Typ om te zoeken

ICT In the spotlight

Ransomware-aanvallen en andere digitale dreigingen zijn een steeds groter gevaar voor zorgorganisaties

Delen

De pandemie heeft ons andermaal met de neus op de feiten gedrukt: ransomware-aanvallen en andere digitale dreigingen zijn een steeds groter gevaar voor zorgorganisaties. In maart vond er een DDoS-aanval plaats op de computersystemen van een Franse ziekenhuisgroep. Begin september overleed in Duitsland een patiënt nadat hackers computersystemen van een universiteitsziekenhuis platlegden. Ook een rits Amerikaanse ziekenhuizen, het grootste ziekenhuis van Tsjechië en zorgorganisaties in het VK, België en Nederland bleven niet gespaard. In januari was het ziekenhuiscentrum in Doornik slachtoffer van een cyberaanval. Dit ondanks beloftes van verschillende hackersgroepen om zorgorganisaties tijdens de gezondheidscrisis niet te viseren. 

Om leven en dood 

Kurt Callewaert, docent en hoofd research toegepaste informatica Howest Hogeschool en lid van de Cyber Security Coalitie

“Het grote verschil met bedrijven, waar de economisch kosten tot astronomische bedragen kunnen oplopen, gaat het in een ziekenhuis om leven en dood”, benadrukt Kurt Callewaertdocent en hoofd research toegepaste informatica Howest Hogeschool en lid van de Cyber Security CoalitieDe impact op patiënten en de zorgverlening kan enorm zijn. Dat is ook waarom Europa de ziekenhuizen onder de essentiële diensten heeft geplaatst. Om de continuïteit van kritische diensten te garanderen moeten deze organisaties ‘passende en evenredige maatregelen nemen om risico’s te beheersen en de gevolgen van incidenten te minimaliseren, alsook een beveiligingsbeleid uitwerken, ernstige incidenten melden zodra ze zich voordoen, op eigen kosten interne en externe audits uitvoeren en een contactpunt aanduiden dat altijd beschikbaar is. 

“In België mochten de ministers echter aangeven welke ziekenhuizen onder die NIS-wetgeving vallenDe redenatie was dat zorgorganisaties het al moeilijk genoeg hebben om budgetten te doen kloppen. Cybersecurity vraagt om rits aan investeringen en acties die ziekenhuizen zouden moeten ondernemen. België heeft de zaken dus wat omzeild. Voor 2021 is Europa hier niet tevreden meeVoor een ziekenhuis lijkt het misschien logisch om eerder te investeren in medische apparatuur dan in cybersecurity, maar onbedoeld ben je hierdoor een prooi voor cybercriminelen. België zal die definitie van essentiële diensten op een gegeven moment toch moeten herzien.” 

Op een phishing email is snel geklikt 

Computervirussen, malware, social engineering, hacks, brute force attacks… Er zijn tal van manieren waarop cybercriminelen ziekenhuizen aanvallen. In IBM’s jaarlijkse Threat Intelligence Index komt overigens keer op na keer naar voor dat het gros van die aanvallen begint met een menselijke fout. Kurt Callewaert: “Op een phishing e-mail is natuurlijk snel geklikt. Zeker in een omgeving waar je 24/7 op de toppen van je tenen moet staan. De stress en werkdruk zijn soms zodanig groot dat iets relatiefs simpel als een spear phishing-campagne al heel doeltreffend kan zijn. Los daarvan zijn ziekenhuizen sowieso fysiek kwetsbaar. Iedereen loopt er zo naar binnen of kan er een vals wifinetwerk met [naam ziekenhuis] opzetten.  

In maart waarschuwde de Belgische overheid ziekenhuizen nadrukkelijk om zich te wapenen tegen ransomware. Veel websites en toestellen in ziekenhuizen draaien nog op verouderde software, die niet meer wordt ondersteund (Windows XP, Windows 7…). Ook configuratiefouten komen regelmatig voor en wachtwoorden zijn nog steeds niet overal even adequaat. Dat zijn open deuren voor cybercriminelen. Het gaat bovendien niet alleen om de systemen, ook alle geconnecteerde medische apparaten op dat netwerk lopen gevaar. Allerlei andere toegangswegen verhogen de risico’s nog meer. Een patiëntenportaal waar elke patiënt op kan aanloggen, derde-software die het mogelijk maakt om radiologiebeelden vanaf afstand te zien, integraties van verschillende systemen. Verder is er bijvoorbeeld ook geen systeem van homologatie voor ziekenhuisapplicaties, wat wel het geval is voor apotheken en bij huisartsen. 

Een rampenplan voor cyberaanvallen 

Cyberrisico’s willen we natuurlijk zoveel mogelijk vermijden. De hamvraag is ‘Hoe?’, aangezien er nog steeds op de centen moet worden gelet. “Ik denk dat we moeten kijken hoe we ziekenhuizen beter kunnen helpen en bijstaan. Welke resources moeten er uitgerold worden om toe te werken naar die wet. De ISO 27001 voor privacy en cybersecurity halen, is eigenlijk een must. Dat wil zeggen: de nodige policies en procedures opstellen, de security awareness onder alle personeel verhogen, inclusief verplegend personeel, etc. 

Een deel kan ook ‘low cost’. In november vorig jaar lieten tientallen steden en gemeenten zich bv. hacken door Howest Hogeschool. “Voor onze studenten is het een goede leerschool, voor steden en gemeenten een gratis manier om eventuele zwakheden in hun computersystemen bloot te leggen. Dit soort samenwerkingen willen we gerust met zorgorganisaties opzetten. Verder is het zeker interessant om na te gaan welke security issues er al zijn geweest: wat hebben we geleerd, wat kunnen we bijsturen? Een rampenplan zijn ziekenhuizen al gewoon, hier gaat het om een rampenplan voor cyberaanvallen.” 

Intelligente hulptroepen 

Artificiële intelligentie zal ons ook kunnen helpen. “We mogen dit niet allemaal aan de mens overlaten. Hackers gaan stap voor stap te werk, ze hebben een engelengeduld en coveren hun tracks. Vaak openen ze hier een poort om er maanden later pas gebruik van te maken. We moeten een manier vinden om hierop te anticiperen en die stroom van informatie van antivirussen en firewalls slimmer te monitoren. Met AI kunnen we al die logs en berichten analyseren, het gedrag van een hacker ontdekken en indien nodig proactief bepaalde processen stoppen. 

De research hub van Howest-Hogeschool doet hier praktisch-wetenschappelijk onderzoek naar en deelt zijn expertise graag met de zorgsector. AI zal ook steeds belangrijker worden voor preventieve zorgverlening. Uiteindelijk gaat er nog veel meer gevoelige data opgeslagen worden. Daar kunnen we dan weer slimme algoritmes op loslaten om zaken te voorspellen en herkennen, sneller en beter dan gelijk welke specialist. Zo zijn er nog een heleboel andere tools die voor de zorg interessant kunnen zijn. Ik denk aan federated learning (om het probleem van data governance en privacy op te lossen), homomorfe encryptie (om berekeningen te maken op versleutelde tekst) enzovoort. 

Kennis opbouwen en delen 

Kurt Callewaert organiseert tevens verschillende workshops, infosessies en demo’s rond cybersecurity. “De meeste ziekenhuizen hebben al heel wat kennis opgebouwd. Maar lang niet alle bases zijn daarmee gecoverd. Een en ander hangt ook af van waar de prioriteiten worden gelegd. Vanuit de Cyber Security Coalitie kunnen we ziekenhuizen begeleiden met deze problematiek van een heel ander visusgehalte. Sommige van onze trainingen focussen bv. op de boekhoudafdeling en zaken zoals valse facturen en CEO-fraude. Andere op cybersecurity awareness, of een gefaseerde implementatie van cybersecuritymaatregelen. 


Cybersecurity-aandachtspunten 

  1. Creëer continue cybersecurity awareness doorheen de hele organisatie. 
  1. Maak enkel gebruik van sterke gebruikersnamen en paswoorden. Schakel overal waar mogelijk multifactor authenticatie in. 
  1. Beheer de toegangsrechten goed. 
  1. Zorg ervoor dat alle programma’s en systemen steeds uptodate zijn. 
  1. Heb je back-up-management op orde (on en offline). 
  1. Zet in op AI om systemen te helpen verdedigen. 
  1. Leg je incident response en disaster recovery plan klaar. 

Laat een commentaar na

Your email address will not be published. Required fields are marked *