De problemen rond IT-beveiliging in de zorgsector worden steeds groter. De afgelopen zes maanden was er een constante stroom van waarschuwingsberichten. Een op de vier cyberaanvallen op zorginstellingen had dit jaar zelfs impact op de normale bedrijfsvoering, zo blijkt uit onderzoek van IDC onder managers in de zorg. Dit brengt veiligheid van patiënten in gevaar en kan enorme financiële schade veroorzaken.
Maar waarom heeft juiste deze sector te maken met een groeiend aantal aanvallen? Is er iets speciaals aan de gezondheidszorg waardoor IT-beveiliging zo lastig is? Ja, dat is er. De concepten van veiligheid en beveiliging lijken op elkaar, maar zijn ook verschillend. Veiligheid gaat over de bescherming tegen vergissingen van gebruikers. Beveiliging gaat over de bescherming tegen kwaadwillige aanvallen. Er zijn maar weinig plekken waar deze twee concepten op zo’n complexe manier met elkaar verweven zijn als in de zorg. Tel daarbij op dat aan de gegevens die in zorgsystemen verwerkt worden vaak serieuze privacy-implicaties verbonden zijn en je krijgt een moeras van problemen waarvoor maar zelden een perfecte oplossing is, hooguit compromissen.
Medische noodsituatie
Een concreet voorbeeld. Privacywetgeving zoals de AVG stelt dat medische dossiers uiterst gevoelige informatie bevatten en zorgvuldig beschermd moeten worden. Dit heeft geleid tot beveiligingseisen die bepalen dat alleen geautoriseerde personen die op veilige wijze zijn geauthentiseerd, toegang hebben tot patiëntgegevens. Maar vanuit een veiligheidsperspectief gezien kan het hebben van directe toegang tot medische dossiers letterlijk een zaak van leven of dood zijn. In een medische noodsituatie is er geen tijd voor schermvergrendelingen of vergeten wachtwoorden. In de praktijk variëren de oplossingen voor dit conflict tussen veiligheid en beveiliging van ‘breaking glass’-systemen, waarbij de normale toegangscontrole in noodgevallen kan worden omzeild, tot de meer pragmatische oplossing waarbij de computermuis op een bloedzak rockster wordt geplaatst. Deze gaat continu heen en weer, zodat de schermbeveiliging niet wordt geactiveerd.
Unieke structuur
Er zijn bovendien verzwarende omstandigheden in de vorm van de unieke drieledige structuur van IT-systemen in de gezondheidszorg. Alle zorgaanbieders hebben administratieve officesystemen voor standaard dagelijkse taken. Dit aspect van zorg-IT is de gemene deler van alle grote organisaties. Over het algemeen is dit systeem goed te beveiligen. Grotere zorgaanbieders hebben grote hoeveelheden medische apparatuur die verbonden zijn met een netwerk. Deze variëren van infuuspompen en insulinemonitors tot MRI-scanners, gekoppeld aan een computernetwerk voor monitoring, gegevensuitwisseling en toegang op afstand. Deze apparaten zijn gebonden aan strenge veiligheidseisen die vaak niet verenigbaar zijn met de basis van IT-beveiliging, zoals frequente software-updates. Veel medische apparatuur bevat immers ingebouwde computers waarop besturingssystemen draaien die niet langer door de fabrikant worden ondersteund.
Een CISO kan eisen dat zulke onveilige systemen in een geïsoleerd netwerk worden ondergebracht, om er vervolgens achter te komen dat dit helemaal niet kan, aangezien het personeel vanaf hun office-werkstations toegang moet hebben tot medische gegevens. Bovendien hebben veel ziekenhuizen contracten afgesloten met gespecialiseerde aanbieders, zoals teleradiologiebedrijven. Dit maakt het soms nodig om resultaten van MRI-scans te versturen naar specialisten buiten het ziekenhuis.
Vergeten systeem
Aan de basis van deze administratieve systemen en de medische apparatuur ligt een derde, vaak vergeten systeem: het SCADA-systeem (supervisory control and data acquisition) dat de infrastructuur van het ziekenhuis beheert. Alle voorzieningen die wij vanzelfsprekend vinden, zoals verwarming, ventilatie, elektriciteit, verlichting en watervoorziening, worden geregeld door gespecialiseerde computersystemen. Deze zijn cruciaal voor het functioneren van het ziekenhuis, maar krijgen vanuit een IT-beveiligingsperspectief zelden de aandacht. Toch zijn er diverse realistische en vrij beangstigende scenario’s. Als een ransomware-aanvaller bijvoorbeeld weet hoe hij de technische werkstations voor de verwarmings- en ventilatiesystemen kan binnendringen, dan kan hij eenvoudig alle grote operaties in een ziekenhuis platleggen door de ventilatie naar de operatiezalen stil te leggen en vervolgens de werkstations uit te schakelen. Een aanvaller die erin slaagt toegang te krijgen tot de stroomvoorzieningssystemen, kan zowel de primaire als de reservestroomvoorziening uitschakelen, wat al binnen een paar minuten tot levensbedreigende situaties leidt.
Ketens van verantwoordelijkheid
Als de verantwoordelijkheidsketens onduidelijk zijn, bestaat er een grote kans dat problemen tussen de naden en kieren verdwijnen, en wordt het lastiger om een uniform IT-beveiligingsbeleid te hanteren. Neem bijvoorbeeld een typisch systeem voor de distributie van medische zuurstof, waarbij het gas via hogedrukleidingen over een heel ziekenhuis wordt verspreid. Normaal gesproken valt het fysieke leidingnetwerk onder de verantwoordelijkheid van de facilitaire dienst, terwijl het gas zelf een medisch product is dat onder de verantwoordelijkheid van een aangewezen verpleegkundige of arts valt. Maar wie is er eindverantwoordelijk voor de IT-beveiliging van het besturingssysteem voor de gasvoorziening?
Money, money, money
Gezien al het bovenstaande zal het niet als een verrassing komen dat veel zorgorganisaties een gemakkelijk doelwit zijn voor de gemotiveerde hacker. Hoewel gestolen medische dossiers altijd al een zekere marktwaarde hebben gehad, is het aantal ransomware-dreigingen op de IT-beveiliging voor zorgorganisaties de afgelopen jaren echt gegroeid. Als een gewone organisatie die getroffen wordt door een ransomware-aanval weigert het losgeld te betalen, kost dat hooguit geld. Een zorgorganisatie daarentegen staat normaal gesproken onder enorme druk om systemen te herstellen, aangezien de patiëntveiligheid gevaar loopt. Het aanvallen van gezondheidszorgorganisaties levert zakelijk gezien simpelweg het meeste op, omdat die vaak toch wel over de brug komen. Nu heeft een groot deel van de ransomware-aanvallers weliswaar publiekelijk verklaard om gedurende de COVID-19-pandemie geen zorgorganisaties aan te vallen. Tegelijkertijd hebben andere groepen hun aanvallen juist geïntensiveerd, zoals de beruchte Ryuk bende uit Rusland. Slachtoffers die al door de pandemie onder druk staan zullen het losgeld immers nog eerder betalen.
De bijdrage van Sectra
Helaas zijn er geen eenvoudige oplossingen voor de IT-beveiligingscrisis in de gezondheidszorg. Je zou willen dat IT-criminelen gewoon achter tralies gezet konden worden, maar de meesten opereren vanuit malafide jurisdicties, waar ze onaantastbaar zijn. De oplossing wordt een lange weg en alle partijen moeten effectief samenwerken. Fabrikanten moeten leren hoe ze de beveiliging van hun apparaten kunnen verbeteren. Wetshandhavers moeten leren hoe ze op een efficiënte manier internationaal kunnen samenwerken. En zorgorganisaties moeten leren hoe zij hun beveiliging voortdurend en stapsgewijs kunnen verbeteren. Sectra ondersteunt ziekenhuizen in het efficiënter maken van de zorg. Daarnaast helpt Sectra autoriteiten en krijgsmachten door heel Europa bij het beschermen van de meest gevoelige informatie. Sectra draagt hiermee bij aan een gezondere en veiligere samenleving.
Meer informatie over beveiliging in uw ziekenhuis? Neem contact met ons op, we helpen u graag verder.