Waarom is de gezondheidszorg aantrekkelijk voor hackers?

Voorkomen is beter dan genezen. Dat geldt niet alleen voor uw eigen gezondheid, maar ook van die van uw ICT en informatiehuishouding. Uit cijfers van de Autoriteit Persoonsgegevens (AP) blijkt dat de sector zorg en welzijn de kroon spant als het gaat om datalekken. In 2018 werden vanuit de gezondheidszorg ruim zesduizend datalekken gemeld, bijna een derde van het totale aantal incidenten.

Meestal ging het hierbij om datalekken waarbij mails of brieven met NAW- of medische gegevens of burgerservicenummers naar een verkeerde ontvanger werden gestuurd. Maar er waren ook meldingen van kwijtgeraakte privacygevoelige informatie doordat bijvoorbeeld laptops of usb-stick werden verloren of gestolen en door hacking, phishing of malware.

Medisch dossier te koop

Voor cybercriminelen kan het hacken van een ziekenhuis behoorlijk lucratief zijn. Uit Amerikaans onderzoek blijkt dat een compleet medisch dossier, met verzekeringsnummer, adres en BSN tussen 50 en 500 dollar kan opbrengen. Dat is veel meer dan bijvoorbeeld een creditcardnummer, dat op het ‘deep web’ nog geen euro waard is. Niet vreemd, want een patiëntendossier biedt niet alleen meer informatie, maar ook veel meer mogelijkheden. Denk daarbij aan (verzekerings)fraude, afpersing of het verkrijgen van voorschriften voor bepaalde medicijnen.

Ransomware

Soms wordt medische informatie te koop aangeboden aan het ziekenhuis waar het werd gestolen. In dat geval houden hackers gegevens gegijzeld met zogenaamde 'ransomware' en krijgt niemand toegang tot de informatie tot er losgeld is betaald. Zo werd de Britse zorgsector in 2017 getroffen door de Wannacry-aanval, waardoor duizenden afspraken en operaties geannuleerd moesten worden. Ook Nederlandse ziekenhuizen worden regelmatig bestookt met ransomware, maar zover bekend heeft dit nog niet geleid tot grote problemen.

Persoonlijke gegevens

Er is geen sector ter wereld die zoveel persoonlijke gegevens verwerkt als de gezondheidszorg. Niet alleen artsen, maar ook verpleegkundigen, verzekeringsmaatschappijen, apothekers, softwareleveranciers en andere dienstverleners in de zorgsector hebben toegang nodig tot persoonlijke informatie om de beste zorg te kunnen bieden. In de gezondheidszorg kan snel handelen het verschil maken tussen leven en dood. In noodgevallen moeten zorgverleners dus snel kunnen beschikken over iemands medische gegevens en is er geen tijd voor ingewikkelde wachtwoorden en multi-factor authenticatie.

Menselijke factor

Met tal van stakeholders die toegang hebben tot medische informatie en ICT-beveiliging die niet altijd optimaal is, lijkt de zorgsector een gemakkelijk prooi voor cybercriminelen. Zo eenvoudig ligt het echter niet. Vergeleken met andere sectoren heeft de gezondheidszorg enorme stappen als het gaat om cybersecurity. Maar ondanks investeringen in antivirussoftware, geavanceerde netwerkbeveiliging en algehele betere cyberbeveiliging, vinden er nog steeds incidenten plaats. De menselijke factor speelt hierin slechts gedeeltelijk een rol. Medisch personeel is er om een ziekte te herkennen, niet de volgende malwareaanval. Dus extra protocollen voor ICT-beveiliging betekenen extra druk op hun toch al zware takenpakket.

Internet of Things

Maar het gaat niet alleen om de menselijke kant van ICT-beveiliging. Ook moderne medische apparatuur brengt beveiligingsrisico’s met zich mee. Die is namelijk steeds vaker verbonden met het Internet of Things. Hierdoor zijn gegevens weliswaar beter beschikbaar, maar al die online scanners, pacemakers, insulinepompen, etc. kunnen in principe ook worden gehackt. Medische apparatuur draait regelmatig op verouderde software en standaardwachtwoorden en wordt vaak zó intensief gebruikt dat er amper tijd is om softwarepatches en beveiligingsupdates uit te voeren.

ISO 27001

Wat kan er dan worden gedaan om te voorkomen dat medische en andere vertrouwelijke informatie in verkeerde handen komt? Elke organisatie - publiek of privaat, groot of klein – beheert persoonsgegevens en andere informatie. Als u informatiebeveiligingsrisico's wilt beheersen, kan de internationale standaard voor gegevensbescherming ISO 27001 helpen, ook in de gezondheidszorg. ISO 27001 biedt u een raamwerk voor het opzetten van een Information Security Management System (ISMS). Lees meer over ISO 27001 certificering door Kiwa.

NEN 7510

Speciaal voor de Nederlandse zorgsector is er de NEN 7510. Werken volgens deze op ISO 27001 gebaseerde norm is verplicht voor elke Nederlandse zorgverlener en certificering is dan ook van toegevoegde waarde voor elke organisatie in Nederland die werkt met zorginformatie, inclusief leveranciers. Lees meer over NEN 7510 certificering door Kiwa.