Als cybercriminelen één sector specifiek in het vizier hebben, dan is het de zorg wel. Niet voor niets zijn ziekenhuizen en (toeleveranciers van) zorginstellingen steeds vaker het doelwit van een ingrijpende cyberaanval. Dave Maasland, CEO van het digitale beveiligingsbedrijf ESET Nederland, gaat in op de huidige status van cybersecurity in de zorg, waarom criminele hackers het op hen hebben gemunt en waarom dit het moment is om in actie te komen. "We weten niet precies of de zorg een dikke voldoende of onvoldoende op het niveau van digitale veiligheid scoort, maar er zijn zorgen."
Huidige status cyberveiligheid van de zorg
Maasland merkt dat er binnen de wandelgangen veel over de veiligheid van de zorg wordt gesproken. Want hoe digitaal veilig is ons zorgwezen eigenlijk? "Hoe het precies met de cyberveiligheid is gesteld, weten we niet. Wat we wel weten, is dat er zorgen zijn. En ja, er worden achter de schermen stappen gezet, maar als het nu mis zou gaan, dan zou het serieuze gevolgen kunnen hebben", aldus Maasland.
De cyberexpert vertelt dat de vitale sector onder vuur ligt. "Zo worden ziekenhuizen en zorginstellingen door Russische gelieerde aanvalsgroepen genoemd als potentieel doelwit. En stel dat gijzelsoftware een heel ziekenhuis weet plat te leggen, zoals we in het buitenland al meerdere keren hebben gezien, dan zijn de gevolgen groot; van het noodgedwongen moeten uitstellen van operaties tot het niet kunnen opnemen van nieuwe patiënten. Dit kan grote gevolgen hebben op de betrouwbaarheid van onze gezondheidszorg."
Volgens de specialist zijn de zorgen die cyberexperts over de digitale veiligheid van onze zorg hebben terecht. "Als ziekenhuizen en andere zorginstellingen in het buitenland door cyberaanvallen worden getroffen, waarom zou het dan niet in Nederland kunnen gebeuren?" Daarbij kaart de cyberexpert aan dat de zorg middenin een transitie zit: "De zorg digitaliseert in rap tempo, we hebben te maken met nieuwe wet- en regelgeving waar ze iets mee moeten én ze kampen met een personeelstekort. Ze hebben veel ballen hoog te houden."
Risico's van cyberaanvallen in de zorg
Maasland vervolgt zijn verhaal met het belangrijkste risico waarmee we in de zorg rekening moeten houden. "Het grootste risico zit 'm in het grootschalig uitvallen van IT-systemen. Neem niet alleen de kantooromgeving van het ziekenhuis dat met het internet verbonden is, maar ook de spoedeisende hulp. Op het moment dat de IT-systemen uitvallen, werken ook veel andere zaken in het ziekenhuis niet meer."
Tevens moeten we volgens de expert in digitale veiligheid ook denken aan een ander noemenswaardig risico van een cyberaanval; het lekken van medische gegevens. "Vorige week hadden we nog te maken met een grootschalig datalek bij onder andere de NS, VodafoneZiggo en Heineken, waarbij persoonsgegevens zoals namen, e-mailadressen en telefoonnummers van ruim twee miljoen Nederlanders zijn uitgelekt. Echter, de gevoeligheid van medische gegevens is vele malen groter. Neem ter illustratie bijvoorbeeld de hack op een Amerikaans ziekenhuis, waarbij foto's van vrouwen met borstkanker waren gelekt. Dit laat duidelijk zien hoe ver cybercriminelen kunnen gaan om de druk op een ziekenhuis op te voeren."
Prijs van medische gegevens
Wat maakt dat cybercriminelen uit zijn op het platleggen van ziekenhuizen en andere zorginstellingen? Daar zijn drie redenen voor te bedenken die volgens Maasland reden genoeg zouden moeten zijn om de cyberveiligheid van de zorg heel serieus te nemen. "Een ziekenhuis moet altijd door. Zodra je zo'n instelling volledig weet uit te schakelen, dan is - zo denken de criminele hackers - de kans groot dat er grote sommen geld worden betaald om weer toegang tot hun IT-systemen te krijgen. Per slot van rekening willen ze geen mensenlevens op het spel zetten."
De tweede reden waarom cybercriminelen zorginstellingen als doelwit zien, heeft te maken met de cyberoorlog. "Cyberaanvallen op ziekenhuizen kunnen als wapen in een hybride-oorlog worden ingezet. Dit is iets waar experts zich steeds meer zorgen om maken."
En de derde reden heeft te maken met de gegevens. In het bijzonder de medische gegevens. "Deze gegevens worden online verhandeld en leveren veel geld op. Medische gegevens komen namelijk nooit alleen. Ze komen in de regel samen met een heel dossier, BSN-nummer, naam etc." Daar blijkt het voor criminele hackers interessant te worden. "Enerzijds kun je mensen heel geloofwaardig met die gegevens oplichten, anderzijds kun je met dezelfde gegevens bepaalde producten kopen, leningen aanvragen en meer. Medische gegevens kunnen dan ook in veel vormen van fraude worden ingezet. Er zit een volledig verdienmodel achter."
Hoog in de organisatie. Hoog op de agenda
Om de cyberveiligheid hoger op de agenda van zorginstellingen te krijgen, is de NIS 2-richtlijn in het leven geroepen, een Europese richtlijn die medio 2024 in de lokale wetgeving moet zijn opgenomen. Deze richtlijn zal voor de nodige verandering gaan zorgen. "De NIS 2 is een richtlijn, waarbij van vitale infrastructuur wordt verwacht dat ze een vloer van digitale veiligheidsmaatregelen hebben", aldus Maasland. "Het gaat puur om het hebben liggen van een belangrijk fundament, de belangrijkste basis veiligheidsmaatregelen. Niet om het ‘plafond’. Zo moeten er onder andere incident- en crisisbeheersplannen door zorginstellingen worden gemaakt."
De nieuwe richtlijn legt de verantwoordelijkheid van cyberveiligheid bij de toplaag van organisaties, iets wat de cyberexpert een goed punt vind. "Ik ben van mening dat de top van een ziekenhuis dit belangrijke onderwerp hoog op de bestuursagenda hoort te zetten. Daarbij zouden de IT-mensen moeten weten dat ze aan de slag kunnen, mogen en moeten met de NIS 2-aanbevelingen. Het bestuur agendeert het onderwerp van cyberveiligheid en stelt budgetten beschikbaar, waarna de IT-afdeling weet dat dit prioriteit heeft. Als het IT-team vervolgens weer kan terugkoppelen welke stappen er zijn gezet, dan krijgt het bestuur het vertrouwen dat het geld goed wordt besteedt. In mijn optiek zou dit de wisselwerking moeten worden en zou het uiteindelijk tot een spiraal van urgentie binnen de zorg moeten leiden."
De expert in digitale veiligheid benadrukt het belang om nu binnen de bedrijfsmuren in actie te komen. "Langer wachten kan gewoon niet, want die tijd hebben we vanwege de geopolitieke spanningen, personeelstekorten en druk op de zorg niet. Het is belangrijker dan ooit om nu als organisatie, als team door te pakken!"
‘Vergroot je inzet. Verklein de impact’
Zoals gezegd zou Nederland niet het eerste land zijn waar een ziekenhuis volledig wordt platgelegd. Om die reden wil Maasland het zorgwezen dan ook de tip geven om vooral naar andere landen te kijken waar ziekenhuizen al met een cyberaanval te maken hebben gehad. "Wat vaak in risico-analyses wordt gedaan, is ons afvragen wat de kans is dat het gebeurt en wat de impact is. Welnu, de kans is 100% dát onze zorg door een cyberaanval wordt getroffen, want je ziet dat het in andere landen ook gebeurt. Wacht alsjeblieft niet (af) tot het in ons land gebeurt, maar beschouw een aanval op Europese ziekenhuizen als één op ons en trek uit die voorbeelden lering. Want des te beter we voorbereid zijn, des te minder groot de impact zal zijn."
Hulp nodig? Digitaal beveiligingsbedrijf ESET helpt bedrijven bij het digitaal weerbaar maken.
Cybersessies
RTL Z zendt zes weken lang in samenwerking met het digitale beveiligingsbedrijf ESET de serie 'Cybersessies' uit. Word bijgepraat over hoe jij je als ondernemer of burger tegen digitale criminelen beschermt, leer digitale veiligheid door de ogen van de aanvaller te zien en krijg te horen welke kansen digitale veiligheid met zich meebrengt.
Cybersessies is elke vrijdag om 11:10 uur op RTL Z te zien.
