De zorgsector moet de komende tijd vooral rekening houden met de cyberdreigingen gerichte ransomware-aanvallen en ‘Living off the land’-aanvallen. Dit blijkt uit onderzoek.
Vooral ziekenhuizen zijn een aantrekkelijk doelwit van ransomware-aanvallen. Deze zijn steeds gerichter en beter gepland. Zo is er de variant LockerGoga die aanmeldingsgegevens voor accounts met speciale toegangsrechten bemachtigt.
Aanvalskanalen
Dit wijst erop dat cybercriminelen de beveiligingsmechanismen van het netwerk van hun slachtoffer uitvoerig bestuderen en vervolgens passende tegenmaatregelen ontwikkelen. Ook Anatova steekt de kop op. Deze malware versleutelt zoveel mogelijk bestanden en beperkt de kans op gegevensherstel tot een minimum.
Het rapport Threat Landscape Report van Fortinet stelt dat bovenop het in gevaar brengen van mensenlevens het herstellen van een beveiligingsincident een zorginstelling gemiddeld 1,2 miljoen euro kost . Bedrijven in de zorgsector hebben er dus alle belang bij op de hoogte te blijven van populaire aanvalskanalen en -strategieën van cybercriminelen.
Back ups
Dat betekent dat zorginstellingen minstens over up-to-date back-ups moeten beschikken. Ze zijn nu vaak bereid om losgeld te betalen en deze toegeeflijkheid is het gevolg van een gebrekkige strategie en planning op het gebied van gegevensherstel en bedrijfscontinuïteit.
Na betaling van het losgeld kan het goed zijn dat sommige herwonnen data ontbreken of beschadigd blijken te zijn. Dit met alle gevolgen van dien voor de patiëntveiligheid.
‘Living off the land’-aanvallen
Bij ‘living off the land’-aanvallen maken cybercriminelen misbruik van vooraf geïnstalleerde tools op de systemen van hun doelwit. Detectie wordt voorkomen omdat de geïnjecteerde kwaadaardige code deel uit lijkt te maken van een goedgekeurd proces.
Vooral PowerShell, deel van Windows, is bijzonder in trek bij cybercriminelen. Zij gebruiken deze beheer- en scripttool om ransomware en andere kwaadaardige code te verspreiden, data te versleutelen en om zich een weg door het netwerk van hun slachtoffer te banen.
Aangezien er een steeds groter aantal IoT-apparaten worden verbonden met het netwerk zouden IT-teams daarom alle apparatuur regelmatig moeten inspecteren. Zo voorkomen ze dat vooraf geïnstalleerde tools door hackers als springplank naar het netwerk worden gebruikt.
Activiteiten
In de zorgsector is uptime van levensbelang. Zo moet het netwerk van de spoeddienst te allen tijde beschikbaar zijn terwijl in andere afdelingen de activiteit na de kantooruren wel stilvalt.
Apparaten die zich dan buiten de gangbare werktijden aanmelden, kunnen wijzen op een cyberaanval. Zo kunnen bedrijfskritische netwerken zoals dat van de spoeddienst kwetsbaar worden.
Zorginstellingen moeten daarom een extra beveiligingslaag aanbrengen door dergelijke netwerken te segmenteren. Daarnaast moeten ze apparaten die afwijkend gedrag vertonen in quarantaine zetten totdat de reden voor dit gedrag is achterhaald.
Tijdstip
Uit het onderzoek blijkt ook dat cybercriminelen altijd op zoek zijn naar het tijdstip dat hen optimale kansen biedt. Zo vinden activiteiten in aanloop naar hacks ruwweg drie keer waarschijnlijker plaats tijdens werkdagen. De belangrijkste reden hiervoor is dat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker nodig is. Denk aan het klikken op een link in een phishingmail.
Cybercriminelen willen optimaal gebruikmaken van deze momenten, wanneer er sprake is van intensief internetgebruik. Daarom is het belangrijk om een onderscheid te maken tussen werkdagen en weekends bij het filteren van het internetverkeer om inzicht te verwerven in de killchain van uiteenlopende cyberaanvallen.
Trend
Het rapport past duidelijk in een trend waar zorginstellingen niet zelden achter de feiten aanlopen. Zo werd in 2017 vanuit vele kanten al gewaarschuwd dat de aanname dat je patiëntgegevens beter ‘on premise’ kunt beveiligen onterecht overheerst. Dit terwijl dit maar ten dele waar is.
Malware – zoals WannaCry of Petya – slaat zijn slag namelijk vaak in de directe nabijheid van de medewerker. Volgens Europol heeft WannaCry al 200.000 slachtoffers gemaakt in 150 landen, waaronder de nodige zorginstellingen.
