Ransomware en datalekken vormen een serieuze dreiging in de zorg, zowel voor zorginstellingen als voor toeleveranciers. Dit komt door nieuwe phishingtechnieken die criminelen gebruiken en doordat aanvallers steeds sneller zijn met het misbruiken van kwetsbaarheden. Door deze en andere ontwikkelingen zal de dreiging voor de Nederlandse zorgsector verder toenemen. Dat voorspelt Z-CERT (1), het Computer Emergency Response Team voor de zorgsector in ons land, in het rapport ‘Cybersecurity Dreigingsbeeld voor de zorg 2023’ (2).
De dreiging van ransomware in de zorg is nog steeds heel groot. Het aantal cyberincidenten nam het afgelopen jaar wereldwijd met 73 procent toe in vergelijking met 2022. Naast grote zorgorganisaties zijn ook kleine zorginstanties het doelwit van kwaadwillenden. Dan moet je denken aan een huisartsenpraktijk of fysiotherapeut.
Hackers en cybercriminelen gebruiken nog steeds dezelfde manieren om in te breken bij een computernetwerk als een jaar eerder. Ze gebruiken de inloggegevens van een medewerker, die ze veelal via een andere crimineel op het dark web hebben gekocht. Andere manieren om binnen te komen zijn door middel van phishing, en door misbruik te maken van een kwetsbaarheid in een applicatie of een aan het internet ontsloten systeem.
Z-CERT registreerde in 2023 drie ransomware-aanvallen bij Nederlandse zorgaanbieders. Dat zijn er twee minder dan in 2022. Bij toeleveranciers van zorginstellingen zag Z-CERT een toename in het aantal cyberincidenten. Bij producenten van medische technologie was er wereldwijd een stijging van 63 procent, in de farmaceutische industrie zelfs 75 procent. In de IT-sector steeg het aantal voorvallen wereldwijd met 117 procent.
Nederlandse zorginstanties en toeleveranciers maken zich niet alleen zorgen om ransomware-aanvallen, maar ook om afpersing bij datalekken. Vorig jaar ontving Z-CERT acht meldingen van zorginstellingen waarbij er data was gelekt via een onderleverancier. De impact daarvan viel mee, maar het had anders kunnen lopen.
“Z-CERT ziet de afgelopen jaren een toename van de afhankelijkheid in de keten tussen zorgorganisaties en leveranciers van IT. Dit brengt het risico met zich mee dat een zorginstelling de eigen cyberhygiëne wel op orde heeft, terwijl een externe partij niet voldoende is toegerust op de digitale dreigingen van nu”, zo staat er in het rapport. Z-CERT stelt dan ook dat een datalek via een toeleverancier reëel is. Tegelijkertijd verwacht het adviesorgaan niet dat er op korte termijn incidenten plaatsvinden waarbij gevoelige gegevens op straat belanden.
De menselijke factor speelde afgelopen jaar eveneens een rol bij het lekken van data. Door configuratiefouten in de cloud belanden credentials, zoals API-keys, in de handen van hackers en cybercriminelen. Daarmee hebben ze zonder multifactorauthenticatie toegang tot cloudservices en data die daar zijn opgeslagen. Hoewel de cloud een veilige plek is om back-upbestanden en vertrouwelijke gegevens op te slaan, brengt het wel degelijk risico’s met zich.
Begin 2023 waren er flink wat DDoS-aanvallen tegen Nederlandse ziekenhuizen. Gaandeweg het jaar name dit type aanval af. “De dreiging is echter groter dan vorig jaar, aangezien het afgelopen jaar duidelijk is geworden dat ook de Nederlandse zorgsector actief wordt aangevallen door politiek activistisch geïnspireerde actoren (hacktivisten)”, zo schrijft Z-CERT. De impact van een DDoS-aanval is veelal beperkt: websites en patiëntportalen zijn vaak van enkele uren tot enkele dagen niet of slecht bereikbaar.
Het dreigingsniveau voor cyberspionage verschilt per type organisatie. Voor zorgorganisaties waar veel wetenschappelijk onderzoek wordt gedaan dat relevant is voor statelijke actoren, of die relevante persoonsgegevens hebben, is deze dreiging ‘hoog’. Het afgelopen jaar zijn er bij Z-CERT geen meldingen binnengekomen van concreet misbruik.
“Nederland staat op de achtste plaats op de ranglijst van Europese landen die het meest doelwit zijn van digitale aanvallen door statelijke actoren. Toch lijkt het niet waarschijnlijk dat de zorgsector op dit moment het voornaamste doelwit is van statelijke spionagecampagnes”, aldus Z-CERT.
Ook in 2023 waren er veel pogingen tot financiële fraude. Daarbij werden veelal digitale middelen als e-mail, sms, telefonie en WhatsApp ingezet. Een concreet voorbeeld hiervan is CxO-fraude (3). Daarbij doet een oplichter zich voor als de directeur, financieel topman of andere hooggeplaatste medewerker van een extern bedrijf. In deze hoedanigheid probeert hij de ontvanger te overtuigen om een spookfactuur te betalen. Het aantal zorginstellingen dat slachtoffer werd van deze vorm van fraude, ook wel Business Email Compromise (4) of BEC-fraude genoemd, was gelukkig klein.
Generatieve kunstmatige intelligentie of GenAI maakte vorig jaar een explosieve groei door. Deze technologische ontwikkeling biedt volop kansen, maar brengt ook risico’s met zich mee voor de zorg. Z-CERT erkent dat er nog geen incidenten van cyberaanvallen zijn gemeld waarbij GenAI een rol speelde. Ze verwacht echter wel dat GenAI het dreigingslandschap voor de zorgsector gaat veranderen. Als voorbeeld worden verbeterde phishingaanvallen en deepfake audio en video genoemd.
Domotica vormt een relatief nieuwe dreiging voor zorginstanties. De inzet van zorgdomotica kan direct invloed hebben op de zorgverlening, zo stelt Z-CERT. Een voorbeeld daarvan is de ransomware-aanval bij Tunstall (5), een grote leverancier van alarmknoppen. Door deze aanval was er een landelijke storing in de meldkamer, waardoor senioren enige tijd geen gebruik konden maken van de diensten van het bedrijf. In noodgevallen moesten zij rechtstreeks het nummer van de zorginstelling bellen.
Wim Hafkamp, directeur van Z-CERT, zegt blij te zijn dat steeds meer organisaties in de zorgsector de noodzaak zien van een goede digitale beveiliging. Hij spoort hen dan ook aan om scherp te blijven, bewustwording onder medewerkers te vergroten, een goede cyberhygiëne te handhaven en maatregelen te nemen om digitale dreigingen voor te blijven.
(1) https://z-cert.nl/wereldwijd-nemen-ransomware-incidenten-in-de-zorg-toe/
(2) https://z-cert.nl/wp-content/uploads/DEF-Z-CERT_RapportDreigingsbeeld2023.pdf
(3) https://www.vpngids.nl/nieuws/computest-ziet-toename-cxo-fraude-in-nederland/
(4) https://www.vpngids.nl/veilig-internet/zakelijk/business-e-mail-compromise/
(5) https://www.vpngids.nl/nieuws/tunstall-hackers-hadden-toegang-tot-data/
