Cybercrime groot continuïteitsrisico voor zorgsector

Cybercrime is één van de grootste continuïteitsrisico’s van dit moment. Zeker voor zorginstellingen. Medio 2016 werden bijvoorbeeld diverse ziekenhuizen wereldwijd getroffen door ‘ransomware’ aanvallen. Daarbij gijzelden hackers bedrijfskritieke data (zoals patiëntgegevens) door deze te versleutelen. Pas na betaling van losgeld werden de data weer vrijgegeven.

Hacking van medische apparatuur

Ook ‘medjacking’ komt in de praktijk voor. Dit houdt in dat hackers zich toegang verschaffen tot relatief slecht beveiligde medische apparatuur die in verbinding staat met de rest van het computernetwerk. De Amerikaanse onderzoekers Scott Erven en Mark Collao hebben met hun recente onderzoek aangetoond dat tienduizenden medische apparaten zoals cardiologische systemen, infuussystemen en radiologische apparatuur via het internet benaderbaar zijn. Uit een experiment met een MRI-scanner en defibrillator bleek dat gedurende een half jaar zo’n 55.000 geslaagde inlogpogingen hierop werden uitgevoerd en 300 malware installaties.

 

Diefstal en gijzeling van medische gegevens

Alhoewel ‘medjacking’ in potentie kan resulteren in enorme patiëntveiligheidsrisico’s, zijn cybercriminelen meer geïnteresseerd in het verkrijgen van toegang tot waardevolle informatie via deze medische apparaten. Met het installeren van ransomware of diefstal van medische gegevens vallen namelijk enorme sommen geld te verdienen. Medische gegevens brengen op de zwarte markt inmiddels al tienmaal meer op dan financiële gegevens zoals creditcard informatie.

Cybersecurity versus business continuity

Vanuit cybersecurity oogpunt zijn veel maatregelen denkbaar die de impact of kans op een geslaagde aanval verlagen. Binnen de zorgsector zijn deze maatregelen echter niet altijd even goed toepasbaar. Een ziekenhuis bijvoorbeeld, is een fysiek open omgeving waarbij patiënten en bezoekers komen en gaan. Ook digitaal zijn ziekenhuizen vaak relatief open ingericht om in geval van nood direct bij zoveel mogelijk relevante informatie te kunnen. Een patiënt die direct hulp nodig heeft, dient meteen geholpen te kunnen worden. Er mogen op zo’n moment geen technische security belemmeringen zijn zoals het niet kunnen inloggen op een medisch systeem.

Juiste maatregelen in een ‘split second’

Preventieve security maatregelen zoals het preventief loskoppelen van apparaten of het configureren van striktere beveiligingsinstellingen dienen dus zorgvuldig te worden overwogen. Voor een dergelijke zorgvuldige afweging heb je echter niet altijd tijd indien een cyberaanval al gaande is. Er moeten dan in een ‘split second’ keuzes worden gemaakt en uitgevoerd. De medewerkers op de IT-afdeling zitten hier het dichtst op, maar kunnen vaak de consequenties van hun handelingen verderop in de zorgketen niet overzien. Reactieve maatregelen zoals het snel loskoppelen van een systeem met medisch gevoelige informatie om te voorkomen dat deze informatie wordt buitgemaakt, lijken logisch, maar kunnen een averechts effect hebben als hierdoor zorgverleningsprocessen worden verstoord en medisch specialisten bij spoedeisende gevallen niet bij vitale informatie kunnen. Kortom, het omgaan met cyberaanvallen binnen de zorgsector is een uitdaging.

Het begint allemaal bij bewustzijn

Een oplossing voor bovengenoemd dilemma is niet eenvoudig. Een belangrijke stap in de goede richting is allereerst het creëren van bewustzijn over en weer. Zowel aan de top, als op de werkvloer. Binnen het cybersecurity werkveld dient men zich dus bewust te zijn van business continuity en vice versa. Een volgende stap is het integraal benaderen van cyber security en business continuity vraagstukken zodat maatregelen goed op elkaar worden afgestemd. Een te zwakke beveiliging kan immers tot patiëntveiligheid- en continuïteitsrisico’s leiden, maar een te stringente afstelling eveneens. Er dient dus een goede balans tussen continuïteit van zorg en cybersecurity te worden gevonden.