Cybercrime in het ziekenhuis: een virus van binnenuit

Ziekenhuizen worden regelmatig het doelwit van cyberaanvallers. Dat heeft soms ernstige gevolgen, zoals diefstal van kostbare medische gegevens of uitval van kritische systemen. Bovendien verandert het dreigingslandschap en dat vraagt om nieuwe maatregelen. Geen nood! Een ziekenhuis kan van alles doen om de schade te beperken.

Cybercriminelen hebben het steeds vaker gemunt op de gezondheidszorg. Daar zijn diverse redenen voor. Allereerst zijn ziekenhuizen tegenwoordig erg afhankelijk van digitale middelen en technologie. Daarom is ransomware, een vorm van kwaadaardige software waarbij computers worden vergrendeld, een zeer interessante optie. Het ziekenhuispersoneel is immers geneigd te betalen om weer toegang te krijgen tot programma’s en bestanden. Ook speelt mee dat ziekenhuissystemen vaak verouderd zijn en niet makkelijk geüpdatet kunnen worden, omdat de angst bestaat dat ze uitvallen.

Waardevolle data

Eind maart werden nog tien ziekenhuizen van MedStar in Maryland getroffen door ransomware. Artsen en verpleegsters zagen zich genoodzaakt weer met papier en de fax te werken. Maar ransomware is niet de enige potentiële goudmijn voor hackers. Ziekenhuizen hebben namelijk ook de beschikking over medische gegevens die absoluut niet mogen uitlekken. Deze data zijn nooit meer te herstellen of wijzigen door de patiënt en zijn dus eeuwig houdbaar, wat ze zeer waardevol maakt voor cybercriminelen. Een datalek in de medische sector kan iemand de rest van zijn leven achtervolgen.

Het incident in Maryland staat zeker niet op zichzelf. Uit Amerikaans onderzoek in opdracht van beveiligingsspecialist ESET onder IT-verantwoordelijken in de gezondheidszorg blijkt dat een organisatie gemiddeld een keer per maand te maken krijgt met een cyberaanval. Bijna de helft van de deelnemers gaf aan dat bij hun werkgever in het afgelopen jaar patiëntgegevens zijn gestolen of gelekt. Opvallend is dat een groot deel van de datalekken voortkomt uit hacks die gebruikmaken van kwetsbaarheden die al langer dan drie maanden bekend zijn. En waar gewoon een patch voor is.

Security geen prioriteit?

Dave Maasland, Managing Director bij ESET Nederland

Dave Maasland, Managing Director bij ESET Nederland

Een andere interessante conclusie is dat bij slechts de helft van de organisaties een plan klaarligt voor het omgaan met cyberincidenten. Verder blijkt dat slechts een derde van de respondenten het beveiligingsbeleid van zijn organisatie als zeer effectief beschouwt. Het verbeteren van deze situatie wordt volgens drie kwart gehinderd door een gebrekkige samenwerking tussen de verschillende afdelingen. Andere veelgenoemde oorzaken zijn een tekort aan personeel en een budget dat niet toereikend is. Daarnaast veronderstelt een meerderheid dat security geen prioriteit is binnen de organisatie.

Organisaties worden over het algemeen op vier manieren gehackt: als gevolg van verkeerde instellingen, zwakke wachtwoorden of niet gepatchte systemen en door middel van social engineering. Bij deze laatste methode richt de hacker zich op de mens, de zwakste schakel in de beveiliging. “Als ziekenhuizen niet met deze zaken aan de slag gaan, zijn alle andere oplossingen nutteloos”, zegt Dave Maasland, Managing Director bij ESET Nederland. “Positief is dat al deze hacks op dit moment vrij goed tegen te gaan zijn. Dit vereist alleen wel de aandacht en toewijding van het bestuur.”

Van binnen naar buiten

Volgens Maasland is de strijd tegen cybercrime voorgoed ingrijpend aan het veranderen, met name in de gezondheidszorg. “In het gehele bedrijfsleven en vooral in de medische sector zien we dat hackers niet meer van buiten naar binnen, maar van binnen naar buiten gaan”, legt de topman uit. “Ze proberen niet meer binnen te komen via de firewall, die elk ziekenhuis inmiddels wel heeft. Vrijwel altijd krijgen ze toegang van binnenuit, bijvoorbeeld door iemand te laten klikken op een link in een e-mail. Te vaak blijkt dat elk netwerk verbonden en aaneengeschakeld is zonder interne firewalling.“

“Zo maak je het indringers wel erg makkelijk”, vervolgt Maasland. Bij ESET adviseren ze dan ook om de organisatie en technologische infrastructuur in lagen op te bouwen. “Stel dat een geïnfecteerd systeem zoveel mogelijk schade aan probeert te richten. Hoeveel lagen heb je ingebouwd om een besmetting te detecteren en de schade van een infectie te minimaliseren? Organisaties moeten veel meer van binnen naar buiten gaan bouwen. Van endpoint, zoals medische apparatuur, computers en mobiele devices, naar uiteindelijk de rand van je netwerk. Dan ben je echt al een heel eind.”

De menselijke factor

Een ander belangrijk aandachtspunt is zoals gezegd de menselijke factor. Datalekken zijn vaak een kwestie van pech. Zo kan het gebeuren dat een arts zijn laptop of een USB-stick met patiëntgegevens kwijtraakt of dat er per ongeluk een e-mail met gevoelige informatie naar de verkeerde persoon wordt gestuurd. Maar soms is er opzet in het spel. Wat als een ontevreden medewerker data probeert te verkopen? Gelukkig kan een ziekenhuis veel problemen voor zijn met preventieve maatregelen als encryptie, data loss prevention en software voor het op afstand verwijderen van bestanden.

Omdat cybercriminelen zich meestal op de mens richten, is het volgens ESET raadzaam om regelmatig trainingen te organiseren. “Praat het personeel bij over zaken als spearphishing, een gerichte vorm van phishing waarbij aanvallers eerst informatie verzamelen over hun doelwit om vervolgens inloggegevens los te peuteren”, aldus Maasland. “En over whaling, het binnenhalen van een grote vis, bijvoorbeeld door een CEO te benaderen via het account van een medewerker. Dit gaat verder dan de desktop. Vergeet niet dat mobiele apparaten een populair platform voor phishing zijn.”

DDoS-aanvallen

Cybercriminelen hebben ook andere mogelijkheden om een ziekenhuis lam te leggen, zoals de DDoS-aanval. Bij dit type cyberaanval wordt een netwerk gebombardeerd met dataverzoeken en raakt het overbelast. In 2014 werd een kinderziekenhuis in Boston platgelegd door een reeks DDoS-aanvallen. Hackerscollectief Anonymous deed dit uit protest tegen de verplichte opname van een vijftienjarig meisje. Veel technologische kennis is daar niet voor nodig. Maasland: “Praktisch iedereen heeft nu de middelen om een DDoS-aanval op te zetten. Wees je daar bewust van.” 

Het onderzoek van ESET laat zien dat DDoS-aanvallen in het afgelopen jaar een gemiddelde kostenpost van 1,32 miljoen dollar betekenden voor de getroffen organisatie. Ruim een derde van de deelnemers gaf aan dat een DDoS-aanval ongeveer eens in de vier maanden tot uitval van bedrijfssystemen en/of verstoring van de werkzaamheden leidde. Zo’n aanval gaat niet alleen ten koste van de productiviteit, maar kan ook imago- of reputatieschade tot gevolg hebben. “Dergelijke incidenten zijn nauwelijks te voorkomen”, weet Maasland. “Het helpt al enorm als er beleid is voor dit soort situaties.”

Pacemakers hacken

Zowel de gezondsheidszorg als de securitybranche zijn constant in beweging. De kans is aanwezig dat we de komende jaren, mede door de opkomst van het Internet of Things, steeds vaker worden geconfronteerd met relatief nieuwe cyberdreigingen. Denk bijvoorbeeld aan het doelbewust hacken van medische apparatuur met verouderde besturingssystemen, zoals röntgenscanners en beademingsapparatuur. En nog een stapje verder: geïmplanteerde medische apparaten als pacemakers en insulinepompen. Miljoenen mensen zijn ervan afhankelijk dat deze altijd naar behoren functioneren.

Waar het nu nog gaat om thema’s als Bring Your Own Device en het beveiligen van openbare wifinetwerken, kan dat over een paar jaar zomaar heel anders zijn. Wat ons ook te wachten staat, volgens Maasland is er geen reden voor paniek. Nu niet en ook niet in de toekomst. Hij ziet deze en andere security-uitdagingen juist met veel vertrouwen tegemoet. “Een cyberincident is nooit helemaal uitgesloten. Maar een mix van organisatorische afspraken, bewustwording, een gedegen voorbereiding en de juiste voorzieningen biedt een solide basis voor een effectieve bestrijding.”

email

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *