Het is een veelgemaakte denkfout: als relatief kleine zorgverlener ben ik toch niet interessant voor hackers? Helaas wel, zoals we uitleggen in dit artikel. Cyberdreigingen zoals ransomware, aanvallen op webapplicaties, phishing en CEO-fraude komen vaak voor binnen de zorgwereld – misschien wel júíst bij kleinere zorgaanbieders. We geven antwoord op de vijf meest gestelde vragen over cybersecurity voor eerstelijns zorgaanbieders.
Met wat voor cyberdreigingen kan ik te maken krijgen?
Vorig jaar moest een tandartsketen 2 miljoen euro losgeld betalen aan hackers wegens een ransomware-besmetting. Ook een Brabantse zorginstelling met vijf woonzorgcentra werd recent slachtoffer van deze vorm van digitale gijzeling. Bij het Computer Emergency Response Team voor de zorg (Z-CERT) zijn in 2022 vijf ransomware-incidenten bij Nederlandse zorginstellingen geregistreerd.
Ransomware is de bekendste – en vaak ook schadelijkste – cyberdreiging waar je als zorgorganisatie mee te maken kunt krijgen. Andersoortige malware, phishing, afpersing door te dreigen de organisatie plat te leggen met een DDoS-aanval, gevoelige of financiële data stelen en CEO-fraude zijn óók allemaal interessant voor hackers. Zo geeft 2 procent van de zorginstellingen aan ooit slachtoffer te zijn geweest van CEO-fraude.
Waarom door míjn achterdeur?
Stel, je bent een kleinere eerstelijns zorgverlener zoals een huisarts, tandarts, fysiotherapeut, apotheker of verloskundige. Waarom zouden hackers het dan op jou gemunt hebben? Simpel: met de hierboven omschreven methodes kunnen ze veel geld verdienen. En als jij je cyberveiligheid niet in orde hebt, dan komen ze graag bij je binnen. Hackers gaan door iedere open achterdeur, zelfs al ben je een non-profitorganisatie. Uit het Cybersecurity Dreigingsbeeld Zorg 2022 blijkt daarnaast dat ransomware-criminelen evengoed kleine als grote zorgaanbieders aanvallen.
Kleinere organisaties kunnen juist extra interessant zijn, omdat daar het security-niveau over het algemeen lager ligt. Via bijvoorbeeld kwetsbaarheden in de software, slechte configuraties, zwakke wachtwoorden of onvoldoende bewustzijn bij de medewerkers (bijvoorbeeld op het vlak van phishing en wachtwoorden) verschaffen hackers zichzelf toegang. Vaak gebruiken ze geautomatiseerde tools om zwakheden bij organisaties te vinden.
eBook: Digitalisering in de zorg
Hoe kan digitalisering helpen om zorgverleners te versterken, veiligheid te bieden en mensen centraal te stellen? Je leest het in dit eBook.
DownloadWat het extra complex maakt: het zogeheten aanvalsoppervlak is de laatste jaren steeds groter geworden, aangezien we meer en meer (mobiele) apparaten zijn gaan gebruiken. Het is niet ongebruikelijk dat een hacker via bijvoorbeeld een privétablet van een medewerker het bedrijfsnetwerk opkomt.
Tot slot: mensen – zo wordt vaak gezegd – zijn de zwakste schakel in cybersecurity. Zonder de juiste kennis klikken zij bijvoorbeeld gemakkelijk op een phishing-link. In de zorg is dit probleem misschien nog wel erger: door het grote personele verloop is het lastig om het securitykennisniveau van alle medewerkers op peil te houden.
Wat valt er bij mij te halen?
Bij ransomware is het duidelijk: losgeld. De medische en financiële gegevens waarover je beschikt, zijn voor hackers ook interessant. Dit soort data kunnen ze bijvoorbeeld doorverkopen op het darkweb; de kopers kunnen het vervolgens gebruiken voor onder andere identiteitsdiefstal of chantage.
Wat zijn de gevolgen van een hack?
Dat hangt er sterk vanaf. Losgeld loopt al snel in de tienduizenden euro’s, grotere organisaties moeten vaak miljoenen betalen. Verder kun je te maken krijgen met:
-Downtime: systemen liggen eruit en bestanden zijn niet beschikbaar
-Misgelopen inkomsten
-Reputatieschade, zeker als het incident de media haalt
-Herstel- en onderzoekskosten
Afhankelijk van de situatie moet je het datalek mogelijk ook melden bij de Autoriteit Persoonsgegevens.
Wat kan ik doen om hackers buiten de deur te houden?
Het belangrijkste is dat je als zorgorganisatie je ‘cyberhygiëne’ op orde hebt. Waar persoonlijke hygiëne ervoor zorgt dat je gezond blijft, draagt cyberhygiëne bij aan het voorkomen van cyberaanvallen en het beschermen van digitale gegevens.
Belangrijke cyberhygiënemaatregelen zijn bijvoorbeeld anti-virussoftware, veilig wachtwoordbeheer, multi-factor authenticatie, een goed updatebeleid, een veilig netwerk, security awareness-trainingen voor medewerkers en veilig beheer van toegangsrechten.
Voorkomen is natuurlijk altijd beter dan genezen. Toch is het verstandig om goed voorbereid te zijn op een mogelijke hack of ander security-incident. Het kan dan ook bepaald geen kwaad om aan de slag te gaan met het opstellen van een degelijk business continuity plan, waarin je onder andere een business impact analyse, disaster recovery plan en incident response plan opneemt.
Tot slot: Onze KPN Health Certified Partners helpen zorginstellingen in heel Nederland op het gebied van digitale veiligheid. Ze kunnen je adviseren over het zo veilig mogelijk inrichten van de IT en ICT binnen jouw praktijk of zorginstelling.
Daarbij maken ze gebruik van de veilige netwerk- en werkplekoplossingen van KPN en van het Goed Beheerde Zorgnetwerk van E-Zorg, maar ook van de expertise van de cybersecurityspecialisten binnen het team van KPN Security. Uiteraard kunnen ze je adviseren wanneer je onverhoopt te maken krijgt met een security-incident, en helpen ze bij het oplossen van problemen.
Wil je meer weten? Maak dan nu vrijblijvend een telefonische afspraak. Onze KPN Health Certified Partners denken graag met je mee over een oplossing op maat.
Maak een afspraak
