8 minuten leestijd 15 mei 2018
man hoodie sitting floor laptop

Waarom de zorgsector een geliefd doelwit is voor cybercriminelen

Door

EY Global

Multidisciplinaire organisatie voor zakelijke diensten

8 minuten leestijd 15 mei 2018
Related topics Digital Gezondheidszorg

We worden ons steeds bewuster van de waarde van medische gegevens. Hiermee groeit ook de illegale verkoop van informatie op het web.

In de krochten van het internet zijn medische gegevens gewilde handelswaar. Er zijn online miljoenen medische dossiers te koop en de prijs hiervoor ligt veel hoger dan voor creditcardgegevens. Gezondheidsorganisaties doen hun uiterste best om systemen te implementeren om aanvallen op deze gegevens snel te kunnen detecteren of voorkomen. En in de tussentijd leren ze waardevolle lessen van andere sectoren.

Waarom vormen medische gegevens een doelwit?

Soms stelen cybercriminelen iemands identiteit om het slachtoffer vervolgens te laten opdraaien voor de kosten van medische behandelingen. In andere gevallen draait het om het verkrijgen van een krediet onder valse voorwendselen. Het komt ook voor dat gehackte medische dossiers worden gebruikt om mensen te chanteren of af te persen.

Medische dossiers bevatten een grote hoeveelheid zeer gevoelige, persoonlijke informatie. Deze informatie wordt doorgaans verkocht voor zo'n 60 USD per dossier. Ter vergelijking: burgerservicenummers leveren ongeveer 15 USD op en gestolen creditcards een schamele 1 tot 3 USD.

Een toenemende bedreiging

Digitale gezondheidszorg wordt steeds meer de norm. Tegen 2021 is de telegeneeskundemarkt naar verwachting zo'n 41,2 miljard USD waard, ten opzichte van 23 miljard USD op dit moment. Deze trend is een van de oorzaken van de piek in het aantal bedreigingen, aangezien steeds meer externe partijen onderdeel worden van de zorgketen.

Dankzij de uitbreiding van het digitale zorgnetwerk kunnen hackers vanuit steeds meer hoeken aanvallen. Ontwikkelaars van nieuwe zelfzorg en patiënten apps hebben bijvoorbeeld, net als veel andere zakenpartners, vaak geen medische achtergrond en begrijpen daardoor meestal niet wat er nodig is om aan regelgeving zoals de Health Insurance Portability and Accountability Act (HIPAA) te voldoen. Hierdoor zijn deze nieuwe toegangspunten vaak minder goed beveiligd en minder goed voorbereid op aanvallen.

De opkomende cyberdreiging wordt echter hoofdzakelijk veroorzaakt doordat steeds meer mensen zich bewust worden van de waarde die medische gegevens op de zwarte markt hebben.

De huidige omvang van de dreiging

Dit is geen hypothetisch scenario. De dreiging is echt en patiënten lopen een flink risico.

In de vijftien maanden tussen januari 2014 en maart 2015 zijn de gegevens van maar liefst 80 miljoen klanten van Anthem Inc. – de op één na grootste zorgverzekeraar van Amerika – gecompromitteerd. Dit is tot nu toe de grootste hack van medische gegevens ooit, maar kijkend naar het groeiende aantal aanvallen is de kans op een nog groter lek sterk aanwezig, tenzij de sector beter leert om te gaan met cyberactiviteiten.

Het Amerikaanse ministerie van volksgezondheid en sociale diensten is in november 2017 begonnen met een onderzoek naar medische datalekken die van invloed zijn op 17 miljoen mensen, zo blijkt uit de regelmatig bijgewerkte portal voor datalekken van het ministerie. Er worden om de paar dagen nieuwe lekken (en nieuwe onderzoeken) toegevoegd. In de periode van januari tot oktober 2017 waren dat er 260.

De uitdagingen aangaan

Banken hebben flinke stappen gezet om identiteitsfraude tegen te gaan. Ziekenhuizen zijn echter pas kort geleden van papier op digitaal overgestapt en hebben daardoor veel minder beveiligingsmiddelen geïmplementeerd.

Dankzij de vele verbindingen binnen het ecosysteem van de gezondheidszorg kan een datalek een negatief domino-effect veroorzaken en de gehele toeleveringsketen beïnvloeden. Het groeiende aantal toegangspunten binnen die keten zorgt voor een hoger risico op inbreuken en alle betrokkenen binnen het zorgsysteem hebben daar last van.

Neem bijvoorbeeld zoiets eenvoudigs als een bloeddrukmeter. Risicopunten zijn onder andere de fabrikant van het medische apparaat, de arts, de gebruikte elektronische systemen voor medische gegevens en de zorgverzekeraar die de kosten aan de arts of de patiënt vergoedt. Ze spelen allemaal een rol in de beveiliging van de infrastructuur.

In het gevallen van ransomware houdt de dief de gegevens van de entiteit vast totdat er een bepaald bedrag wordt betaald. Als de gegevens worden doorverkocht, moeten zorginstellingen snel handelen en bewezen technieken uit andere sectoren gebruiken om diefstal tegen te gaan. Hierbij moeten ze zich niet alleen richten op de zwarte markt, maar ook op elk onderdeel van de waardeketen voor ransomware.

De impact op patiënten en organisaties

De diefstal van belangrijke gegevens brengt nog een ander groot risico met zich mee: patiëntendossiers worden vaak aangepast. Dieven kunnen aantekeningen over allergieën verwijderen of nieuwe informatie toevoegen.

Als cybercriminelen een aanval plegen op een organisatie die medische apparaten gebruikt – die vaak verbonden zijn met het web en/of andere apparaten met een sensor – kunnen ze de werking van deze apparaten verstoren. Zo kunnen ze bijvoorbeeld een pacemaker of een distributiesysteem voor medicatie deactiveren. Als kwaadwillende personen de sensor hacken van een apparaat dat het medicatieniveau bijhoudt, kunnen ze de dosering aanpassen. Dit kan fatale gevolgen hebben voor de patiënt.

Ze kunnen ook eerder in de toeleveringsketen aanvallen, bijvoorbeeld via een leverancier van onderdelen of tijdens de productie. Er hoeft maar één sensor in de fabriek te worden gehackt om onjuiste gegevens in te brengen en het product defect te maken. Soms wordt dit soort defecten pas ontdekt nadat het product al op de markt is gebracht. In het ontwerp van productiefaciliteiten is doorgaans geen rekening gehouden met cybersecurity. Fabrieken zijn echter wel steeds meer verbonden en geautomatiseerd, waardoor hun kwetsbaarheid sterk is toegenomen.

Voor farmaceutische bedrijven is de dreiging heel anders. Cyberaanvallers kunnen bijvoorbeeld de ontwikkeling van een nieuw, spraakmakend medicijn volgen om erachter te komen wanneer en hoe ze het proces het beste kunnen verstoren. Uw faciliteiten, die allemaal via een netwerk draaien, kunnen worden gehackt en de testomgeving kan worden vervuild. Als u testgegevens op servers opslaat, kunnen deze vatbaar zijn voor aanvallen en worden aangetast of zelfs vernietigd.

Bij organisaties die samenwerken met een extern testbedrijf, kunnen cyberaanvallers bijvoorbeeld binnenkomen via een relatief slecht beveiligde zakelijke mobiele telefoon van een medewerker van de opdrachtnemer en de testomgeving vervolgens via dat datalek verstoren.

De bedreiging voorblijven

Organisaties die cybercriminelen echt te slim af willen zijn, hebben strategieën nodig die precies op hun specifieke risicogebieden zijn afgestemd. Een compliance aanpak van cybersecurity is niet genoeg.

Compliance is gericht op het verleden en regelgeving wordt vaak gebaseerd op het soort datalekken dat in het verleden al eens heeft plaatsgevonden.

IT-gerichte oplossingen zijn ook niet toereikend.

Gezondheidsorganisaties hebben in plaats daarvan een allesomvattend framework nodig om slimme, goed onderbouwde beslissingen te kunnen nemen over het budget voor cybersecurity, om de beveiliging te verbeteren en te versterken, en om de bedrijfsmiddelen te beschermen die rechtstreeks in verband staan met de strategie en doelstellingen van het bedrijf.

Gezondheidsorganisaties hebben een allesomvattend framework nodig om slimme, goed onderbouwde beslissingen te kunnen nemen over het budget voor cybersecurity, om de beveiliging te verbeteren en te versterken, en om de bedrijfsmiddelen te beschermen die rechtstreeks in verband staan met de strategie en doelstellingen van het bedrijf.

Dit zijn de belangrijkste stappen voor organisaties:

  • Maak het voor aanvallers lastiger om hun doel te bereiken
  • Detecteer aanvallen voordat belangrijke bedrijfsmiddelen worden beïnvloed
  • Reageer snel en effectief op aanvallen
  • Informeer medewerkers om meer bewustzijn te creëren, de beveiliging te verbeteren en te onderhouden, en beter opgewassen te zijn tegen phishingaanvallen

Actieve verdediging is het belangrijkste concept. Er moet proactief worden gezocht naar dreigingen en deze moeten worden geanalyseerd en geneutraliseerd voordat ze essentiële bedrijfsmiddelen kunnen bereiken of beschadigen. Organisaties moeten hiervoor een goed inzicht hebben in hun risicospectrum, zowel op de lange termijn als bij elke stap van het gegevensverzamelingstraject.

Weet wat uw gegevens waard zijn en begin bij de onderdelen met het hoogste risico

Als u uw budget voor cybersecurity zo goed mogelijk wilt besteden, is het belangrijk om de waarde van uw informatiemiddelen vast te stellen. Voer daarnaast minimaal één keer per jaar en voor elk onderdeel van de toeleveringsketen een evaluatie uit. De kosten die beveiligingslekken met zich meebrengen, zijn verre van verwaarloosbaar. Een gegevenslek kan uw volledige bedrijf stilleggen en een ransomware dreiging kan uw gegevens ontoegankelijk maken, waardoor u uw dagelijkse werkzaamheden niet kunt uitvoeren.

Toch hoeft niet alles even streng te worden bewaakt. Hoe hoger de waarde, hoe krachtiger de beveiliging moet zijn voor die betreffende transactiepunten.

Het risico groeit naarmate u meer gegevens verzamelt. De waarde van gezondheidsgegevens kan gaandeweg toenemen. In tegenstelling tot creditcards, pincodes en wachtwoorden veranderen gezondheidsgegevens niet en het is daarom waardevoller om deze gegevens te verzamelen (afzonderlijke dossiers en gegevenssets van meerdere personen). De gegevens uit de laatste fase van een klinische studie zijn bijvoorbeeld waardevoller dan die uit een eerdere fase en moeten daarom strenger worden beveiligd.

Mensen weerbaarder maken tegen cyberaanvallen

Beveiliging moet vanaf nu centraal staan en de basis vormen voor alle operationele modellen en zorgprocessen.

Beveiligingsexperts hebben vaak moeite om betrokkenen (zoals artsen en andere gezondheidsprofessionals) ervan te overtuigen dat ze hun workflow moeten aanpassen om risico's te beperken.

In sommige gevallen is deze terughoudendheid terecht. Veel artsen gebruiken bijvoorbeeld liever geen tweestapsverificatie omdat deze werkwijze voor vertraging zorgt tijdens de behandeling van patiënten met urgente klachten. In andere gevallen hoeft alleen iedereen in de keten te worden geïnformeerd over de mogelijk ernstige gevolgen van een beveiligingslek en moet het belang van zorgvuldigheid in de dagelijkse zorgtaken worden benadrukt.

Beveiliging moet vanaf nu centraal staan en de basis vormen voor alle operationele modellen en zorgprocessen.

Hier volgen enkele belangrijke stappen waarmee elke organisatie de cybersecurity voor zijn medewerkers kan verbeteren:

  • Leer medewerkers dat ze alert moeten zijn op spearphishing-aanvallen. Hierbij worden overtuigende e-mails verzonden die afkomstig lijken van vertrouwde personen of organisaties, terwijl het in werkelijkheid frauduleuze berichten betreft
  • Medewerkers zien cybersecurity vaak als iets vervelends dat waar mogelijk moet worden vermeden. Laat zien dat cybersecurity essentieel is voor het bereiken van de bedrijfsdoelen
  • Vergroot het algemene bewustzijn van alle actieve stakeholders binnen uw bedrijf. Richt u hierbij op alle niveaus en elk onderdeel van de toeleveringsketen
  • Zorg ervoor dat de informatieverstrekking en beveiligingsmaatregelen gebruikers niet te veel afschrikken

Effectief communiceren en reageren

Voorkomen is beter dan genezen. Dat geldt ook voor effectieve cybersecurity: bescherm uw bedrijfsmiddelen door proactief en preventief te handelen.

Stel direct een crisisbeheersplan op en wees klaar om dit plan in uitvoering te brengen als er zich een beveiligingsincident voordoet. Beschrijf in dit plan in elk geval het volgende:

  • Hoe u klanten informeert en omgaat met de verantwoordelijkheid van uw organisatie ten aanzien van personen die worden geschaad door een aanval. Leg ook vast hoe u in verschillende situaties reageert, afhankelijk van wat er tijdens het beveiligingslek verloren is gegaan of is verstoord.
  • Hoe u stakeholders informeert, waaronder anderen in de toeleveringsketen, aandeelhouders, medewerkers en iedereen met een gevestigd belang in uw organisatie.
  • Wat de woordvoerder moet vertellen en of er verschillende reacties nodig zijn, afhankelijk van de ernst van een incident.
  • Hoe u de overheid bij het incident betrekt, bijvoorbeeld door bepaalde functionarissen te informeren. Zeker als de aanval te herleiden is tot een ander land, en politieke en marktgevoelige zaken een rol spelen, kan dit van groot belang zijn.

Hoe u omgaat met ransomware dreigingen. Werk voor verschillende dreigingsniveaus verschillende strategieën uit. Beschrijf de diverse niveaus op basis van aspecten als direct financieel verlies, reputatieschade of juridische gevolgen met bijbehorend financieel verlies.

Samenvatting

In een zorgbranche die snel verandert, hebben organisaties proactieve en preventieve cybersecurity strategieën nodig om gewilde klantgegevens goed te beschermen.

Over dit artikel

Door

EY Global

Multidisciplinaire organisatie voor zakelijke diensten

Related topics Digital Gezondheidszorg