Voorvallen die in de USA plaatsvinden, gebeuren meestal iets later ook in Europa. Vaak zijn dat zaken waar we blij mee zijn, maar regelmatig zijn het ook gebeurtenissen waarop we niet zitten te wachten. Zo werd afgelopen februari een ziekenhuis in de USA besmet met zogeheten ransomware, waardoor het ziekenhuis niet meer bij de patiëntendossiers kon.
Je zult maar in zo’n ziekenhuis liggen met een ernstige aandoening en de artsen weten niets meer over je. Niet welke medicijnen je slikt en waarom. Zelfs niet waarom je überhaupt in dat ziekenhuis ligt. In dit geval kwamen ook de normale ziekenhuisprocessen knarsend tot stilstand. Het ziekenhuis heeft uiteindelijk 40 bitcoins (circa € 20.000) betaald aan de hackers. Die waren blij met dit succes en hebben het trucje achtereenvolgens snel bij nog eens zes ziekenhuizen herhaald.
Ziekenhuizen en andere zorgverleners zijn niet voorbereid op dit soort gebeurtenissen. 80 procent van deze Amerikaanse instellingen besteedt minder dan 6 procent van het it-budget aan beveiliging en meer dan 50 procent zelfs minder dan 3 procent. Is dat alarmerend? Jazeker, want elders besteden ze er percentueel veel meer aan. Bij de Amerikaanse overheid zo’n 16 procent en bij banken ongeveer 12 tot 15 procent.
Uit een enquête, uitgevoerd door Symantec en HIMSS Analytics, blijkt dat beveiliging bij zorgverleners geen strategisch issue is. Het komt alleen op de agenda op verzoek van de Raad van Bestuur van deze instellingen. Waar het daar om gaat is hoe je reageert op een bedreiging, maar strategisch wordt er niet over nagedacht. De even treffende als gruwelijke metafoor die ze daarvoor gebruiken is ‘healthcare is a sitting duck’. Makkelijke prooi dus.
Hackers denken wél strategisch na. Zij maken onderscheid tussen ‘blanket, spear and whale phishing’. De organisatie wordt in kaart gebracht en men identificeert groepen (cardiologen, dermatologen), de ‘spears’, maar ook de leidinggevenden (CEO, CMO, CIO, CFO), de ‘whales’ en gaat op basis daarvan aan de gang. Deze groepen hebben meestal grotere bevoegdheden en vormen logischerwijs een grotere buit. De verwachting is ook dat de impact in dit tijdperk van intelligente ‘internet of things’ alleen nog maar indrukwekkender wordt. Een voorbeeld is een zelfdenkende IV-pomp. Wil je iemand vermoorden die aan zo’n pomp ligt? De mogelijkheden zijn ongekend, zolang je weet hoe je erbij kunt komen.
Terwijl ik dit allemaal langzaam tot mij laat doordringen, borrelt er een vraag bij mij op: hoeveel van het it-budget besteden onze Nederlandse ziekenhuizen aan beveiliging? En welk percentage volstaat dan eigenlijk?
