Het is voor de tweede keer dat Z-CERT een dreigingsbeeld voor de zorg publiceert. Het beeld van 2020 was dat het gevaar van ransomware toenam, maar dat de schade beperkt bleef. Dat is nu anders: in 2021 vonden wel degelijk incidenten plaats waarbij hackers toegang kregen tot de systemen van een zorgorganisatie. In totaal zijn er vijf bekend bij Z-CERT. “Dat geeft te denken”, zegt Z-CERT-directeur Wim Hafkamp in de podcast Voorzorg. “Het is snel geld verdienen voor de criminelen. Blijkbaar lukt het ze gebruik te maken van achterdeurtjes om binnen te komen. Dat is echt wel een zorg.”
Opnieuw opbouwen
Bij een aanval met ransomware gijzelen hackers bestanden en systemen die ze pas na betaling vrijgeven. Toch is het niet alleen het losgeld dat voor de kosten zorgt. “Als je zo’n incident hebt, is je hele IT-infrastructuur overgenomen”, legt beveiligingsexpert Jan Hanstede uit in de podcast. “Die weet alle wachtwoorden en kan overal achterdeurtjes inbouwen om aanwezig te blijven. Dus je moet het helemaal opnieuw opbouwen. Daar gaat heel veel tijd en geld in zitten. Je loopt bovendien inkomsten mis en dan moet je ook de data nog terug zien te krijgen. Die moet je de-crypten. Dat gaat niet zo snel is erg gevoelig voor fouten. Zelfs al betaal, dan is sommige data beschadigd en die kun je dus niet meer terugkrijgen.”
Inzet van specialisten
Daar komt de inzet van specialisten nog bovenop, vult directeur Hafkamp aan. “Zo’n forensisch onderzoek is heel arbeidsintensief en je hebt er dure specialisten voor nodig. Hun uurloon is soms wel het dubbele of driedubbele van een normale IT-specialist. Als je die wekenlang over de vloer hebt, dan gaat de teller wel lopen.” Een cyberverzekering dekt misschien een deel van de kosten, maar het risico op langdurige verstoringen en dataverlies blijf.
Budget voor beveiliging
De kosten voor een dergelijk incident – gemiddeld dus meer dan 2 miljoen euro – staan volgens de directeur niet overal in verhouding tot de budgetten die organisaties uittrekken voor beveiliging. “De cybersecurityraad heeft een aantal jaar geleden geadviseerd om 10 procent van het IT-budget te reserveren voor beveiligingsmaatregelen. Wij denken niet dat alle zorginstellingen dat doen. We zien wel dat zeker afgelopen jaar de budgetten voor beveiliging omhoog zijn gegaan. Maar om te zeggen dat het in lijn is met die 10 procent, dat gaat te ver. Daar valt dus nog wel wat te winnen.”
Laaghangend fruit
Overigens is het niet alleen een kwestie van budget, vult beveiligingsexpert Hanstede aan. “Er zijn genoeg gratis maatregelen die ontzettend effectief zijn.” Hij wijst bijvoorbeeld op opties binnen Windows om het opstarten van malware te blokkeren of slimmigheden om netwerken te beveiligen. “Ik vind investeren goed, maar we moeten ook het laaghangende fruit plukken. Ik denk dat het goed is om met elkaar te gaan zitten en te bespreken: welke maatregelen kunnen we treffen om te voorkomen dat we geïnfecteerd worden. En als we toch geïnfecteerd worden, hoe kunnen we dan voorkomen dat het een gespreid bedje is voor de hackers? Eigenlijk moet je er op een medische manier naar kijken.”
Hafkamp wijst erop dat cybersecurity bovendien gaat om patiëntveiligheid. “Daar moet je als bestuurder wat van vinden!”
