak een gebrek aan bewustwording en beveiligingsmaatregelen. Bij een onderzoek naar phishing door Deloitte onder 65.000 medewerkers van 28 ziekenhuizen klikte gemiddeld 17 procent van de medewerkers door vanuit de mail en liet een meerderheid daarvan (12 procent) onder andere persoonsgegevens achter op de website waarnaar deze medewerkers werden doorgestuurd. Ook kampt de zorgsector met een hoog aantal lekken van privacygevoelige informatie.
Patiëntenportalen
Recent wees de Autoriteit Persoonsgegevens (AP) ziekenhuizen erop dat de beveiliging van veel patiëntenportalen tekortschoot. Omdat voor medische gegevens het hoogste betrouwbaarheidsniveau is vereist, moeten ziekenhuizen gebruikmaken van zogeheten tweefactor-authenticatie. Het AP heeft laten weten ervan uit te gaan dat ziekenhuizen hier gevolg aan geven. Zo niet, dan zal het AP handhavende maatregelen nemen.
Hack-test
Het Rathenau Instituut doet een aantal aanbevelingen om de weerbaarheid tegen cyberdreigingen te versterken. Zo zou er een onafhankelijk kennis- en adviescentrum voor mkb-bedrijven moeten komen. Vitale sectoren, zoals de zorg, zouden een jaarlijkse hack-test moeten uitvoeren. Ook zou getoetst moeten worden of de bestaande aansprakelijkheidswetgeving wel voldoende is voor ICT-producten en -diensten. Toezichthouders als de Autoriteit Consument en Markt (ACM) en het Agentschap Telecom zouden daarnaast krachtiger moeten optreden tegen het op de markt brengen van onveilige digitale producten. Tot slot zou de overheid, die in Nederland circa dertig procent van de beveiligingsproducten en -diensten afneemt, nadrukkelijker een voorbeeldrol moeten vervullen als ‘launching customer’.
