Development

Dit is een bijdrage van Verizon Nederland
Security
Verizon DBIR 2019 Zorg

Zorgsector voelt cyberdreiging van binnenuit

Van groot belang dat zorginstellingen voldoende resources inzetten

6 december 2019
Door: Verizon Nederland, partner

Van groot belang dat zorginstellingen voldoende resources inzetten

De zorg is een kwetsbare sector als het gaat om cybersecurity. Primaire systemen en processen waken over onze gezondheid. Informatie is per definitie gevoelig. Er zijn voorbeelden uit de praktijk te over dat de beveiliging in deze kritische omgeving niet toereikend is. Het Verizon Data Breach Investigations Report 2019 biedt aanknopingspunten.

Als het even kan vermijden we graag een bezoek aan het ziekenhuis. Maar wanneer het echt niet anders kan, dan zijn we bij het medisch personeel in goede handen. We geloven maar wat graag dat we de beste zorg krijgen als mogelijk. En dat klopt ook, maar de zorg staat onder grote druk. De gezondheidszorg wordt gekenmerkt door een hoog tempo, waarin patiënten en cliënten worden behandeld en dat gaat gepaard met een flinke dosis stress. Daar komt bij dat medisch professionals gebonden zijn aan tal van regels, opgelegd door de overheid of tot stand gekomen op basis van industriestandaards. Dit alles is op zichzelf al een enorme opdracht. Daar komt bij dat de grootste bedreiging in het kader van cybersecurity van binnenuit komt. Onderzoekers van het Verizon Data Breach Investigations Report 2019 analyseerden 466 beveiligingsincidenten in de zorgsector en constateerden in 59 procent van de gevallen dat er sprake was van een interne dreigingsactor. De zorg scoort in dit opzicht het hoogst van alle verticals, een twijfelachtige eer.

Toegangsrechten en authenticatie
Het grootste probleem met interne actoren is dat zij logischerwijs al toegang hebben tot de systemen om hun werk te kunnen doen. De belangrijkste malversaties die aan het licht zijn gekomen hebben betrekking tot het misbruiken van de toegangsrechten tot bepaalde informatie en databases. Recent voorbeeld zijn de flagrante privacyschendingen door personeel van het Haagse HagaZiekenhuis, waardoor de medische gegevens van realityster Samantha de Jong op straat kwamen te liggen. Het ziekenhuis bestrafte 85 medewerkers die ongeoorloofd in het dossier van deze patiënt hadden zitten gluren. Het ziekenhuis zelf is door de Autoriteit Persoonsgegevens (AP) beboet met een bedrag van maar liefst 460.000 euro. Het bleek namelijk dat medewerkers slechts hun inlognaam en wachtwoord nodig hadden om bij de betreffende dossiers te komen. Om bij dergelijke documenten te kunnen, is een tweede authenticatiemiddel noodzakelijk, zoals een scan met een personeelspas of een aparte pincode. Daarin had het ziekenhuis niet voorzien en dat rekent de AP de instelling zwaar aan. Het HagaZiekenhuis gaat nog wel in beroep. 

Monitoren en markeren
Dit voorbeeld onderschrijft de constatering van de onderzoekers dat het in de zorg ontbreekt aan effectieve methoden voor het monitoren en markeren van ongebruikelijke en ongepaste toegang tot data. Ongepast omdat het inzien of opvragen van de betreffende data niet noodzakelijk is voor het vervullen van taken of voor het beter maken van patiënten. De boete die het Haagse ziekenhuis nu boven het hoofd hangt, heeft hoogstwaarschijnlijk vele andere instellingen ertoe aangezet hun eigen beveiligingsmaatregelen tegen het licht te houden. In het geval van realityster De Jong was het duidelijk dat data gelekt was; het was immers overal te lezen. Maar doorgaans is het lastiger interne datalekken te detecteren, dus moet je als zorginstelling hiermee aan de slag.

Foute linkjes
Een andere dreiging binnen de zorgsector komt net zoals bij andere sectoren binnen via mailservers: phishing. Medewerkers worden verleid om op foute linkjes te klikken in mailberichten om vervolgens allerlei credentials achter te laten. Deze worden vervolgens misbruikt om toegang te krijgen tot de cloud-based mail omgeving van de medewerker. Iedere vorm van cliëntendata die zich in welk mapje dan ook bevindt kun je als aangetast en verloren beschouwen. 

Kijken we naar malware dan valt op dat zorginstellingen relatief vaak te maken krijgen met gijzelsoftware. Dit najaar was er nog een vloedgolf aan aanvallen op ziekenhuizen in de VS en Australië die patiënten naar huis moesten sturen en OK’s moesten sluiten omdat systemen door ransomware waren platgelegd. Dat deze kwaadwillende software binnen komt, is het gevolg van open achterdeuren (bijvoorbeeld door nalatigheid met updates) en opnieuw phishing mail.

Integriteit van dossiers
We beseffen allemaal dat de zorgsector onder grote druk staat en als belangrijke uitdaging heeft de zorg voor iedereen toegankelijk en betaalbaar te houden. Desalniettemin is het van groot belang dat zorginstellingen voldoende resources inzetten om de integriteit van dossiers en beveiliging van  informatiesystemen te garanderen. Zorginstellingen moeten het immers niet in de laatste plaats hebben van betrouwbaarheid en vertrouwen. Zij doen er dan goed aan de waardevolste databronnen in kaart te brengen en de toegang hiertoe strikt aan banden te leggen en te monitoren. Vervolgens dienen ook de processen, waarin gevoelige informatie gewisseld wordt, te worden voorzien van checks and balances. Als dan ten slotte ook nog wordt gewerkt aan het kennisniveau van individuele medewerkers zodat zij phishing mails tijdig kunnen herkennen en rapporteren, zijn we een eind in de goede richting. 

Reactie toevoegen