De toenemende digitalisering maakt de zorg gevoeliger voor datalekken en ransomware. Daar is sinds de oorlog in Oekraïne een nieuwe dreiging bij gekomen: pro-Russische hackersgroepen hebben het gemunt op vitale sectoren in NAVO-landen. Ziekenhuizen hebben ten opzichte van veel andere sectoren ook nog eens een grote zwakke plek: alle medische apparatuur die slecht beveiligd aan het netwerk hangt. Hoe dicht je het snelst de grootste gaten?
Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, maakt sinds drie jaar een dreigingsbeeld, waarin de belangrijkste gevaren voor de Nederlandse zorgsector worden benoemd. Uit het beeld over 2022 blijkt dat ransomware de grootste dreigingsfactor is. Goed nieuws hierbij is dat cybercriminelen voornamelijk bekende technieken gebruiken, die dus relatief makkelijk te detecteren zijn. De meest voorkomende incidenten betreffen pogingen tot financiële fraude via digitale media zoals e-mail of WhatsApp, gevolgd door credential phishing. Hacking staat samen met malware en een DDoS-aanval via een softwareleverancier op de derde plaats.
Nieuwe motieven
Het is hackers, ook met Russische cyberaanvallen, niet meer alleen te doen om financiële motieven (losgeld vragen of datalekken creëren en dreigen die data openbaar te maken tenzij ziekenhuizen betalen). Sinds de oorlog in Oekraïne is er een nieuwe groep cybercriminelen bijgekomen: mensen die in opdracht van de Russische overheid proberen vitale sectoren in NAVO-landen plat te leggen. De zorg leent zich daar uitermate goed voor. Niet alleen vanwege de soms levensbedreigende situaties die ontstaan als het netwerk niet toegankelijk is, maar ook door de keteneffecten die ontstaan. Als een ziekenhuis patiënten immers niet kan ontslaan naar een verpleeghuis of revalidatiecentrum, kunnen geplande operaties niet worden uitgevoerd en loopt al snel de hele keten vast.
De zorg is ook interessant voor kwaadwillenden omdat deze sector pas laat de transitie naar de cloud heeft gemaakt, en dus relatief laat leert hoe je in zo’n nieuwe situatie met security moet omgaan. De security-awareness van het personeel groeit, maar nog steeds is phishing een relatief groot beveiligingsrisico. Daarnaast gebruikt de zorg veel (medische) apparatuur die aan het netwerk hangt, terwijl het daar eigenlijk niet voor is ontworpen.
Internet of Medical Things
Naar dit laatste onderwerp doet Unit 42, de wereldwijde security-advies en threat intelligence groep van Palo Alto Networks, veel onderzoek. Zij constateren dat het aantal apparaten dat verbinding maakt met het ziekenhuisnetwerk, en daarmee mogelijk indirect ook met het internet, groeit. Bij ziekenhuizen gaat het om apparatuur als infuuspompen, bewakingsmonitors en apps voor thuismonitoring. In de langdurige zorg betreft het veel vaker domotica, zoals sensoren en camera’s. Dit Internet of Medical Things (IoMT) maakt nieuwe toepassingen mogelijk, maar er zijn ook zorgen. Veel apparatuur is namelijk niet vanuit een Security by Design-gedachte ontwikkeld. Unit 42 constateert bijvoorbeeld dat 75 procent van de wereldwijd gebruikte infuuspompen niet-gepatchte kwetsbaarheden bevat. Ook had meer dan de helft (51%) van alle röntgenapparaten een common vulnarability exposure (CVE) van grote ernst, waarbij ongeveer 20 procent een niet-ondersteunde versie van Windows draaide. Unit 42 constateert ook aan dat 83 procent van de echoapparatuur, CT- en MRI-scanners draait op een besturingssysteem dat niet meer aan de eisen voldoet. Deze wereldwijde cijfers worden weliswaar gekleurd door data uit landen waar ze nog veel verouderde apparatuur gebruiken. Toch vind je ook in ieder Nederlands ziekenhuis veel apparatuur dat niet aan de hedendaagse normen voldoet.
Wat de doen?
Zoals water altijd naar het laagste punt stroomt, zo gaan aanvallers altijd op zoek naar de zwakste plek. Die plek kan overal zitten: bij medewerkers, leveranciers, in je applicaties, het netwerk of de apparatuur die aan je netwerk hangt. Z-CERT publiceert op zijn website tien tips tegen ransomware.
Lees ook:
- AP: ga ervan uit dat je persoonsgegevens gelekt zijn
- Managed Services integreren in je business: do’s en don’ts
