Zorgaanbieders, ketenpartners en leveranciers raken steeds meer digitaal verbonden. Daarmee groeit de impact van individuele cyberaanvallen. Toch is de sector wat betreft preventie en detectie onvoldoende volwassen. Ook het veiligheidsbewustzijn van medewerkers laat nog te wensen over. Dat constateert het centrum voor cybersecurity in de zorg Z-CERT in het derde dreigingsbeeld.
De meeste frequente vorm van cybercrime is financiële fraude via digitale media zoals e-mail en WhatsApp. Volgens Z-CERT hadden in 2022 vier van de tien zorginstellingen te maken met één of meerdere pogingen. Bij ruim één op de vijf aanbieders hengelden kwaadwilligen naar inloggegevens, het zogeheten credential phishing.
Dreiging ransomware groeit
De grootste schade werd echter veroorzaakt door gijzelingssoftware. Z-CERT registreerde in 2022 zeker vijf ransomware-incidenten bij Nederlandse zorginstellingen. Dat zijn er evenveel als een jaar eerder. Ogenschijnlijk goed nieuws, maar schijnt bedriegt. Internationaal gezien is er sprake van een sterke opwaartse trend. Op Europees niveau registreerde Z-CERT 51 ransomware-incidenten bij Europese zorginstellingen, een groei van 65 procent. Wereldwijd steeg het aantal geregistreerde ransomware-incidenten bij zorgorganisaties met bijna een derde.
Uitvallen zorgverlening
Bovendien wordt de impact van ransomeware-incidenten steeds groter. Een individueel incident beperkt zich zelden tot de instelling zelf. Wanneer ziekenhuizen hun patiënten niet kunnen ontslaan naar een ouderenzorg-instelling of als een ambulancedienst uitvalt, heeft dat effect op de keten. Internationaal moesten patiënten bij de helft van de geregistreerde incidenten uitwijken naar andere zorginstellingen. In iets meer dan de helft van de gevallen, werden afspraken noodgedwongen afgezegd of verplaatst. Bovendien waren IT-systemen in 93 procent van de gevallen niet beschikbaar.
Gedeelde IT-infrastructuur
De grotere impact hangt nadrukkelijk samen met de groeiende digitale verbondenheid. Zorgaanbieders opereren steeds vaker in netwerkverband. Daarin zijn deelnemers digitaal nauw met elkaar verbonden. Als voorbeeld noemt Z-CERT één ransomware-incident waarbij 120 tandartspraktijken tijdelijk geen toegang hadden tot het patiëntendossier omdat hun moederbedrijf getroffen was voor ransomware. “Gedeelde IT-infrastructuur kan de impact van één enkel incident flink opvoeren”, concludeert Z-CERT.
Liever kleine doelwitten
Cybercriminelen spelen hier op in en zoeken bewust naar de zwakke schakels in de keten. Ook kleinere organisaties en praktijken lopen zodoende in toenemende mate risico om slachtoffer te worden van ransomware. Omdat deze vaak minder middelen hebben op security gebied vallen sommige ransomware-groepen liever tien kleine organisaties aan dan één grote. Bovendien hebben ze zo meer kans om onder de radar te blijven van opsporings- en inlichtingendiensten of de politiek.
Meeliften op netwerk
Ook leveranciers van medische apparaten of IT-dienstverleners kunnen een dankbaar doelwit zijn. “Ransomware-incidenten bij leveranciers van medische apparaten of IT-dienstverleners kunnen riskant zijn omdat zij soms ook toegang hebben tot de netwerken en systemen van zorginstellingen”, constateert Z-CERT. “In sommige gevallen vinden ransomware-incidenten plaats bij organisaties doordat een ransomware-actor meelift op de toegang die een leverancier heeft tot het netwerk van zijn klanten.”
Extra risico’s in cloud
Een extra risico vormt volgens Z-CERT het groeiende gebruik van de cloud, web based applicaties en bijhorende koppelvlakken. “Zorginstellingen zijn zich vaak onvoldoende bewust dat het naar de cloud brengen van applicaties kan leiden tot extra risico’s voor de beschikbaarheid van zorgprocessen”, zegt directeur Wim Hafkamp van Z-CERT. “Maak hier dus goede afspraken over met de leverancier en test de afgesproken beveiligingsmaatregelen.”
Race tegen de klok
Gezien de groeiende impact en de voortdurende professionalisering van hackersgroepen doen zorgaanbieders er volgens Hafkamp goed aan om externe kennis en expertise in te schakelen: “Het vereist een zekere nuchterheid om te onderkennen dat een organisatie de race tegen de klok met cybercriminelen niet aan kan en dat er een andere weg ingeslagen moet worden.”