De wet op datalekken is begin dit jaar van kracht geworden is en zorgt voor vernieuwde focus op informatiebeveiliging. Vooral binnen zorginstellingen en gemeenten die verantwoordelijk zijn geworden voor de Jeugdhulp is deze focus nodig.
Een nieuwe ontwikkeling is de sterke stijging in het aantal diefstallen van patiëntinformatie. Vooral in de Verenigde Staten zijn ziektekostenverzekeraars en zorgorganisaties een populair doelwit. Volgens onderzoek van onder meer Dell Secuworks werden patiëntgegevens voor 20 dollar per stuk verkocht, veel meer dan wat er wordt betaald voor creditcardgegevens. Ondanks dat in Nederland nog geen grote diefstallen van patiëntgegevens ontdekt zijn (of gemeld!), is dit een kwestie van tijd. De patiënt mag verwachten dat de kwaliteit en vertrouwelijk van patiëntgegevens gewaarborgd zijn. De belangen zijn dus groot en de hoeveelheid geld die in Nederland gepaard gaat met zorg is aantrekkelijk voor hackers.
Digitale gijzeling
Een specifieke vorm van dreigingen in cyberspace is malware en dan met name de ransomware en cryptoware, waarbij de data op de servers versleuteld worden. De zorgsector wordt helaas bij dit type cyberaanvallen niet gespaard. Omdat het in de zorg altijd om mensen(levens) gaat, verwacht ik dat deze organisaties bij een digitale gijzeling sneller in paniek raken dan bijv. een metaalbedrijf. Zo zijn in het eerste kwartaal van 2016 meerdere Amerikaanse ziekenhuizen ontregeld door ransomware, waarbij in een enkel geval er losgeld van 15.000 euro is betaald, in anonieme Bitcoins uiteraard. Dichterbij zijn bij onze oosterburen meerdere ziekenhuizen slachtoffer geworden, waarbij zelfs één weer offline is gaan werken met telefoon, fax, pen en papier!
De ziekenhuizen weigeren losgeld te betalen, maar de prijs die ze betalen is hoog. Een aantal dagen niet/nauwelijks kunnen werken, en patiënten wegsturen bij poliklinieken zoals een paar jaar geleden bij het UMCG, kost een ziekenhuis erg veel geld. Dan laat ik de reputatieschade nog maar even buiten beschouwing. Het ziekenhuis in Duitsland heeft enkele weken nodig hebben om alle systemen te herstellen en kan pas tegen de zomer weer met ICT werken zoals voor de aanval. Wel of niet betalen is kiezen tussen twee kwaden, waarbij de keuze medeafhankelijk is van de volwassenheid in back-up en restore-proces.
De afgelopen weken werden ransomware en zorginstellingen in één zin te vaak genoemd in de (internationale) krantenkoppen. Het vervelende is dat het lijkt dat er een kritieke massa lijkt te ontstaan voor deze ransomware bedreigingen.
Impact
Om deze trend te stoppen, is een breed palet aan maatregelen nodig. Wat in mijn ogen het belangrijkste punt is, is het onderkennen wat de impact van deze bedreiging is. Volgens mij is de grootste reden dat bedrijven (en vooral zorginstellingen) niet cyber-proof zijn, omdat ze de impact van zo’n ‘gijzeling’ niet begrijpen. Ik zie de afgelopen jaren dat medewerkers niet of te weinig getraind zijn op het gebied van security awareness en dat zorginstellingen minder gefocust zijn op cybersecurity. Om weerbaarder te worden tegen zulke aanvallen moet een (zorg)organisatie zowel op gebied van mens, proces als techniek de zaken beter voor elkaar hebben.
Op procesvlak is het zaak om bijvoorbeeld backup én restore-procedures goed op orde te hebben. Dit kan een flinke investering zijn, die zich zeker gaat uitbetalen zodra je als zorginstelling slachtoffer wordt van ransomware. Een andere belangrijk punt is het hebben van een goed patch management proces. Bepaal als organisatie hoe en wanneer je welke updates installeert. Een kwetsbaarheid die specifiek binnen de zorg speelt is dat medisch specialisten eigen databases opzetten en medicijnfabrikanten eigen apps leveren. Dit maakt beveiligen voor/door ICT lastig.
Goede netwerkbeveiliging
Bij techniek kan je denken aan (het faciliteren van) tweefactor-authenticatie (combinatie van gebruikersnaam met wachtwoord én bijvoorbeeld een sms of biometrische authenticatie). Deze vorm van beveiliging wordt steeds populairder. Daarnaast is het hebben van goede netwerkbeveiliging een must. Uit recent onderzoek blijkt dat bijna de helft van Nederlandse industriële bedrijven vindt dat hun netwerken niet optimaal beveiligd zijn of daar zelfs niet eens inzicht in hebben.
Zolang er geen breed gedragen bewustzijn voor bovenstaande zaken aanwezig is dan behoren aanslagen via internet (bijvoorbeeld kerncentrales, stuwdammen of het openbaar vervoer), zoals EU-antiterreurcoördinator Gilles de Kerchove recent zei, tot de mogelijkheid. Stuxnet (sabotage van Iraanse nucleaire centrifuges) zou nog redelijk vers in het geheugen moeten liggen.
Ik zie verder dat veel ggz-instellingen, ziekenhuizen en gemeenten patiënt- of burgerportalen opbouwen en verder integreren in hun primaire proces. Deze sites zijn vatbaar voor potentiele aanvallen, waarbij een DDoS aanval pas gestopt wordt (en de site weer bereikbaar wordt) zodra er in Bitcoins is betaald.
Tot slot: 100 procent beveiliging bestaat niet, maar zorg ervoor dat je eigen ‘huis’ beter beveiligd is dan die van je buurman, helemaal met de opkomst van de ‘cybercrime as a service’.
ICT-adviseur bij Bosma Consulting
