Is onze zorg tegen een cyberaanval opgewassen?

Huidige status cyberveiligheid van de zorg
Maasland merkt dat er binnen de wandelgangen veel over de veiligheid van de zorg wordt gesproken. Want hoe digitaal veilig is ons zorgwezen eigenlijk? "Hoe het precies met de cyberveiligheid is gesteld, weten we niet. Wat we wel weten, is dat er zorgen zijn. En ja, er worden achter de schermen stappen gezet, maar als het nu mis zou gaan, dan zou het serieuze gevolgen kunnen hebben", aldus Maasland.
De cyberexpert vertelt dat de vitale sector onder vuur ligt. "Zo worden ziekenhuizen en zorginstellingen door Russische gelieerde aanvalsgroepen genoemd als potentieel doelwit. En stel dat gijzelsoftware een heel ziekenhuis weet plat te leggen, zoals we in het buitenland al meerdere keren hebben gezien, dan zijn de gevolgen groot; van het noodgedwongen moeten uitstellen van operaties tot het niet kunnen opnemen van nieuwe patiënten. Dit kan grote gevolgen hebben op de betrouwbaarheid van onze gezondheidszorg."
Volgens de specialist zijn de zorgen die cyberexperts over de digitale veiligheid van onze zorg hebben terecht. "Als ziekenhuizen en andere zorginstellingen in het buitenland door cyberaanvallen worden getroffen, waarom zou het dan niet in Nederland kunnen gebeuren?" Daarbij kaart de cyberexpert aan dat de zorg middenin een transitie zit: "De zorg digitaliseert in rap tempo, we hebben te maken met nieuwe wet- en regelgeving waar ze iets mee moeten én ze kampen met een personeelstekort. Ze hebben veel ballen hoog te houden."
Risico's van cyberaanvallen in de zorg
Maasland vervolgt zijn verhaal met het belangrijkste risico waarmee we in de zorg rekening moeten houden. "Het grootste risico zit 'm in het grootschalig uitvallen van IT-systemen. Neem niet alleen de kantooromgeving van het ziekenhuis dat met het internet verbonden is, maar ook de spoedeisende hulp. Op het moment dat de IT-systemen uitvallen, werken ook veel andere zaken in het ziekenhuis niet meer."
Tevens moeten we volgens de expert in digitale veiligheid ook denken aan een ander noemenswaardig risico van een cyberaanval; het lekken van medische gegevens. "Vorige week hadden we nog te maken met een grootschalig datalek bij onder andere de NS, VodafoneZiggo en Heineken, waarbij persoonsgegevens zoals namen, e-mailadressen en telefoonnummers van ruim twee miljoen Nederlanders zijn uitgelekt. Echter, de gevoeligheid van medische gegevens is vele malen groter. Neem ter illustratie bijvoorbeeld de hack op een Amerikaans ziekenhuis, waarbij foto's van vrouwen met borstkanker waren gelekt. Dit laat duidelijk zien hoe ver cybercriminelen kunnen gaan om de druk op een ziekenhuis op te voeren."
Welke straffen hangen criminele hackers boven het hoofd?
Prijs van medische gegevens
Wat maakt dat cybercriminelen uit zijn op het platleggen van ziekenhuizen en andere zorginstellingen? Daar zijn drie redenen voor te bedenken die volgens Maasland reden genoeg zouden moeten zijn om de cyberveiligheid van de zorg heel serieus te nemen. "Een ziekenhuis moet altijd door. Zodra je zo'n instelling volledig weet uit te schakelen, dan is - zo denken de criminele hackers - de kans groot dat er grote sommen geld worden betaald om weer toegang tot hun IT-systemen te krijgen. Per slot van rekening willen ze geen mensenlevens op het spel zetten."
De tweede reden waarom cybercriminelen zorginstellingen als doelwit zien, heeft te maken met de cyberoorlog. "Cyberaanvallen op ziekenhuizen kunnen als wapen in een hybride-oorlog worden ingezet. Dit is iets waar experts zich steeds meer zorgen om maken."
En de derde reden heeft te maken met de gegevens. In het bijzonder de medische gegevens. "Deze gegevens worden online verhandeld en leveren veel geld op. Medische gegevens komen namelijk nooit alleen. Ze komen in de regel samen met een heel dossier, BSN-nummer, naam etc." Daar blijkt het voor criminele hackers interessant te worden. "Enerzijds kun je mensen heel geloofwaardig met die gegevens oplichten, anderzijds kun je met dezelfde gegevens bepaalde producten kopen, leningen aanvragen en meer. Medische gegevens kunnen dan ook in veel vormen van fraude worden ingezet. Er zit een volledig verdienmodel achter."
Hoog in de organisatie. Hoog op de agenda
Om de cyberveiligheid hoger op de agenda van zorginstellingen te krijgen, is de NIS 2-richtlijn in het leven geroepen, een Europese richtlijn die medio 2024 in de lokale wetgeving moet zijn opgenomen. Deze richtlijn zal voor de nodige verandering gaan zorgen. "De NIS 2 is een richtlijn, waarbij van vitale infrastructuur wordt verwacht dat ze een vloer van digitale veiligheidsmaatregelen hebben", aldus Maasland. "Het gaat puur om het hebben liggen van een belangrijk fundament, de belangrijkste basis veiligheidsmaatregelen. Niet om het ‘plafond’. Zo moeten er onder andere incident- en crisisbeheersplannen door zorginstellingen worden gemaakt."
De nieuwe richtlijn legt de verantwoordelijkheid van cyberveiligheid bij de toplaag van organisaties, iets wat de cyberexpert een goed punt vind. "Ik ben van mening dat de top van een ziekenhuis dit belangrijke onderwerp hoog op de bestuursagenda hoort te zetten. Daarbij zouden de IT-mensen moeten weten dat ze aan de slag kunnen, mogen en moeten met de NIS 2-aanbevelingen. Het bestuur agendeert het onderwerp van cyberveiligheid en stelt budgetten beschikbaar, waarna de IT-afdeling weet dat dit prioriteit heeft. Als het IT-team vervolgens weer kan terugkoppelen welke stappen er zijn gezet, dan krijgt het bestuur het vertrouwen dat het geld goed wordt besteedt. In mijn optiek zou dit de wisselwerking moeten worden en zou het uiteindelijk tot een spiraal van urgentie binnen de zorg moeten leiden."
De expert in digitale veiligheid benadrukt het belang om nu binnen de bedrijfsmuren in actie te komen. "Langer wachten kan gewoon niet, want die tijd hebben we vanwege de geopolitieke spanningen, personeelstekorten en druk op de zorg niet. Het is belangrijker dan ooit om nu als organisatie, als team door te pakken!"
‘Vergroot je inzet. Verklein de impact’
Zoals gezegd zou Nederland niet het eerste land zijn waar een ziekenhuis volledig wordt platgelegd. Om die reden wil Maasland het zorgwezen dan ook de tip geven om vooral naar andere landen te kijken waar ziekenhuizen al met een cyberaanval te maken hebben gehad. "Wat vaak in risico-analyses wordt gedaan, is ons afvragen wat de kans is dat het gebeurt en wat de impact is. Welnu, de kans is 100% dát onze zorg door een cyberaanval wordt getroffen, want je ziet dat het in andere landen ook gebeurt. Wacht alsjeblieft niet (af) tot het in ons land gebeurt, maar beschouw een aanval op Europese ziekenhuizen als één op ons en trek uit die voorbeelden lering. Want des te beter we voorbereid zijn, des te minder groot de impact zal zijn."
Hulp nodig? Digitaal beveiligingsbedrijf ESET helpt bedrijven bij het digitaal weerbaar maken.
Cybersessies
RTL Z zendt zes weken lang in samenwerking met het digitale beveiligingsbedrijf ESET de serie 'Cybersessies' uit. Word bijgepraat over hoe jij je als ondernemer of burger tegen digitale criminelen beschermt, leer digitale veiligheid door de ogen van de aanvaller te zien en krijg te horen welke kansen digitale veiligheid met zich meebrengt.
Cybersessies is elke vrijdag om 11:10 uur op RTL Z te zien.
Cybersessies
Onderdeel van dossier
Cybersessies
Meer van het dossier 'Cybersessies'
Aangeboden door KPN en ESETCookies accepteren gevaarlijker dan je denkt
Aangeboden door KPN en ESETCybercrime is voor slachtoffers vaak nog heftiger dan een fysiek delict
Aangeboden door KPN en ESETAI zorgt voor een toename van cybercriminaliteit
Aangeboden door KPN en ESETDeepfakes: 'Laat je niet interneppen'
Aangeboden door KPN en ESETSmart home: 'Makkelijkste route voor criminelen'
Aangeboden door KPN en ESET'In de winterperiode slaan cybercriminelen extra vaak toe'
Aangeboden door KPN en ESET'Denk vooral niet dat je digitaal veilig bent'
Aangeboden door KPN & ESET NederlandNieuw seizoen Cybersessies: 'Focus op consumenten'
Aangeboden door ESET'Cyberveerkracht is wat we als maatschappij nodig hebben'
Aangeboden door ESET'Ethische hackers kunnen ons beschermen'
Aangeboden door ESETHoe goed zijn jouw ‘VIPS’ digitaal beveiligd?
Aangeboden door ESETWelke mensen hebben de meeste kans om te worden gehackt?
Aangeboden door ESETKansen en uitdagingen van AI op cybergebied
Aangeboden door ESETWondermiddel of bedreiging? 'AI heeft goede én slechte kanten'
Aangeboden door ESETWelke straffen hangen criminele hackers boven het hoofd?
Aangeboden door ESET‘In de toekomst zullen er altijd hybride-oorlogen zijn’
Aangeboden door ESETOekraïne beter bestand tegen cyberaanvallen dan gedacht
Aangeboden door ESET'Cybersecurity is net schaken; denk vooruit'
Aangeboden door ESET'Onderschat de hackers van 't Kremlin niet'
Aangeboden door ESETDerde seizoen 'Cybersessies' start vrijdag 17 maart
Van onze partner ESETWat kun je vandaag nog doen om morgen beter beveiligd te zijn?
Van onze partner ESET'Cybercriminelen zijn écht geen koekenbakkers'
CybersessiesBetere wetgeving rondom digitale veiligheid is een redmiddel
CybersessiesDuivels dilemma: wel of niet betalen bij een hack?
Van onze partner ESET NederlandWat moet je doen als je gehackt bent: een stappenplan
CybersessiesMijn bedrijf is gehackt, wat nu? Download het stappenplan
CybersessiesDe impact van een hack
Van onze partner ESETDigitale veiligheid, waarom het juist nu belangrijker dan ooit is
Van onze partner ESET'Zonder voorzorgsmaatregelen ga je een keer nat'
Van onze partner ESETDigitaal ben je zo veilig als de zwakste schakel
Van onze partner ESET'Niet de vraag óf, maar wanneer cyberaanvallen plaatsvinden'
Van onze partner ESETCybersessies - Dit kunnen we van ethisch hackers leren
Van onze partner ESETCybersessies - Hoe groot is de kans om te worden gehackt? (afl.2)
Van onze partner ESETBelang van digitale bescherming: 'Internet is onze digitale levensader'