Denk als een hacker
Hacken in de zorg. De vraag is niet óf, maar wanneer dit gebeurt. IT consultant Jan de Boer en ethisch hacker Martijn Baalman ondersteunen zorgorganisaties op het gebied van informatiebeveiliging. Hun advies? Denk als een hacker en zoek zelf de zwakke plekken.
Om een groot systeem te hacken, zoekt de hacker naar zwakheden op alle niveaus. Niet alleen technisch, maar ook op het organisatorische en menselijke vlak. Hackers weten bijvoorbeeld dat niet alle organisaties regelmatig hun systeem testen en dat ze niet altijd updates uitvoeren.
Een hacker weet bovendien dat mensen in een organisatie de deur openzetten, omdat ze niet weten wat de gevolgen zijn als ze op een link klikken of een simpel wachtwoord kiezen. Wie weg gaat, doet thuis de deur op slot en alle ramen dicht. .Dan kan een hacker wellicht nog een ruit inslaan, maar het risico is kleiner. Een hacker weet dat zorgorganisaties en zorgprofessionals niet altijd er alles aan doen om alle deuren en ramen dicht te doen in de digitale omgeving. En dat ze bijvoorbeeld niet de veiligste sloten gebruiken.
Losgeld
De laatste jaren worden dus steeds meer zorgorganisaties getroffen door cyber-aanvallen. Uit internationaal onderzoek blijkt dat twee derde van de zorgorganisaties ooit is aangevallen door hackers. Zo’n 60 procent betaalde losgeld om versleutelde data terug te krijgen. Afgelopen zomer hadden hackers het nog gemunt op de Nederlandse tandartsenorganisatie Colloseum Dental Benelux. Er werd losgeld betaald omdat de organisatie noodgedwongen 120 praktijken moesten sluiten door de hackaanval.
Nederlandse ziekenhuizen zijn ook regelmatig het doelwit, maar weten de schade vooralsnog beperkt te houden. Ze zijn verplicht een hackaanval te melden bij de Autoriteit Persoonsgegevens als de bescherming van persoonsgegevens in gevaar komt. En kunnen een hoge boete verwachten als de aanval voorkomen had kunnen worden.
En dat is niet zonder reden. Vorig jaar werden meerdere Belgische en Franse zorginstellingen aangevallen. Systemen werden versleuteld, waardoor operaties, consultaties en onderzoeken noodgedwongen werden geannuleerd. Opgenomen patiënten kregen minder medische hulp. Ook dreigden hackers de buitgemaakte medische data te publiceren.
Simpel wachtwoord
Jan de Boer is IT adviseur en auditor bij WeDoTrust. Hij helpt bestuurders, directies en toezichthouders in de zorg op het gebied van informatiebeveiliging. “Ik merk dat zorgbestuurders in een spagaat zitten. Enerzijds moeten ze mee met technologische innovaties, waarbij de zorg zich verplaatst naar de thuissituatie. Anderzijds moeten ze in-control zijn en voldoen aan strenge regels op het gebied van privacy, beveiliging en elektronische gegevensuitwisseling. Het is een complex vraagstuk om hier de juiste balans in te vinden.”
Volgens De Boer draait het niet alleen om veilige computers. “Er wordt al snel naar een IT-afdeling en de techniek gekeken als het gaat om informatiebeveiliging. Een groot gedeelte van de kwetsbaarheden zit in de techniek. Maar wat men onderschat, is de organisatorische en menselijke kant. Laat je een computer openstaan of heb je een simpel wachtwoord, dan geef je een hacker de kans om een aanval uit te voeren.”
Phishing-aanval
Martijn Baalman is ethisch hacker en oprichter van het cybersecuritybedrijf Hacksclusive. Hij controleert de online omgevingen van bedrijven en organisaties op kwetsbaarheden. Dat doet hij onder meer via bug bounty programma’s. Bedrijven als Microsoft betalen hem wanneer hij beveiligingsfouten ontdekt. Ook test hij de beveiligingssystemen van Nederlandse zorgorganisaties en financiële instellingen. Hij laat regelmatig in workshops zien wat er aan de achterkant gebeurt tijdens een hack.
Baalman: “Een voorbeeld is een phishing-aanval. Hackers zetten een email-campagne op die zogenaamd van LinkedIn afkomstig is. Dit kan ook een ander officieel bedrijf zijn. In de email, die bijna niet van echt is te onderscheiden, wordt de gebruiker verleid via een link het wachtwoord opnieuw in te stellen. De hacker kijkt via een cockpit mee en krijgt zo de controle over de accountgegevens. De kans is groot dat het wachtwoord van iemands LinkedIn account ook op andere accounts wordt gebruikt. Bijvoorbeeld in die van een zorginstelling. Zo werkt de hacker zich steeds dieper in het netwerk van een grote zorgorganisatie.”
Kraken van wachtwoorden
Zorgelijk is dat cybercriminelen steeds beter wachtwoorden kunnen kraken. Baalman: “Wachtwoorden van zes gecombineerde karakters zijn direct te kraken. Een wachtwoord met acht gecombineerde karakters is binnen veertig minuten gekraakt. Kies dus lange, complexe wachtwoorden, bij voorkeur aangemaakt en opgeslagen in een wachtwoordmanager. Naast een sterk wachtwoord is een twee factor authenticatie (2FA) methode ook belangrijk.”
Jan de Boer beseft dat die ingewikkelde wachtwoorden in de zorg niet altijd werkbaar zijn. “Het is niet altijd praktisch om met lange en complexe wachtwoorden plus 2FA te werken. Zeker niet in een zorgomgeving met een hoge werkdruk en veel wisselende patiënten. Toch is het noodzakelijk om de drempel voor aanvallen zo hoog mogelijk te maken. Tegelijkertijd moet je als zorgprofessional wel gewoon je werk kunnen doen. Het goede nieuws is dat technologie hierbij kan helpen.”
Vier tips
De boodschap van De Boer en Baalman is dat informatiebeveiliging niet alleen draait om de techniek, maar ook om de organisatie en de mens. Hackers zijn zoals gezegd op zoek naar zwakke plekken op alle niveaus. Vier tips om die zwakke plekken aan te pakken.
1. Houd systemen up-to-date
Dit klinkt als een open deur, maar in de praktijk valt daar veel te verbeteren. Veel hacks vinden plaats omdat zorgorganisaties achterlopen met updates. Jaarlijks het systeem één keer laten testen door ethische hackers is niet voldoende. Test de IT-omgeving en applicaties regelmatig en bij voorkeur continu.
2. Dwing het gebruik van sterke wachtwoorden inclusief het gebruik van 2FA af
Ga na of het IT-landschap inclusief back-ups zodanig in te richten is dat bij grote calamiteiten, zoals bij ransomware, terug kan worden gegaan naar een beheerste situatie. Ook is het aan te raden om de IT-leveranciers te vragen wat zij doen. Hebben ze de meest recente updates geïnstalleerd, testen ze periodiek hun systeem en zijn ze gecertificeerd?”
3. Pak informatiebeveiliging aan als een continu proces
Het heeft geen zin om eenmalig stapels procedures en richtlijnen op te stellen zonder dat er sprake is van een goed ingericht managementsysteem (ISMS). Vermijd een overlap aan normen, maatregelen en controles. Het opzetten van een integraal control framework kan daarbij helpen. Maak ook gebruik van wat er al is. Zo hebben de NVZ en de NFU gezamenlijk de Gedragslijn Toegangsbeveiliging Digitale Patiëntdossiers opgesteld en ingevoerd. Deze wordt momenteel toepasbaar gemaakt voor andere delen van de zorg (onder andere de VVT).”
4. Besteed veel aandacht aan de mens
Houd de voorlichting heel praktisch en betrek daarbij de hele organisatie: bestuurders, zorgprofessionals en patiënten. Immers, de mens is zowel de sterkste als de zwakste schakel als het gaat om informatiebeveiliging.
Digitale vaardigheden
Veruit de meeste zorgprofessionals weten volgens De Boer en Baalman heel goed dat ze veilig moeten omgaan met de gevoelige data van kwetsbare patiënten.
Met de verdere digitalisering in de zorg, het werken in zorgnetwerken en de zorg op afstand is het wel van belang om echt aandacht te besteden aan het vergroten van de digitale vaardigheden. Baalman: “Daarbij kan een middag in de huid kruipen van een hacker een enorme eyeopener zijn .”