Hacking, phishing en ransomware kende de zorg al. Ook DDoS-aanvallen op een ziekenhuis zijn inmiddels realiteit. Een nog altijd onbekend aantal Nederlandse ziekenhuizen zag in 2023 de eigen site voor korte of langere tijd plat gaan na overvoerd te zijn met digitale data. Hoe kwetsbaar is een ziekenhuis of andere zorgorganisatie en wat kunnen ze doen om DDoS-aanvallen af te weren?
Distributed Denial of Service-aanvallen zijn ongeveer zo oud als het internet zelf. Dus waarom ziekenhuizen juist nu met het fenomeen te maken hebben gekregen? “Met de oorlog in Oekraïne is het digitale dreigingslandschap veranderd”, constateert Jort Kollerie, strategisch adviseur bij Orange Cyberdefense. “Er zijn groepen die de Westerse samenleving onder druk proberen te zetten met DDoS-aanvallen.”
DDoS: digitaal bombardement
In essentie is een DDoS-aanval een digitaal bombardement. Met veelal gekaapte machines bestoken kwaadwilligen een server of een groep servers met grote hoeveelheden data. Gevolg: systemen worden traag of vallen uit, websites en online-diensten gaan op zwart.
Groter aanvalsoppervlak
De zorgsector is daarbij om meerdere redenen een dankbare prooi. “Zorginstellingen zijn steeds meer gaan digitaliseren”, verduidelijkt Erno Doorenspleet, vice president security strategy bij KPN Security. “Er zijn dus ook steeds meer internet facing systemen bij gekomen. Daardoor wordt het aanvalsoppervlak groter.”
Semipubliek karakter
Bovendien is de potentie voor maatschappelijke onrust relatief groot. Zorgaanbieders zijn van eminent maatschappelijk belang en door hun semipublieke karakter staan de luiken naar de buiten in principe open. Maakt dat de sector extra kwetsbaar voor DDoS-aanvallen? “Niet zozeer extra kwetsbaar, maar wel extra aantrekkelijk”, denkt Joep Kremer, managing security consultant bij ilionx. “Als patiënten geen afspraken meer kunnen maken, raakt dat mensen direct. Zeker onder mensen die toch al niet goed de weg weten in de digitale wereld zorgt dat voor onrust. Zo kun je zonder dat je bij de primaire processen komt angst veroorzaken.”
Geen digitaal belletje trekken
Typerend is dat DDoS-aanvallen op een ziekenhuis relatief weinig kennis en kapitaal vergen. Voor een paar grijpstuivers kan vrijwel iedereen op internet ‘een DDoS-je’ kopen, aldus Doorenspleet. Precies om die reden zijn het geregeld tieners die uit balorigheid een aanval uitvoeren. Bijvoorbeeld om de school tijdens tentamens te ontregelen. Maar -benadrukken de drie deskundigen- het is een misverstand om DDoS daarom maar als een vorm van digitaal belletje trekken te zien.
DDos is wapen
“DDoS is echt een wapen, want je kunt een organisatie ermee uitschakelen”, zegt Kollerie. Bovendien reikt het doel vaak verder dan een enkele internetgebruiker pootje te lichten. Zeker bij grote, georganiseerde aanvallen draait het om het aanjagen van bredere gevoelens van onrust en onveiligheid.
De betrokkenheid van hackersgroep Killnet bij de recente DDoS-aanval op ziekenhuizen onderstreept dit. Killnet is een non state actor die dicht tegen de Russische geheime diensten aanschurkt. Al sinds het begin van de Russische invasie van Oekraïne probeert Killnet websites van publieke en semipublieke instellingen in het westen te ontregelen. Bij de aanval van eind januari werden niet alleen Nederlandse, maar ook Amerikaanse en Deense ziekenhuizen getroffen.
Champions League
Dat ziekenhuizen als groep worden aangevallen is een novum voor de Nederlandse zorg. “De sector heeft tijdens corona een paar keer een duwtje gekregen”, memoreert Doorenspleet. “Maar de vorm waarin het nu is gebeurd, is pittiger qua intelligentie. We hebben niet te maken met een boze scholier, maar met iets wat neigt naar een state actor. Het is Champions League versus lokaal voetbal.”
Zorgverlening niet in gevaar
In geen enkel geval is voor zover nu bekend de zorgverlening in gevaar geweest. Maar daar was het de aanvallers niet om te doen, denkt Kollerie. “De achterliggende bedoeling is de zorg raken, zodat mensen misschien gaan twijfelen over onze steun aan Oekraïne. Patiënten verwachten dat ze reguliere zaken, zoals afspraken inplannen of wijzigen, via het portaal kunnen regelen. Als een ziekenhuissite dan niet bereikbaar is, ontstaat er toch een soort chaos.”
Gevaarlijke geruchten
Het ontregelende effect van een DDoS-aanval kan ook bínnen een organisatie tot onrust leiden. “Een paar dagen na de DDoS-aanval op het academisch ziekenhuis in Maastricht waren de interne systemen niet beschikbaar en konden operaties niet doorgaan”, legt Doorenspleet uit. “Hoewel er geen tastbaar bewijs was, hoorde je al geluiden over een mogelijke relatie tussen de DDoS-aanval en het niet beschikbaar zijn van IT-systemen in het ziekenhuis. Dat zijn gevaarlijk geruchten.”
Rookgordijn
Doorenspleet stipt hiermee het in potentie schadelijkste neveneffect aan van een DDoS-aanval op een ziekenhuis: fikkie stoken aan de voordeur om via de achterdeur binnen te glippen. Doorenspleet: “DDoS wordt veel gebruikt als rookgordijn. Als ik als indringer probeer binnen te komen, valt dat op in de logfiles. Maar als ik de dashboards nou eens overstelp met informatie, creëer ik een afleidingsmanoeuvre waarin ik misschien niet zo opval. De instelling is zo druk met DDoS dat ze geen aandacht kan besteden aan andere zaken.”
Olievlek
Eenmaal binnen kunnen DDoS-aanvallers of sympathiserende hackers de door henzelf veroorzaakte digitale ruis misbruiken om eindgebruikers op het verkeerde been te zetten. “Denk aan boodschappen als ‘er is een aanval geweest, u moet nu uw wachtwoord wijzigen’ of ‘u moet de inlog van uw patiëntendossier veranderen’”, schetst Kollerie mogelijke phishing-acties. “Zo kan het initiële probleem zich als een olievlek verspreiden.”
Schade minimaliseren
Het goede nieuws is dat zorgorganisaties maatregelen kunnen nemen om eventuele schade te minimaliseren. Snel optreden is een eerste vereiste. “Om zeker te weten dat er niemand is binnen gekomen door de achterdeur of door een raam dat op een kiertje stond, ga je te om te beginnen additionele checks doen”, zegt Doorenspleet. “Het is monnikenwerk, maar in principe moet je na een DDoS-aanval altijd door alle files heen. Dat betekent dat je de loginformatie op orde moet hebben. Dat helpt bovendien bij het snel detecteren van de start van een DDoS.”
Segmentatie
Een andere elementaire veiligheidsmaatregel is segmentatie van het netwerk. “Vroeger draaide alles on premise”, zegt Kollerie. “Maar je wilt niet dat de diensten binnen het ziekenhuis getroffen worden. Door te segmenteren en te verspreiden, scheid je de website en het portaal van de andere processen.”
Digitale health-check
“Waar je goed naar moet kijken is: wat moet internet facing zijn”, adviseert Doorenspleet. “Denk na over wat er publiekelijk beschikbaar moet zijn en wat de componenten zijn van de kritische bedrijfsvoering. Gezien de vaart van de digitalisering zou je ook periodiek moeten kijken wat er verandert in de processen en architectuur en welke risico’s dat meebrengt. Zie het als een digitale health-check. In plaats van bloeddruk en suikerspiegel kijk je als organisatie of alle digitale verbindingen en systemen op orde zijn.”
Return on investment
Het afvangen van een DDoS-aanval is ook een mogelijkheid. Maar organisaties moeten daarbij wel scherp kijken naar de return on investment, vindt Kremer. “Je moet je afvragen hoeveel middelen je wilt inzetten om alle aanvallen te weren. Het splitsen van intern en extern netwerkverkeer is nog een relatief goedkope maatregel. Als een ziekenhuis alleen zorg in Nederland levert, kun je bij een aanval alleen Nederlands verkeer toestaan. Daarmee zul je waarschijnlijk 90 procent van de aanval afvangen. Sommige bedrijven zullen een aanval volledig willen afslaan. Maar je moet je afvragen of dat voor de zorg ook nodig is.”
“Banken of webwinkels zijn voor hun omzet mega-afhankelijk van hun websites”, weet Doorenspleet. “Die kijken anders naar DDoS-preventie dan een bedrijf dat niet direct geld verdient via internet. Maar of je nu een bank of een zorginstelling bent, als je last krijgt van een state actor, kun je maar beter goed voorbereid zijn, want je gaat er last van krijgen.”
Kat en muis
“Het blijft een kat-en-muis spel”, stelt Kollerie. “De aanvaller bedenkt iets en de verdediger moet daarop reageren. Als de verdediger dat weet af te wenden, gaat de aanvaller natuurlijk weer op zoek naar iets nieuws.”
Met de oprichting van het expertisecentrum voor cybersecurity in de zorg Z-Cert en het hieraan gelieerde Zorg Detectie Netwerk is de Nederlandse zorg langzaam een stugge verdediger geworden. “Het feit dat Z-Cert eind januari ook ge-DDoSt is, geeft aan dat het een serieuze speler is”, zegt Doorenspleet. “Daar mogen we best trots op zijn.”
DDoS aanval op ziekenhuis: drie tips
1. Krijg de loginformatie op orde
Om na een aan snel alle files te kunnen checken, moet je de loginformatie op orde hebben. Dat helpt bovendien bij het snel detecteren van de start van een DDoS.
2. Segmenteer het netwerk
Door te segmenteren en te verspreiden, scheid je de website en het portaal van de andere processen. En dat maakt je minder kwetsbaar.
3. Doe een digitale health check
Denk na over wat er publiekelijk beschikbaar moet zijn en wat de componenten zijn van de kritische bedrijfsvoering. Die scherm je meer af.
Voor praktische maatregelen verwijst Z-CERT naar de site van het Nationaal Cyber Security Centrum (NCSC). Hier meer informatie over de continuïteit van online dienstverlening en technische maatregelen in dit domein. Cybersecurity is één van de kernthema’s tijdens health tech event Zorg & ict, dat van 9 tot 11 april bij Jaarbeurs in Utrecht wordt gehouden.