Beheer
Lessen van: ransomware in de Ierse zorg, leerzaam voor iedereen
Veel van de belichte kwetsbaarheden zijn niet uniek voor dit geval.
Veel van de belichte kwetsbaarheden zijn niet uniek voor dit geval.
Voorkomen is beter dan genezen, is een wijsheid die niet alleen geldt voor medische zorg. Ook bij cybersecurity is er sprake van zorg, waarbij voorkomen beter - en vaak ook goedkoper - kan zijn dan herstellen nadat er een security-incident heeft plaatsgevonden. De nationale zorg in Ierland heeft dat inzicht met schade (en schande?) verkregen. Zorgverlener HSE (Health Service Executive) is bijna 52 miljoen euro kwijt aan de nasleep van een ransomwarebesmetting. Daar valt veel van te leren.
Het ging bij de ransomware-aanval van mei vorig jaar níet om zomaar een enkele, lokaal gerichte zorgverlener. Nee, de HSE is een grote organisatie die meer dan 130.000 werknemers telt, die direct in dienst zijn maar ook indirect (dus bij verbonden en gefinancierde organisaties). Daarmee is het de grootste werkgever in heel Ierland. De zorgverlener bestrijkt met vier bestuurlijke regio's en elk 32 lokale zorglocaties heel het land.
Voor 2021 had deze nationale gigant een totaalbudget van 20,6 miljard euro, wat 3,5 miljard meer is dan in 2020. De 51.845.579 euro die naar de ransomware-afhandeling is gegaan, lijkt dan misschien klein bier. Maar in de zorg telt elke euro. Dat geld had anders - en beter - besteed kunnen worden. Met wat maatregelen, die méér organisaties moeten nemen.
Maanden en miljoenen
"Kwesties die zijn geïdentificeerd in dit rapport zullen ook worden aangetroffen in andere organisaties", schrijft consultancy PwC in zijn het rapport over deze cyberaanval op de HSE. Dat onafhankelijke rapport is in opdracht van dat hackslachtoffer opgesteld en nu openlijk vrijgegeven. Nadat de Ierse zorg en de Ierse politiek bezworen had de digitale afpersers niet te betalen, is er een langdurige hersteloperatie gevolgd.
Een complexe en kostbare hersteloperatie. Van de net geen 52 miljoen euro is namelijk 9,7 miljoen besteed aan preventieve maatregelen. De overige 42 miljoen is gespendeerd aan het eigenlijke herstel. Dat heeft maanden geduurd, ondanks het feit dat de HSE wel de decryptiesleutel voor de ransomware had verkregen. De cybercriminelen hebben na een week afgezien van hun afpersing van de Ierse zorg. Zij hebben hun slachtoffer de cryptografische sleutel gegeven waarmee de versleutelde data en systemen weer waren te 'bevrijden'. Waarschijnlijk hebben de afpersers dit gedaan uit PR-overwegingen.
Gratis sleutel en legerhulp
Niet elk ransomwareslachtoffer kan of moet rekenen op zulke coulance van cybercriminelen. En zelfs áls er sprake is van 'vrijgevigheid' wat decryptie betreft, is er daarmee geen sprake van geen of weinig kosten. De 42 miljoen euro herstelkosten van de HSE bewijzen dat wel. Hoeveel had voorkomen gekost, in plaats van dit 'genezen'? Een exact bedrag is misschien niet vast te stellen, maar er is wel een goed onderbouwd getal beschikbaar voor deze casus.
Dat getal is namelijk de 9,7 miljoen die de Ierse zorgverlener dit jaar, tot op heden, heeft uitgegeven om toekomstige aanvallen te voorkomen. Daarmee is de security natuurlijk niet 100% sluitend en mogelijk komen er nog meer kosten in de loop van dit jaar. Maar het moge duidelijk zijn dat herstel en dan maatregelen tegen herhaling flink kostbaarder kunnen zijn dan echte, goede preventie.
Overigens heeft de HSE bij de hersteloperatie ook nog hulp van het leger gekregen. Dat is een andere factor waar lang niet elke andere organisatie op kan rekenen en waar dus extra kosten voor staan bij 'gewone' slachtoffers van hackaanvallen. Zulke andere organisaties kunnen elk om verschillende redenen ook op de korrel worden genomen door cybercriminelen, staatshackers, digitale afpersers en ander gespuis. Het is dus zaak voor organisaties in alle soorten en maten, plus in alle sectoren, om goed te leren van het HSE-geval en het daaruit voortgekomen onderzoeksrapport.
IT-omgeving, voor verbetering vatbaar
"De nationale gezondheidsdienst draait op een fragiel IT-landschap met een architectuur die is geëvolueerd, in plaats van ontworpen voor weerbarstigheid en beveiliging", schrijft PwC in het vrijgegeven rapport. Het netwerk van de HSE (National Healthcare Network, NHN) is voornamelijk een niet-gesegmenteerd netwerk, dus vormt nagenoeg één geheel. Dit is vanwege gemak voor medewerkers; om hun toegang te geven tot de IT-applicaties die ze nodig hebben, constateert PwC.
Een geleidelijk gegroeid IT-landschap, een veelomvattend 'plat' netwerk, en voorrang voor gebruikersgemak boven beveiliging. Klinkt bekend? Het zou in ieder geval bekend moeten klinken voor veel IT'ers, want dit is bij veel organisaties nog altijd de praktijk. Dit ontwerp zorgt er echter voor dat aanvallers binnen kunnen komen, dan diep kunnen doordringen, en eventueel ook verbonden organisaties kunnen bereiken. Dat is dan ook gebeurd bij de HSE.
Tech en mens (en tech) falen
De aanvallers zijn bij de Ierse zorg binnengedrongen op 18 maart 2021. Toen is er een werkstation van een medewerker geïnfecteerd met malafide software. Die malware is binnengekomen via een Excel-document dat als attachment zat bij een phishingmail. Een mail die op 16 maart was verstuurd. Hier zijn dus phishing- en spamfilters, attachmentscanners, malwaremonitors én de waakzaamheid van de medewerker tekort geschoten.
Daarna zijn netwerkmonitoring, accountbewaking, softwaresurveillance en andere mogelijke securitymaatregelen tekort geschoten. Voor zover die natuurlijk aanwezig waren én goed geconfigureerd waren, actueel gehouden en qua informatie-output goed bijgehouden. Nadat de aanvallers hun initiële ongeautoriseerde toegang tot de IT-omgeving van de HSE hadden verkregen, zijn ze acht weken lang daarin bezig geweest, schrijft PwC.
In die acht weken hebben de cybercriminelen een aanzienlijk aantal accounts gecompromitteerd en misbruikt. Dit waren accounts met hoge niveaus qua privileges binnen de IT-omgeving met het platte netwerk. Het gebruik van deze accounts met vergaande rechten heeft ervoor gezorgd dat een groot aantal servers is gehackt en dat er zorgdata is gestolen. Ook zijn via die accounts met flinke bevoegdheden aangesloten ziekenhuizen bereikt.
Het geëvolueerde, platte netwerk van deze organisatie vormt dus een risico voor organisaties die erop aangesloten zijn. Maar dat geldt ook andersom. Als één van de 'partners' wordt gehackt, kunnen aanvallers ook daarlangs binnenkomen bij de 'hoofdorganisatie'. Of dat nu een zorgverlener, een bedrijf of een overheidsinstantie is.
Wel tekenen vooraf
Uiteindelijk is op 14 mei de Conti-ransomware geactiveerd. Pas toen is het security-incident echt aan het licht gekomen. Pas toen had HSE door dat er iets flink mis was. En dat kwam doordat er ineens een wijdverbreide IT-storing was, die de hele dienstverlening verstoorde. Overigens is het niet zo dat er vóór de activering van de ransomware totaal geen teken of waarschuwing is geweest.
De activiteiten van de aanvallers zijn meerdere keren gedetecteerd, maar die kleine meldingen hebben niet een grotere alarmbel laten afgaan. De individuele handelingen lijken niet met elkaar in verband te zijn gebracht. Ze zijn in ieder geval niet als cybersecurity-incident opgepakt en als zodanig onderzocht, valt te lezen in het rapport. Als gevolg daarvan zijn kansen misgelopen om de succesvolle activering van de ransomware te voorkomen, concludeert PwC.
Naast detectie speelt ook 'IT-hygiène' een rol in preventie. Isolatie en quarantaine, procedures, traceerbaarheid van (be)handelingen en ook mensen, plus meer van zulke zorgzaken. Zo had de netwerkarchitectuur van de HSE een complex en niet in kaart gebracht geheel van permissies voor systeembeheerders. Die IT-werknemers hadden toegang tot systemen verspreid over het zorgnetwerk NHN. De aanvallers hadden dit op gegeven moment dus ook.
Niet makkelijk, wel nodig
Daardoor hebben de cybercriminelen de enorme impact kunnen maken; de hele Ierse zorg was ernstig gemankeerd. Daarbij waren ouderwetse middelen de redding voor sommige onderdelen van de HSE. Kritieke functies konden vervuld blijven worden door gebruik van papieren patiëntendossiers. Maar lang niet elke organisatie of bedrijf kan zo functioneren, anno nu. Terwijl dit volgens PwC een positieve feature was in de omgang met dit security-incident, toont het volgens de consultancy ook de noodzaak van modernisering in de zorg aan. Anders is digitale zorgverlening bij voorbaat al redelijk kansloos.
De crux bij dit alles is het verminderen van cybersecurityrisico. En dat vereist een aantal ingrijpende zaken. Zoals een transformatie in de mogelijkheden die een organisatie heeft op het gebied van cybersecurity. Zoals een goed ontworpen IT-transformatie. Zoals het aanpakken van een legacy IT-landschap. Zoals het inbouwen van security en weerstand in de IT-architectuur. Zaken waarvoor op hoog én laag niveau steun, budget, medewerking en mandaat nodig is.
De HSE werkte sinds eind 2018 met een interim-CIO (chief information officer) die beperkt was qua mandaat, autoriteit en middelen, stipt PwC nog aan. Deze hoogste IT-functionaris kon dus geen veranderingen effectueren over de diverse organisaties heen die verbonden zijn met het zorgnetwerk NHN. Daarnaast was er ook nog sprake van een tekort aan mensen en middelen voor kritieke IT-functies. PwC spreekt daarover van aanzienlijk lagere niveaus dan het zou verwachten voor een organisatie van deze omvang.
Op bestuursniveau
De consultancy pleit voor het aanstellen van een Chief Technology and Transformation Officer (CTTO), die dan overkoepelend is voor CIO-taken, CTO-taken en digitaliseringszaken. Laatstgenoemde betreft dan dus ook het aanjagen van IT-transformatie. De CTTO moet lid zijn van het uitvoerende mangementteam en direct onder de CEO vallen, luidt één van de adviezen in het openbaar beschikbare PwC-rapport. Voor kleinere organisaties zijn zulke C-level opstellingen mogelijk niet haalbaar. Maar dan nog zijn er genoeg lessen ter preventie te putten uit deze infectie bij de Ierse zorg.
Techjournalist, ICT-kenner en contentproducent bij AG Connect.