De gezondheidszorg ligt al jaren onder vuur. Massa's waardevolle, gevoelige data, de vaak moeilijk te realiseren vraag om ononderbroken dienstverlening en een lappendeken van oude systemen maken de sector tot een aantrekkelijk doelwit voor cybercriminelen.
Data uit de gezondheidszorg zijn om twee redenen waardevol. Ten eerste omdat de daar aanwezige persoonlijk identificeerbare informatie en gezondheidsinformatie cybercriminelen een schat aan identiteitsgegevens oplevert. Is het wijzigen van creditcardgegevens eenvoudig, het manipuleren van je adres, lengte, gewicht, huwelijkse staat of een nationaal verzekeringsnummer daarentegen is een stuk lastiger. Dat maakt ‘zorgdata’ onmiskenbaar lucratiever dan financiële gegevens.
Ten tweede is gezondheidsinformatie waardevol omdat criminelen er geld mee kunnen verdienen. Derden zijn bereid om grof geld te betalen voor recepten voor verdovende middelen of om toegang te krijgen tot intellectueel eigendom in de vorm van klinisch onderzoek.
Of het nu gaat om phishing, ransomware, aanvallen op e-mailaccounts of andere soorten aanvallen, cybercriminelen dringen de verdediging van de gezondheidszorg binnen om losgeld te kunnen vragen, persoonlijke gegevens bloot te leggen of de infrastructuur te ontwrichten.
Ziekenhuizen en zorgverleners zijn niet de enige die worden aangevallen. Cybercriminelen richten zich ook op farmaceutische bedrijven, verzekeraars, opleidingscentra en alle andere instellingen die gevoelige informatie bewaren.
Een branche die al onder vuur ligt, kan zich niet goed voorbereiden op een nieuwe aanval. Om zich beter te verdedigen, moet de gezondheidszorg eerst inzicht krijgen in de aard van de cyberdreigingen waarmee zij wordt geconfronteerd en welke mensen binnen de organisaties vaak doelwit zijn. Alleen vanuit deze basis kan een robuuste verdediging worden opgebouwd die in staat is om complexe dreigingen te detecteren en tegen te gaan, nu en in de toekomst.
Aanvallers begrijpen
Cybercriminelen schieten met hagel en voeren grote aantallen aanvallen uit op zeer uiteenlopende organisaties. Eerder dit jaar voerde een dergelijke grootschalige aanvaller, TA505, een uitgebreide aanval uit op de gezondheidszorg. Hierbij werden 200.000 schadelijke berichten verstuurd naar farmaceutische bedrijven. Aanvallen van deze omvang zijn niet ongewoon, TA505 verspreidde ooit vijftig miljoen schadelijke bijlagen op één dag.
Daartegenover staan kleinschalige aanvallers die geen brede aanpak hanteren, maar zich richten op kleinere subsectoren en branches. Hoewel dit soort aanvallen kleiner van aantal zijn en minder vaak voorkomen, zijn ze meestal wel geavanceerder. Door medische data te gebruiken, zijn aanvallen van deze omvang beter aan te passen aan het doelwit. Er wordt social engineering toegepast om onbewuste slachtoffers te misleiden. Trapt het doelwit eenmaal in de val, dan gebruiken aanvallers vaak typosquatting en keyloggers om persoonlijke informatie en inloggegevens te verzamelen en te verkopen.
Meest schade
Dan zijn er nog cyberaanvallen die door staten zijn gesponsord. Deze komen weliswaar het minste voor in de zorgsector, maar richten doorgaans wel de meeste schade aan.
Georganiseerde hackersgroepen, voornamelijk gevestigd in China, Iran en Rusland, tonen al jaren belangstelling voor de westerse gezondheidszorg. Voor het grootste deel richten deze hackers hun aandacht op intellectueel eigendom, waarbij ze proberen de verdediging van farmaceutische bedrijven en onderzoeksinstituten binnen te dringen.
Hoewel de schaal en de bron kunnen verschillen, overlappen de methoden vaak. Vooral ransomware- en phishing-aanvallen komen veelvuldig voor. In toenemende mate zijn het echter accountovernames die de grootste bedreiging vormen voor de zorgsector. Door de controle te krijgen over een legitiem account of zich als zodanig voor te doen, proberen cybercriminelen informatie in te winnen over zakelijke relaties en de supply chain. Het doel hiervan is zorginstellingen te bedriegen en gevoelige data, intellectueel eigendom en inloggegevens te ontfutselen.
Slachtoffers begrijpen
Nu je een duidelijk beeld hebt van de aanvallers, kun je je verdediging zodanig inrichten dat ze je organisatie niet kunnen binnendringen. Voor de gezondheidszorg kan dit door e-mailfilters te implementeren. Daarmee worden e-mailaanvallen tegengehouden voordat ze de inbox bereiken. Ook zijn verificatieprocessen op te zetten om de kans op succesvolle imitatie-aanvallen en accountovernames te beperken.
Technologie alleen is niet genoeg. Cyberaanvallen richten zich in toenemende mate op de werknemers , en zij zijn het die je sterkste verdedigingslinie zullen vormen. Het opbouwen van een mensgerichte cyberstrategie begint daarom bij het identificeren van de collega’s die het vaakst mikpunt zijn, de very attacked people (vap).
Welke werknemers zich in de frontlinie bevinden, verschilt per organisatie of instelling. Zo hebben cybercriminelen de neiging zich te richten op alumni en hoogleraren in academische ziekenhuizen, financiële afdelingen bij zorgverzekeraars en klinisch personeel bij grote zorgverleners. Desondanks zijn ceo’s, leidinggevenden en directeuren bijna altijd een doelwit. Als de vap’s binnen jouw organisatie zijn geïdentificeerd, kan je ze voorzien van de tools en informatie die nodig zijn om je organisatie te beschermen.
Dit begint met een bedrijfsbrede training voor beveiligingsbewustzijn, waarin de nieuwste bedreigingen, methoden en motieven aan bod komen. Daarnaast moeten de werknemers getraind worden om schadelijke links en verdachte e-mail te herkennen, en moeten zij begrijpen dat cybersecurity de verantwoordelijkheid van iedereen is. Ieder teamlid moet zich bewust zijn van zijn of haar rol in het beveiligen van de organisatie.
Vervolgens kan je je training toespitsen op je vap’s. Dit zijn diegenen die het meest kwetsbaar zijn, zij die toegang hebben tot de meest gevoelige data en zij die het meest vatbaar zijn voor risicovol gedrag. De training moet diepgaand, doorlopend en inhoudelijk zijn, een afspiegeling van de soorten dreigingen die gebruikers in het dagelijks leven kunnen tegenkomen.
Gelijke tred houden met bedreiging
Strakke technische controles en een hoge mate van bewustzijn bij gebruikers vormen de basis van een cybersecurity-strategie. Aanvallers zullen echter altijd nieuwe en inventieve manieren vinden om je verdediging te doorbreken.
Het is niet genoeg om je cloud-omgevingen te beveiligen, de nieuwste e-mail- en authenticatiecontroles te implementeren en eindgebruikers te leren hoe een phishing-e-mail er vandaag de dag uitziet. Je moet ook het dreigingslandschap in de gaten blijven houden om ervoor te zorgen dat alle beveiligingen die je installeert, ook tot ver in de toekomst geschikt zijn.
Nu de gezondheidszorg digitaliseert en het personeelsbestand verspreid raakt, is het onwaarschijnlijk dat cybercriminelen de sector op korte termijn met rust laten. Aanvallen zullen alleen maar intensiever, doelgerichter en geraffineerder worden.
Dergelijke gerichte en geavanceerde aanvallen vragen om geavanceerde informatie over bedreigingen. De gezondheidszorg kan het zich niet veroorloven om niets te doen. Alleen door een brede, mensgerichte en proactieve cyberverdediging te implementeren, kan een organisatie zijn gegevens beschermen, zijn gebruikers beveiligen en cybercriminelen tegenhouden.
