Idealiter zou de gezondheidszorg de laatste sector zijn die het doelwit is van hackers en cyberaanvallers – niemand wil immers de kritieke ziekenhuisinfrastructuur lamleggen en met levens spelen. De gezondheidszorg wordt echter nog steeds het zwaarst getroffen als het gaat om de gemiddelde kosten van een datalek, met een piek van $9,2 miljoen in 2021.
Maar waarom gezondheidszorg?
Het is niet zo dat leidinggevenden in de gezondheidszorg niet willen investeren in cyberbeveiligingsoplossingen, maar er zijn veel obstakels. De voortdurende evolutie van cyberaanvallen, de verouderde medische infrastructuur en de hoge marktwaarde van privépatiëntgegevens zijn enkele redenen waarom de gezondheidszorg als geen ander blijft strijden tegen cyberbedreigingen.
Bovendien is er een gebrek aan tijd en middelen om medisch personeel te trainen in de aard van cyberaanvallen. Hoewel ze goed opgeleid zijn om levens te redden, zijn ze niet voldoende opgeleid om de gevolgen van online risico’s te begrijpen.
Na verder speurwerk en het doorspitten van verschillende bronnen hebben we de meest voorkomende cyberaanvallen geïdentificeerd die de gezondheidszorg bedreigen.
Ransomware
Ransomware was in 2021 de meest voorkomende en snelst groeiende vorm van malware en in 2023 zijn er geen tekenen dat het minder wordt. Het is ook de aanvalsvector die het meest wordt gekozen door dreigingsactoren die zich richten op de gezondheidszorgsector. Bij een typische ransomware-aanval krijgen bedreigingsactoren toegang tot gevoelige gegevens en versleutelen deze, waarbij ze slachtoffers dwingen om losgeld te betalen in ruil voor het vrijgeven van die gegevens. Simpel gezegd, gegevens worden gegijzeld. In plaats van losgeld te betalen, is het beter om een fractie van dat geld te investeren in tools voor gegevensversleuteling en back-up.
Gegevensdiefstal
Een hacker heeft meer te winnen bij de verkoop van persoonlijke gezondheidsinformatie (PHI) dan bij de verkoop van creditcardgegevens op de zwarte markt. De gemiddelde kosten van één PHI-record op de zwarte markt zijn 355 dollar. Om dat in perspectief te plaatsen, de gemiddelde kosten per record van creditcardgegevens zijn een miezerige $1-$2. Organisaties in de VS kunnen op deze site op de hoogte blijven van geregistreerde inbreuken op de gezondheidszorg. Inbreuken op gegevens kunnen om verschillende redenen plaatsvinden, zoals zwakke of gestolen referenties of malware.
Ongeautoriseerde toegang
De eerste en belangrijkste regel voor het beschermen van medische patiëntendossiers is om ze van binnenuit te beveiligen. Dit wordt gedaan door ervoor te zorgen dat alleen een specifieke groep personen binnen het bedrijf toegang heeft, waaronder werknemers en geautoriseerde derden. Kritische PHI of persoonlijk identificeerbare informatie (PII) moet niet alleen worden beveiligd tegen de nieuwsgierige ogen van cybercriminelen, maar ook tegen mensen binnen de organisatie die er niets mee te maken hebben.
Een gehackte netwerkserver
In tegenstelling tot IT-systemen in andere sectoren is een gezondheidszorgnetwerk een alomtegenwoordig platform dat verschillende onderdelen van een gezondheidszorgorganisatie met elkaar verbindt, waaronder MRI-machines, patiëntbewakingshulpmiddelen, werkstations, besturingssystemen, randapparatuur en computers. Hoewel deze verschillende onderdelen de algehele ervaring in de gezondheidszorg verbeteren, vergroten ze ook het aanvalsoppervlak van de organisatie.
Dit gecompliceerde samenspel van middelen kan leiden tot blinde vlekken in het netwerk, wat een broedplaats kan zijn voor achterdeurtjes en zwakke plekken die hackers kunnen uitbuiten. Om dit te voorkomen, is het aan te raden om netwerken in de gezondheidszorg te versterken met een combinatie van firewalls, inbraakpreventiesystemen en tools voor het opsporen en verhelpen van kwetsbaarheden, en tegelijkertijd een gebundelde oplossing voor endpointbeheer in te zetten om de zichtbaarheid in het netwerk te verbeteren.
Phishing
Een typische blauwdruk van een cyberaanval bestaat uit het aftasten van het netwerk op zwakke plekken en het uitbuiten van die zwakke plekken om ongeautoriseerde toegang te krijgen tot bestanden en informatie. In het geval van phishing zijn wij de grootste zwakke plek waar meestal gebruik van wordt gemaakt: mensen. Door personeel in de gezondheidszorg te trainen, geprivilegieerde toegang in te stellen en multi-factor authenticatie af te dwingen, kunnen phishing-aanvallen onder controle worden gehouden.
Aangetaste zakelijke e-mails
Deze aanval is een vorm van phishing, maar is niet gericht op het ziekenhuisnetwerk, maar op de werknemers die er werken. Cybercriminelen doen zich voor als iemand van het hogere management en verleiden werknemers of zorgafdelingen om geld over te maken naar de rekening van de cybercrimineel met behulp van een combinatie van vervalste e-mails en social engineering.
Onveilige servers of databases
Ziekenhuizen slaan soms per ongeluk patiëntendossiers op een publiek toegankelijke server op, op een manier waar iemand met een internetverbinding gemakkelijk bij kan. Dit kan resulteren in een regelrechte inbreuk op de beveiliging, waardoor duizenden, zo niet miljoenen PHI-dossiers in gevaar komen. Gelukkig zorgen nalevingsmandaten ervoor dat organisaties in de gezondheidszorg PII veiliger behandelen en opslaan.
Afronden
Organisaties in de gezondheidszorg worden steeds afhankelijker van IT. Hoewel organisaties geavanceerde technologieën gebruiken om de patiëntenervaring te verbeteren en workflows te automatiseren, zijn deze technologieën zelden ontworpen met beveiliging in het achterhoofd. En hoewel dit het aanvalsoppervlak kan vergroten, mag het nooit een afschrikmiddel zijn voor innovatie.
