‘Zorg kan zich wapenen tegen ransomware’

Over cybersecurity in de zorg wordt vaak in oneliners gesproken. ‘De vraag is niet óf, maar wanneer een aanbieder wordt getroffen door ransomware’, is er zo één. Veel gebezigd, maar onjuist, stelt Daan Brinkhuis, teamlead relations van Z-CERT. “Je kunt als zorgaanbieder veel doen om niet geraakt te worden. Als jouw huis goed op slot zit, proberen dieven het eerder bij de buren.”

Ransomware is de meest ontwrichtende cyberdreiging voor de zorg. Z-CERT heeft de kijker al langer op deze vorm van cybercrime gericht. De gevolgen van een individuele gijzeling kunnen door de groeiende digitale verbondenheid steeds makkelijk gevolgen hebben voor de hele zorgketen.

“Vooral als je te maken hebt met SaaS-leveranciers van belangrijke applicaties, kun je daar last van hebben”, zegt Brinkhuis. “Maar het hoeft niet per se om IT-systemen te gaan. Ook een wasserette, maaltijdleverancier of vervoerder kunnen getroffen worden. Als zulke leveranciers een aantal weken niet kunnen leveren, heeft dat enorme impact op de zorg.”

Ransomware zorg

Hoewel de impact groeit, benadrukt Brinkhuis dat vooralsnog een beperkt aantal zorgaanbieders slachtoffer is van ransomware. “Maar we moeten wel alert blijven om dat zo te houden”, aldus Brinkhuis. “Je kunt criminelen actief je netwerk uitjagen door de beveiliging uit te bouwen. Zorg voor backups. Zorg dat je technisch bij bent, zodat je malafide websites automatisch kunt blokkeren. Dat betekent patchen. En maak medewerkers zich ervan bewust dat ze niet zomaar op een linkje klikken. Al deze maatregelen zijn belangrijke variabelen als je voor de vraag komt te staan om wel of niet te betalen bij een ransomware-aanval.”

Preventie en detectie

Dat klinkt onheilspellend. Temeer daar de zorgsector nog altijd onvolwassen is, met name op het gebied van preventie en detectie. Deze opmerking moet niet begrepen worden als een kritiek op menselijke hardleersheid, legt Brinkhuis uit. De zorg heeft de tijd van post-it-briefjes met inloggegevens definitief achter zich gelaten. Als Z-CERT over onvolwassenheid spreekt, gaat het vooral over systemen.

“Cyberbewustzijn en informatieveilig gedrag zijn vooral zaken van het platform voor de informatiesamenleving ECP. Z-CERT is meer aan de technische kant actief. Uiteindelijk is digitale veiligheid echt een samenspel van die twee aspecten. Je kunt mensen nog zoveel trainen, als de techniek achterblijft, gaat het ook mis.”

Die technologische component van digitale veiligheid kan aardig in de papieren lopen. Zijn alle zorgaanbieders in staat om aan de nieuwe eisen te voldoen? “Omvang maakt uit, omdat je meer budget of dedicated mensen kunt vrijmaken. Kleine organisaties hebben per definitie minder budget en mensen.”

Mantelcontracten

Samenwerking op brancheniveau is dan ook hard nodig, vindt Brinkhuis. Een positieve ontwikkeling zijn de mantelcontracten die Z-CERT met een aantal brancheorganisaties heeft gesloten. Individuele aanbieders krijgen zo gemakkelijker toegang tot kennis en ondersteuning.

Het aantal deelnemers aan Z-CERT is hierdoor gegroeid van tweehonderd in 2021 tot driehonderd in 2022. Z-CERT zoekt daarnaast nadrukkelijk samenwerking met leveranciers. Binnen het Zorg Detectie Netwerk werkt al een groot aantal IT-bedrijven samen. Z-CERT zoekt nu ook nadrukkelijk aansluiting bij de leveranciers van medische hulpmiddelen, getuige de recente samenwerkingsovereenkomst met Philips.

Eigen verplichtingen

Hoe belangrijk ook, collectief optreden kan individuele zorgaanbieders nooit van eigen verplichtingen ontslaan. “Je kunt IT-diensten uitbesteden, maar je blijft als zorgaanbieder zelf eindverantwoordelijk en daarmee aansprakelijk”, verduidelijkt Brinkhuis. “Je zult als zorgaanbieder dus scherp moeten hebben waar jouw risico’s rond informatieveiligheid liggen. Alleen zo kun je bepalen waar je direct invloed op wilt houden en waar je via uitbesteding meer op afstand regie voert.”

Calamiteitenplan

Naast duidelijke beleidsmatige keuzes zijn ook praktische vaardigheden van belang. Met simulaties en trainingen helpt Z-CERT organisaties om zich voor te bereiden op digitale calamiteiten. “Plannen om een pand te ontruimen bij een grote brand of gifwolk zijn er altijd wel. Maar hebben organisaties vergelijkbare plannen als ze een tijd lang hun IT-systemen niet kunnen gebruiken?”

“Je kunt je daar heel technisch op voorbereiden met bijvoorbeeld met pen-test of Red Team oefeningen. Dan zie je of er alarmbellen afgaan bij een aanval en hoe ver aanvallers kunnen komen. Aan de andere kant heb je meer organisatorische tests om te bekijken of het calamiteitenplan werkt en hoe crisisorganisatie reageert.”

Alertheid en handelingsbereidheid zijn geen overbodige luxe als bedacht wordt wat er nog op de zorg af komt. De opmars van AI stelt de sector voor nieuwe veiligheidsuitdagingen. De wetenschap dat GPT4 zelfstandig software kan schrijven zal door cybercriminelen handenwrijvend zijn ontvangen, want welke ongekende mogelijkheden biedt een neuraal netwerk dat eindeloos malware kan schrijven? “We zullen AI straks ook voor verdedigingsdoeleinden gaan gebruiken”, voorziet Brinkhuis. “Net als nu met virussen zal het een kat- en muisspel blijven.”

Z-CERT geeft tijdens Zorg & ICT 2024 verschillende workshops rond veiligheidsthema’s als incident response planning en training.