Beeld: solarseven/Getty Images/iStock
Om de toenemende cybercriminaliteit buiten de deur te houden, moeten landen in Europa samenwerken. Dat stelt Z-CERT op basis van het vijfde Z-CERT Cybersecurity Dreigingsbeeld voor de zorg dat in 2024 opnieuw een toename in het aantal digitale aanvallen tegen zorgorganisaties laat zien. De meest gemelde incidenten waren datalekken als gevolg van onopzettelijkheid, nalatigheid, nieuwsgierigheid en kwaadwillend handelen door interne en externe betrokkenen, zoals medewerkers, leveranciers en ingehuurde krachten.
Ransomware
Vorig jaar werden wereldwijd 12 procent meer incidenten gepubliceerd dan in 2023. In de zorg in Europa nam het aantal ransomware-aanvallen met 25 procent toe. Ransomware is een effectieve manier om geld te verdienen: 20 tot 50 procent van de getroffen organisaties betaalt het losgeld. Wim Hafkamp, directeur Z-CERT: “Zorgorganisaties moeten beter anticiperen op cyberdreigingen. Niet alleen vanwege strengere wetgeving, maar ook door de toegenomen cyberdreiging. Die dreiging groeit onder meer doordat zorgorganisaties steeds meer gebruikmaken van digitale technologieën, zoals zorg op afstand en domotica.”
Impact
Uit een onderzoek naar ransomware-incidenten in de internationale zorgsector bleek dat 22 procent van de geraakte zorgorganisaties binnen een week kon herstellen, 37 procent had meer dan een maand nodig en 7 procent zelfs meer dan drie maanden. Bij 95 procent van de zorginstellingen werden ook back-ups geraakt door ransomware. Organisaties waarbij de back-up geraakt werd, betaalden drie keer hogere losgeldbedragen dan organisaties waarbij de back-ups niet geraakt waren.
De herstelkosten bedroegen gemiddeld 2,57 miljoen euro, exclusief het losgeld. Gemiddeld 57 procent van de apparaten verbonden aan het netwerk werd geraakt.
Bij een beperkt aantal incidenten in Europa konden gevolgen voor de zorg worden vastgesteld. In minstens vier zorgorganisaties was er impact op spoedeisende hulp. Minstens zeven zorgorganisaties moesten afspraken uitstellen. In minstens vijf zorgorganisaties moesten patiënten of cliënten handmatig op papier worden geregistreerd.
Geen genade voor zorgorganisaties
Criminele hackers, digitale spionnen en hacktivisten zien zorgorganisaties als legitiem doelwit om af te persen en gegevens van te stelen, ongeacht de gevolgen, zoals het verstoren van zorgprocessen. Terwijl criminelen profiteren van zwakke plekken in de digitale infrastructuur, blijven belangrijke spelers in de zorgsector onvoldoende samenwerken en aarzelen om gevoelige informatie te delen.
Hafkamp: “Een belangrijke stap vooruit is betere communicatie tussen (inter)nationale computer security incident response teams (CSIRTs), zoals vereist in de nieuwe NIS2-richtlijn. Het actieplan vanuit de Europese Commissie is een mooie vervolgstap hierop. Verder is het belangrijk dat er binnen sectoren, zoals de zorg, meer mechanismen zijn om kennis en ervaring te delen over dreigingsinformatie. Zonder deze uitwisseling blijven organisaties kwetsbaar voor herhaalde aanvallen.”
Oefeningen en simulaties
Daarnaast pleit Z-CERT voor realistische oefeningen, tests en simulaties binnen de zorgsector, vergelijkbaar met de praktijkvoorbeelden uit het bankwezen. Hafkamp: “In sectoren als onderwijs en wetenschap zien we instellingen soms dagenlang uitvallen, dat is al zorgwekkend, maar in de zorgsector is dat onacceptabel. Recent was DigiD slachtoffer van een grootschalige DDoS-aanval. Dit soort aanvallen heeft ook impact op de zorg, omdat bij veel ziekenhuizen patiënten via DigiD inloggen op hun dossier. In het Dreigingsbeeld gaan we specifiek in op dreigingen die via de leveranciersketen op de zorg afkomen. Testen en simuleren is van belang om klaar te zijn voor wat gaat komen. Doe dit binnen je eigen organisatie, maar betrek ook de belangrijkste ketenpartners.”
Spionage, privacy en technologie
Digitale spionnen richten zich in de Nederlandse zorgsector vooral op het stelen van wetenschappelijk onderzoek, intellectuele eigendommen en grote hoeveelheden biomedische- en persoonlijke data. Daarnaast ziet Z-CERT in toenemende mate risico’s met betrekking tot hard- en software afkomstig uit landen met een geavanceerd en omvangrijk offensief cyberprogramma, zoals Rusland, China, Noord-Korea en Iran.
Trends: aanval op de cloud, AI-gedreven nepberichten
Omdat gegevens, zoals die van medewerkers, patiënten en onderzoek, naar de cloud gaan, richten kwaadwillenden hun aandacht op het hacken van de cloudbeveiliging. AI-modellen zijn nu al net zo goed als mensen in het maken van overtuigende nepberichten voor phishing campagnes. Z-CERT denkt dat AI hierin steeds realistischer wordt en steeds vaker hiervoor zal worden gebruikt.
Tips voor zorginstellingen
Zorg dat een aanvaller niet vanaf het lokale netwerk naar de cloud kan bewegen of andersom, adviseert Z-CERT. Een lokaal account met veel rechten moet bijvoorbeeld niet kunnen worden gebruikt in de cloud. Het is te overwegen om in de cloudomgeving een functionaliteit te gebruiken die data-exfiltratie kan detecteren en voorkomen. Organisaties zouden moeten onderzoeken of hun cloudomgeving bestand is tegen ransomware-aanvallen en in staat is ransomware-activiteit te detecteren. Het is ook een goed idee om regelmatig back-ups van de cloudomgeving te maken en deze offline en versleuteld te bewaren.
Aanvallen op leveranciers
Naast de zorgorganisaties zijn ook een flink aantal Europese en Amerikaanse leveranciers van zorgorganisaties getroffen. Verstoringen in de processen door ransomware en datalekken bij leveranciers hebben directe gevolgen gehad voor de betrokken zorgorganisaties. Zo heeft een ransomware-aanval op een pathologische dienstverlener in Engeland als impact gehad dat huisartsen geen bloedtesten konden afnemen en duizenden poliklinische afspraken moesten worden uitgesteld.
Bij leveranciers moet de aandacht uitgaan naar leveranciers die nog geen gebruikmaken van principes van moderne authenticatie zoals MFA, tijdelijke toegang op aanvraag (just in time adminstration) en rechten op maat (least privileges).