Volgens de Digital Economy and Society Index is Nederland koploper binnen Europa als het gaat om digitalisering. Dat heeft ons veel gebracht zoals verhoging van arbeidsproductiviteit, nieuwe digitale producten, efficiëntere processen en betere samenwerking in het zorgnetwerk. Er staan ook nadelen tegenover zoals de kwetsbaarheid voor cybercriminaliteit.
"}},{"componentType":"sectionTitle","title":"Toenemende dreiging van cybercriminaliteit"},{"componentType":"paragraph","richBody":{"value":"De laatste tijd komt het steeds vaker voor, bedrijven en instellingen die het slachtoffer worden van een (geslaagde) cyberaanval. Naast de bekende organisaties in het bedrijfsleven zoals banken die in het nieuws komen, zijn ook zorgorganisaties en zorgverzekeraars het doelwit van cybercriminelen. De versnelling in digitalisering heeft door Covid-19 een enorme boost gekregen. De beweging ‘naar de cloud’ en de toename van het aantal met een netwerk verbonden apparaten voeden de cyberdreiging. Cybercriminelen hebben het ook steeds vaker gemunt op kwetsbaarheden in software. Eind vorig jaar werd de wereld nog verrast met wereldwijde beveiligingsproblemen in Log4J, waardoor veel organisaties tijdelijk applicaties uit de lucht moesten halen. Cybercriminelen worden steeds professioneler en zetten geavanceerde automatisering en digitalisering in; ze worden steeds vernuftiger. De geschatte jaarlijkse schade ligt tussen de € 8 en 12 miljard.
"}},{"componentType":"sectionTitle","title":"Ransomware"},{"componentType":"paragraph","richBody":{"value":"In 2021 zijn er in de media 168 cyberincidenten bekend geworden. Dat is volgens DataLekt een stijging van 240% en nog maar het topje van de ijsberg. Veel cyberaanvallen draaien om ransomware of gijzelsoftware. Hierbij nemen hackers de controle over van data of IT-infrastructuur van een organisatie. Zij blokkeren de toegang met behulp van encryptie totdat losgeld is betaald. In veel gevallen wordt data ook gestolen, zogenoemde double extortion. Volgens stichting Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, blijft vooralsnog een besmetting met ransomware de grootste cyberbedreiging voor de zorgsector.
"}},{"componentType":"sectionTitle","title":"30 Procent van alle hacks vindt plaats bij een zorginstelling"},{"componentType":"paragraph","richBody":{"value":"Alhoewel het niet veel in het nieuws komt, zijn ook zorginstellingen slachtoffer van ransomware-aanvallen. Via een lek in de beveiliging van thuiswerksoftwarebedrijf Citrix drongen hackers binnen bij Medisch Centrum Leeuwarden. Er zijn meerdere voorbeelden uit het buitenland bekend waarbij leveranciers van EPD’s geraakt werden en een groot aantal zorginstellingen gedurende langere tijd niet bij hun patiëntdata konden. Ook in Nederland zijn er serviceproviders die EPD-diensten verlenen aan vele zorginstellingen. Z-CERT beoordeelt deze ketenafhankelijkheid voor de zorgsector als een groot risico. Conclusie: 100% veilig bestaat niet. Maar je kunt wel heel veel doen ter voorkoming van een cyberaanval.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/3a1643dd-4dcb-4324-b63f-98e4af5f444c/Forse-stijging-ransomware-aanvallen-trade-en-transport_tcm162-235576","original":"https://assets.ing.com/m/1e6b0aca1b99a581/original/Forse-stijging-ransomware-aanvallen-trade-en-transport_tcm162-235576.png","extension":"jpg"}},{"componentType":"sectionTitle","title":"Cyberrisico’s in de gezondheidszorg"},{"componentType":"paragraph","title":"Trend 1. Versnelling in digitalisering","richBody":{"value":"In de afgelopen jaren is er een versnelling in digitalisering opgetreden in de zorg. De meeste zorginstellingen beschikken over een elektronisch patiënten- of cliëntensysteem (EPD), waarbij er een grote afhankelijkheid is van de betreffende EPD-leverancier. Daarnaast is er een trend waarneembaar dat steeds meer zorginstellingen kiezen voor cloud-oplossingen in plaats van het zelfstandig onderhouden van een serverpark. Dat leidt tot een toenemend aantal netwerken en verbonden apparaten met een groter aanvalsoppervlak tot gevolg. Cyberaanvallers spelen in op deze trend en kiezen bewust voor bedrijfstakken die hun cybersecurity onvoldoende op orde hebben. Daarnaast zal door de versnelde digitalisering het aantal geautomatiseerde cyberaanvallen van buitenaf alleen maar toenemen, met een steeds hogere slagingskans. Daarom is het zo belangrijk dat je je als zorgorganisatie tijdig voorbereidt en adequaat beschermt. Helaas gaat het er al niet meer om of je wordt gehackt, maar wanneer.
Andere vormen van Cybercrime in de zorg
Er zijn maar weinig voorbeelden van cybercrime in de zorg naar buiten gekomen. Wel zijn er gevallen van datalekken bekend. Deze ontstaan vaak door menselijke fouten en kwetsbaarheden in webapplicaties. Juist in de zorg mogen persoonsgegevens en medische data niet op straat komen te liggen. Beveiliging van deze data is van groot belang. Alhoewel DDoS aanvallen niet vaak voorkomen in de zorgsector is het zaak dat zorginstellingen zich hier goed tegen wapenen, helemaal als door ketenafhankelijkheid veel zorgaanbieders van dezelfde softwareleverancier gebruik maken. Ook een vorm van cybercrime is financiële fraude. Dat komt bij alle organisaties voor, zowel in het bedrijfsleven, de publieke sector alsook de zorg. Voorbeelden hiervan zijn valse facturen, CEO-fraude en pogingen om rekeningnummers van leveranciers te veranderen.
De zorgsector scoort bovengemiddeld als het gaat om ICT-veiligheid
De informatiebeveiliging in de zorgsector is complex. Het netwerk van zorgaanbieders, patiënten, zorgverzekeraars, overheidsinstanties en andere belanghebbenden spelen een rol in het verzamelen, opslaan, verwerken en transporteren van informatie. Juist in de zorg is ICT-veiligheid van groot belang, denk alleen maar aan de Wet Bescherming Persoonsgegevens. Dat door een datalek patiëntgegevens op straat komen te liggen is een groot probleem voor elke zorgorganisatie. De grootste nachtmerrie is een uitval van de systemen, waardoor de continuïteit van de zorg in gevaar komt. Toch scoort de zorg bovengemiddeld als het gaat om ICT-veiligheid. Op diverse aspecten zoals authenticatie, encryptie en risicoanalyses is de zorg beter beschermd dan alle bedrijven en instellingen bij elkaar.
Het Internet-of-Things (IoT) doet razendsnel haar intrede in de maatschappij, zo ook in de zorgsector onder de noemer ’E-health’. De beveiliging van IoT, en dus ook E-health, is lang niet altijd op orde, waardoor deze apparaten meermaals misbruikt zijn voor onder andere cyberaanvallen. Om cybersecurity beter te borgen bij het gebruik en de ontwikkeling van E-health-toepassingen zijn er nog vele stappen te zetten. Hierbij gaat het om bewustzijn en houding van alle betrokken partijen, privacybescherming, benodigde regelgeving, betere risicobeheersing, testen van E-health toepassingen en vooral samenwerking met andere zorginstellingen, leveranciers en patiënten. (Bron: L. van Zijl et al 2018).
De gevoeligheden op het gebied van cybercrime liggen voor de zorg niet alleen bij het gebruik van E-health en IoT-devices. Continuïteit van de bedrijfsvoering staat boven aan. Zeker in ziekenhuizen kunnen mensenlevens op het spel staan als ICT-applicaties uitvallen door cybercrime. Het beschermen van persoonsgegevens is in de zorg een belangrijk thema. Het zijn gevoelige data, die niet op straat moeten komen te liggen. De zorg is enorm gereguleerd, dit maakt het implementeren van Cybersecurity ingewikkeld, maar juist zo noodzakelijk om te blijven voldoen aan alle wetten en regelgeving. De zorg acteert in het publieke domein. Bij elke hack kom je als zorginstelling direct in de krant. Het is van groot belang om voorbereid te zijn voordat het je overkomt.
"}},{"componentType":"paragraph","title":"Voorbeeld: hackpogingen bij twee ziekenhuizen","richBody":{"value":"Medisch Centrum Leeuwarden
Via een lek in de beveiliging van thuiswerksoftwarebedrijf Citrix drongen hackers binnen bij Medisch Centrum Leeuwarden. Zij werden in 2020 digitaal afgesloten van de buitenwereld nadat een cyberaanval was vastgesteld. Later liet het ziekenhuis opgelucht weten dat de cyberaanval beperkt bleef tot ‘de deurmat’ en de hackers geen toegang hebben gehad tot vitale gegevens zoals patiënteninformatie. Zie ook dit Artikel in ICT&Health 16-01-2020.
Gelre Ziekenhuizen
Gedurende drie weken in augustus 2021 zijn een groot aantal pogingen gedaan om in te breken vanuit het buitenland in de ICT omgeving van de Gelre ziekenhuizen. Dit is in een vroeg stadium gesignaleerd door Gelre waardoor snel kon worden gereageerd en het risico tijdig werd afgewend. De Gelre Ziekenhuizen hebben inmiddels verdere maatregelen getroffen om herhaling te voorkomen. “Het belangrijkste is het creëren van bewustzijn bij alle medewerkers”, volgens Edwin Maalderink, lid Raad van Bestuur bij de Gelre ziekenhuizen. “Het gaat om het ontwikkelen van digitale vaardigheden van iedereen binnen het ziekenhuis om cybercrime te voorkomen”. Een verdere tip die Edwin geeft aan andere zorginstellingen: “Stel een digitaliseringsagenda op, liever geen puntoplossingen of een lappendeken aan verschillende applicaties. Om cybersecurity te borgen gaat het om bouwen aan de juiste integrale ICT-architectuur.
Zorginstellingen moeten ervan uitgaan dat zij op enig moment in aanraking komen met een cyberaanval. Dat houdt in dat je voorbereid moet zijn en plannen hebt klaarliggen voor een mogelijke hack. In die voorbereiding spelen de volgende afwegingen een belangrijke rol en zijn bepalend voor de invulling van het cybersecurity beleid.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/2f1107aa-7fd9-4b42-8b04-02a73561870a/afwegingen-ondernemers_tcm162-235538","original":"https://assets.ing.com/m/29d391312cd5e25c/original/afwegingen-ondernemers_tcm162-235538.png","extension":"png"}},{"componentType":"paragraph","richBody":{"value":"In Nederland is het aantal incident response-cybersecuritybedrijven beperkt. Bedrijven zullen hiermee rekening moeten houden bij het opstellen van hun actieplannen. Is jouw organisatie voldoende voorbereid op een hack? Heb je je incident response al klaar door samen te werken met een consultant die je daarbij kan helpen? Anders sta je wellicht achter in de rij als het je overkomt.
Op wetgevend gebied speelt nog een belangrijke ontwikkeling. Binnen de EU is de NIS 2 in voorbereiding. Dat is een richtlijn voor netwerk en informatie security. De nieuwe NIS 2 zal bedrijven met een jaaromzet meer dan € 10 miljoen en/ of > 50 werknemers gaan raken in veel meer sectoren, waaronder ook de gezondheidszorg. In de aangepaste richtlijn is de vrijblijvendheid ervan af. Om bestuurders en managers bewust te maken voorziet de nieuwe richtlijn niet alleen in sancties voor organisaties maar ook voor bestuurders persoonlijk. Hiermee komt de verantwoordelijkheid voor digitale veiligheid echt bij het management zelf te liggen. De richtlijn moet in 2022 ingaan en behoeft nog vertaling in nationale wetgeving. Iedereen beseft dat haast geboden is.
"}},{"componentType":"sectionTitle","title":"Tips voor bestuurders en CMIO’s"},{"componentType":"paragraph","richBody":{"value":"