De zorgsector: het volgende doelwit voor cybercrime?

  1. 11 jun 2015
  2. 0 reacties
Theo-Schutte-Fortinet

Zorgsystemen zijn kwetsbaarder dan de meeste zorgmanagers denken. Er hangt teveel van af om de risico’s te negeren.

De handel in medische dossiers is voor cybercriminelen veel lucratiever dan die in creditcardgegevens. Daarom richten zij hun activiteiten steeds vaker op zorginformatiesystemen. Hoewel gegevensbeveiliging wel de aandacht heeft in de directiekamers van zorginstellingen, voegen nog weinig bestuurders de daad bij het woord. Dat is zorgwekkend, want het gaat om mensenlevens.

Gestolen financiële persoonsgegevens leveren op de zwarte markt ongeveer 2 dollar per stuk op, terwijl een medisch dossier wel 20 dollar waard is. Dit blijkt uit onderzoek van PwC en het Nationaal Cyber Security Centrum uit 2014. Cybercriminelen lijken in de zorgsector meer ruimte te krijgen dan bijvoorbeeld in de financiële branche. Zodra iemand misbruik maakt van creditcardgegevens, achterhalen algoritmes in de transactiesystemen dat bijzonder snel. Vaak bieden deze systemen ook bescherming door illegale of verdachte transacties automatisch en proactief tegen te houden. Zo’n systeem bestaat helaas (nog) niet in de zorgsector.

Zelfs binnen de zorgsector realiseren maar weinig mensen zich hoe kwetsbaar veel zorgsystemen zijn voor een cyberaanval:

Traditionele cyberaanvallen

Dit zijn het soort aanvallen die in elk marktsegment plaatsvinden Malware, phishing, trojans, ransomware, ze komen overal voor, maar de zorgsector is hier bijzonder kwetsbaar voor omdat het in deze sector ontbreekt aan de ingebouwde maatregelen voor gegevensbescherming en het ingebakken bewustzijn over systeembeveiliging dat in andere branches heel gewoon is. Dit soort kwaadaardige software, of dit nu verspreid wordt via gerichte aanvallen, aangetaste websites, spam, geïnfecteerde mobiele apparaten, of op een andere manier, stelt niet alleen gevoelige gegevens bloot aan gevaar, het zorgt ook voor dure IT-zorgen die de aandacht afleiden van het echte werk.

Deze aanvallen zijn niet nieuw, maar ze worden wel steeds beter. Het feit dat ze patiëntgegevens kunnen achterhalen is echt zorgelijk. Cybercriminelen ontwikkelen tegenwoordig volledige malwareplatforms die snel aangepast kunnen worden om zorginstellingen aan te vallen.

Verbonden medische apparaten

Veel mensen staan er niet bij stil, maar veel medische apparaten hebben een verbinding met het netwerk van een zorginstelling. Van hartmonitor tot infuuspomp, steeds meer apparaten communiceren data, dat ook bewaard wordt. Vanuit het perspectief van patiëntenzorg en operationele efficiëntie is dat goed. Vanuit het perspectief van beveiliging is dat een nachtmerrie.

Beveiliging stond nooit voorop in het ontwerp van deze apparaten, noch van MRI-machines, CT-scanners en ontelbare andere diagnostische machines. Veel diagnostische systemen gebruiken kant-en-klare besturingssystemen, zoals Microsoft Windows, terwijl andere apparaten weliswaar op maat gemaakte software gebruiken, maar meestal alleen om gegevens te verzamelen, niet om ze te beschermen. Teveel van deze apparaten zijn uitermate eenvoudig te hacken. Zodra de hackers inbreken, krijgen zij onbelemmerd toegang tot alle klinische en bedrijfsinformatiesystemen waarmee deze apparaten communiceren.

Het gevaar bestaat uit de mogelijkheid dat cyberterroristen zorgmachines zodanig manipuleren, dat zij patiënten schade berokkenen. Zij kunnen ook kritische systemen in ziekenhuizen uitschakelen. Al in 2011 toonde een onderzoeker aan hoe een insulinepomp gehackt kon worden om een dodelijke dosis insuline af te geven. Afgelopen jaar trok Europol aan de bel met de boodschap dat cybercriminelen online kunnen moorden, bijvoorbeeld door een pacemacker te hacken.

Persoonlijke zorgapparaten

Het aantal apparaten voor zorgverlening neemt niet alleen toe in ziekenhuizen. Een toenemend aantal van deze apparaten is bedoeld voor thuisgebruik, als mobiele app of draagbaar op het lijf of in kleding. Steeds meer apparaten verzamelen en versturen persoonlijke gezondheidsgegevens. Deze apparaten en apps brengen niet alleen patiëntengegevens in gevaar (of beschermen deze onvoldoende), zij communiceren vaak ook direct met zorginformatiesystemen. Alles, van een glucosemonitor voor thuisgebruik tot een iPhone app, kan deel uitmaken van het platform voor een cyberaanval. Dat maakt pas echt duidelijk hoe slecht het gesteld is met de kwetsbaarheid van zorginstellingen. Net zoals medische apparaten binnen de instelling, werden deze persoonlijke zorgapparaten meestal ontworpen voor gemak en innovatie en niet met beveiliging in het achterhoofd.

Nadenken over de beveiliging van zorggegevens en –systemen moet niet gebeuren ná een incident, maar nu. De zorgsector moet in zijn geheel proactief zijn en beginnen met het implementeren van systemen waar beveiliging is ingebakken en die beschermd zijn aan zowel de netwerk- als de gebruikerskant. De risico’s zijn gewoon te groot om maar af te wachten, net zolang er daadwerkelijk een kalf verdrinkt.

Theo Schutte is country manager Nederland van Fortinet