De zorg digitaliseert in rap tempo. De toenemende afhankelijkheid van digitale processen en beschikbaarheid van data maakt de zorgsector steeds interessanter voor cybercriminelen en hackers. In 2019 ontving de Nederlandse Autoriteit Persoonsgegevens nog ±900 meldingen over hacking, malware en/of phishing-incidenten. Een stijging van 25% ten opzichte van 2018, en waarvan 13% afkomstig uit de zorgsector [1]. Een internationale analyse van 2.500 cyberaanvallen liet een vergelijkbaar beeld zien: 1 op de 10 cyberaanvallen waren gericht op de zorgsector [2].
Een veel voorkomende vorm van cybercriminaliteit waarmee de zorgsector te maken heeft is ransomware, oftewel gijzelsoftware. Hackers versleutelen computers en (medische) data en maken ze zo ontoegankelijk voor zorginstellingen. Enkel na betaling van losgeld, vaak door middel van cryptovaluta zoals Bitcoin, wordt de versleutelde data weer vrijgegeven. In 2017 bleek al uit een rondvraag onder 25 Nederlandse ziekenhuizen dat ruim de helft van de ziekenhuizen in de afgelopen drie jaar te maken hebben gehad met ransomware [3]. De WannaCry cyberaanval trof in 2017 meerdere ziekenhuizen van de Britse National Health Service (NHS). Meer dan 70.000 apparaten van de NHS raakten besmet. De NHS liep uiteindelijk een schade op van ruim £92 miljoen, mede door 19.000 gecancelde afspraken [4]. Een ander voorbeeld zijn de aanvallen op het Park DuValle Community Health Center in Kentucky, VS. In april 2019 versleutelden cybercriminelen drie weken lang de computers, maar door een aanwezige back-up van de data kon er hierna weer gewerkt worden. In juni 2019 troffen cybercriminelen opnieuw de organisatie. Alleen ditmaal waren en geen recente back-ups om op terug te vallen [5]. Park DuValle betaalde de geëiste $70.000,- niet, maar spendeerde daarna bijna $1 miljoen om de schade te herstellen [6]. De gevolgen van een ransomware aanval zijn daarmee zeer schadelijk voor de toegankelijkheid en kwaliteit van de zorg en kunnen zelfs dodelijk slachtoffers eisen. Zo was een Universitair Medisch Centrum in Duitsland door een aanval in september 2020 niet langer in staat om acute zorg te leveren. Een patiënt in een ambulance onderweg naar het ziekenhuis moest daardoor uitwijken naar een ander ziekenhuis. Een vertraging die vermoedelijk bijdroeg aan het overlijden van het slachtoffer [7].
Naast het gijzelen van data, komt diefstal van data ook steeds vaker voor. In zorginstellingen worden persoonlijke gegevens en medische gegevens vaak gebundeld opgeslagen met financiële gegevens. De combinatie van informatie is zeer waardevol omdat zo identiteitsdiefstal of bankfraude gepleegd kan worden [8]. Internationaal stijgt het aantal cyberaanvallen gericht op het verkrijgen van medische gegevens dan ook met zo’n 22% per jaar [9]. De meest spraakmakende hack in de zorg van het afgelopen jaar vond plaats in de VS bij de hack van een extern incassobureau gericht op de medisch wereld. Persoonlijke, financiële en medische data van zo’n 26 miljoen patiënten werd bemachtigd [10]. De hack kwam aan het licht toen er 200.000 gecompromitteerde creditcards werden gevonden op het Dark Web.
Recente studies beschrijven uitvoerig de manier waarop cyberaanvallen in de zorg zich ontwikkelen en hoe het risico op een cyberaanval verminderd kan worden [11,12]. En concluderen dat de zorg achter loopt op het gebied van cybersecurity. Om het risico op een cyberaanval te verminderen stellen ze verschillende aanbevelingen voor:
- Stel een Chief Information Officer aan met ruimte IT-ervaring, die eindverantwoordelijk is voor cybersecurity;
- Train je werknemers o.a. het herkenen van nepwebsites, hoe om te gaan met phishing-emails en veilig gebruik van wachtwoorden;
- Ontwikkel en implementeer een cyberaanval protocol, o.a. gebaseerd op risico- en impactanalyses;
- Zorg dat software altijd up-to-date is;
- Implementeer procedures voor directe en regelmatige back-ups van alle kritische systemen en data;
- Maak gebruik van specifieke software die de IT-infrastructuur in real-time kan beschermen.
De strijd tussen cybercriminelen en beveiliging van digitale systemen blijft een kat en muis spel. Uit een recente internationale rondvraag onder ICT-specialisten blijkt dan ook dat 96% zich zorgen maakt over het feit dat cybercriminelen de beveiliging van zorgorganisaties voorbijstreven [2]. Structureel meer aandacht en (financiële) ruimte voor cybersecurity zijn noodzakelijk om de toenemende dreiging vanuit cybercriminelen een halt toe te roepen.
Referenties
- Autoriteit persoonsgegevens, Meldplicht datalekken: facts & figures Overzicht feiten en cijfers 2019, 2019
- Blackberry Cyclance, 2020 Threat Report, 2020
- NOS, Zeker vijftien ziekenhuizen geïnfecteerd met ransomware, 2017 [Available from: https://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html]
- Department of Health and Social Care, Securing cyber resilience in health and care – progress update October 2018, 2018
- Maria Clark, The Most Devastating Healthcare Ransomware Attacks in 2019, 2019 [Available from: https//etactics.com/blog/the-most-devastating-healthcare-ransomware-attacks-in-2019]
- Paul Bischoff, 172 ransomware attacks on US healthcare organizations since 2016 (costing over $157 million), February 2020 [Available from: https://www.comparitech.com/blog/information-security/ransomware-attacks-hospitals-data]
- Z-cert, 8 vragen over ransomware met dodelijke afloop, September 2020 [Available from: https://www.z-cert.nl/publicaties/articles/8-vragen-over-ransomware-met-dodelijke-afloop]
- Charlie Osborne, The latest healthcare data breaches in 2019/2020, February 2020 [Available from: https://portswigger.net/daily-swig/the-latest-healthcare-data-breaches]
- Abelson, R. & Goldstein, M. Millions of Anthem customers targeted in cyberattack,2015 [Availalable from: https://www.nytimes.com/2015/02/05/business/hackers-breached-data-of-millions-insurer-says.html]
- Jessica Davis, the 10 biggest healthcare data breaches of 2019 so far, July 2019 [Available from: https://healthitsecurity.com/news/the-10-biggest-healthcare-data-breaches-of-2019-so-far]
- Budke, C. A., & Enko, P. J., Physician Practice Cybersecurity Threats: Ransomware. Missouri medicine, 117(2), 102–104, 2020
- Miller, A. C., Khan, A. M., & Ziad, S., Ransomware and Academic International Medicine, In Contemporary Developments and Perspectives in International Health Security-Volume 1. IntechOpen, 2020