Zorgverleners krijgen steeds vaker te maken met Cybercriminaliteit, hoe komt dat?
2023
Het is een veelgemaakte denkfout: als relatief kleine zorgverlener ben ik toch niet interessant voor hackers? Helaas wel, zoals we uitleggen in dit artikel. Cyberdreigingen zoals ransomware, aanvallen op webapplicaties, phishing en CEO-fraude komen vaak voor binnen de zorgwereld – misschien wel júíst bij kleinere zorgaanbieders. We geven antwoord op de vijf meest gestelde vragen over cybersecurity voor eerstelijns zorgaanbieders.
-
Met wat voor cyberdreigingen kan ik te maken krijgen?
Vorig jaar moest een tandartsketen 2 miljoen euro losgeld betalen aan hackers wegens een ransomware-besmetting. Ook een Brabantse zorginstelling met vijf woonzorgcentra werd recent slachtoffer van deze vorm van digitale gijzeling. Ransomware is de bekendste – en vaak ook schadelijkste – cyberdreiging waar je als zorgorganisatie mee te maken kunt krijgen. Andersoortige malware, phishing, afpersing door te dreigen de organisatie plat te leggen met een DDoS-aanval, gevoelige of financiële data stelen en CEO-fraude zijn óók allemaal interessant voor hackers. Zo geeft 2 procent van de zorginstellingen aan ooit slachtoffer te zijn geweest van CEO-fraude.
-
Waarom door míjn achterdeur?
Stel, je bent een kleinere eerstelijns zorgverlener zoals een huisarts, tandarts, fysiotherapeut, apotheker of verloskundige. Waarom zouden hackers het dan op jou gemunt hebben? Simpel: met de hierboven omschreven methodes kunnen ze veel geld verdienen. En als jij je cyberveiligheid niet in orde hebt, dan komen ze graag bij je binnen. Hackers gaan door iedere open achterdeur, zelfs al ben je een non-profitorganisatie. Uit het Cybersecurity Dreigingsbeeld Zorg 2022 blijkt daarnaast dat ransomware-criminelen evengoed kleine als grote zorgaanbieders aanvallen.
Kleinere organisaties kunnen juist extra interessant zijn, omdat daar het security-niveau over het algemeen lager ligt. Via bijvoorbeeld kwetsbaarheden in de software, slechte configuraties, zwakke wachtwoorden of onvoldoende bewustzijn bij de medewerkers (bijvoorbeeld op het vlak van phishing en wachtwoorden) verschaffen hackers zichzelf toegang. Vaak gebruiken ze geautomatiseerde tools om zwakheden bij organisaties te vinden.
-
eBook: Digitalisering in de zorg
Hoe kan digitalisering helpen om zorgverleners te versterken, veiligheid te bieden en mensen centraal te stellen? Je leest het in dit eBook.
Wat het extra complex maakt: het zogeheten aanvalsoppervlak is de laatste jaren steeds groter geworden, aangezien we meer en meer (mobiele) apparaten zijn gaan gebruiken. Het is niet ongebruikelijk dat een hacker via bijvoorbeeld een privétablet van een medewerker het bedrijfsnetwerk opkomt.
Tot slot: mensen – zo wordt vaak gezegd – zijn de zwakste schakel in cybersecurity. Zonder de juiste kennis klikken zij bijvoorbeeld gemakkelijk op een phishing-link. In de zorg is dit probleem misschien nog wel erger: door het grote personele verloop is het lastig om het securitykennisniveau van alle medewerkers op peil te houden.
-
Wat valt er bij mij te halen?
Bij ransomware is het duidelijk: losgeld. De medische en financiële gegevens waarover je beschikt, zijn voor hackers ook interessant. Dit soort data kunnen ze bijvoorbeeld doorverkopen op het darkweb; de kopers kunnen het vervolgens gebruiken voor onder andere identiteitsdiefstal of chantage.
-
Wat zijn de gevolgen van een hack?
Dat hangt er sterk vanaf. Losgeld loopt al snel in de tienduizenden euro’s, grotere organisaties moeten vaak miljoenen betalen. Verder kun je te maken krijgen met: -Downtime: systemen liggen eruit en bestanden zijn niet beschikbaar
- Misgelopen inkomsten
- Reputatieschade, zeker als het incident de media haalt
- Herstel- en onderzoekskosten
Afhankelijk van de situatie moet je het datalek mogelijk ook melden bij de Autoriteit Persoonsgegevens.
Wat kan ik doen om hackers buiten de deur te houden?
Het belangrijkste is dat je als zorgorganisatie je ‘cyberhygiëne’ op orde hebt. Waar persoonlijke hygiëne ervoor zorgt dat je gezond blijft, draagt cyberhygiëne bij aan het voorkomen van cyberaanvallen en het beschermen van digitale gegevens. Belangrijke cyberhygiënemaatregelen zijn bijvoorbeeld anti-virussoftware, veilig wachtwoordbeheer, multi-factor authenticatie, een goed updatebeleid, een veilig netwerk, security awareness-trainingen voor medewerkers en veilig beheer van toegangsrechten. Voorkomen is natuurlijk altijd beter dan genezen. Toch is het verstandig om goed voorbereid te zijn op een mogelijke hack of ander security-incident. Het kan dan ook bepaald geen kwaad om aan de slag te gaan met het opstellen van een degelijk business continuity plan, waarin je onder andere een business impact analyse, disaster recovery plan en incident response plan opneemt.
MaXXus ontzorgt en kan u verder helpen bij het beveiligen van uw kritische gegevens!
Bron: KPN the digital Dutch zakelijk blog