Als product owner of applicatiebeheerder in de zorg wil je dit natuurlijk niet horen, maar je komt er niet onderuit: de zorg is de meest gehackte branche in Nederland. Dit blijkt uit de jaarlijkse datalekkenrapportage van de Autoriteit Persoonsgegevens (AP) in 2023. Vaak zijn de oorzaken hiervan slechte ICT-beveiliging, groeiend gebruik van zorgdomotica én de inzet van AI door hackers. Hierdoor is de zorg een makkelijk doelwit. Maar waarom is de zorg zo’n waardevolle sector voor cybercriminelen? En moeten we ze eigenlijk dankbaar zijn voor deze digitale aanvallen? Wij zochten het voor je uit.
Toename van cybercriminaliteit in de zorg
De afgelopen jaren zijn er een hoop ontwikkelingen geweest op het gebied van AI. Helaas weten cybercimininelen dat ook. Zij zetten steeds vaker AI in om phishing–pogingen te verbeteren, waardoor het voor hen steeds makkelijker wordt om een aanval te doen. AI-programma’s stellen geloofwaardige mails op waar mensen op klikken en kunnen ransomware installeren. Z-CERT (Computer Emergency Response Team voor de Zorg) deed hier onlangs een onderzoek naar en wat blijkt? Wereldwijd is er een toename van het aantal incidenten van maar liefst 73% ten opzichte van 2022.
Hacken voor losgeld?
Naast servers en computers vallen deze digitale criminelen tegenwoordig ook steeds vaker de zorgdomotica aan. Zo verstoren zij de communicatie tussen alarmknoppen en de meldkamer, waardoor noodmeldingen niet meer binnenkomen. De hackers maken hier gebruik van om losgeld te eisen. Onder andere de ambulancecentrale is afhankelijk van dit soort meldingen – de gevolgen daarvan zijn, zoals je begrijpt, niet te overzien. En afgezien van de hoge boetes die aan datalekken hangen, moet je ook niet denken aan de imagoschade die dit voor jouw zorginstelling oplevert.
Waardevolle data
Maar niet alleen het verstoren van communicatie is voor hackers interessant. Ook het verkrijgen van medische informatie, verzekeringsgegevens en burgerservicenummers van patiënten is voor hackers waardevol. Deze gegevens leveren namelijk veel geld op binnen de zwarte markt. Daar gebruiken de kopers die gegevens doodleuk voor identiteitsdiefstal, verzekeringsfraude en andere illegale activiteiten.
Een betrouwbare partner
Gelukkig is er steeds meer aandacht voor cybersecurity in de zorg, maar elke hack en elk datalek is er nog steeds één te veel. Ook de overheid is zich hier bewust van en dus storten zij zich op nieuwe maatregelen, zoals de welbekende NIS2-richtlijn. Je kent ‘m vast al, maar in het kort: in deze landelijke richtlijn worden de minimale beveiligingsmaatregelen voor organisaties vastgelegd en ben je verplicht om elke verstoring in de digitale dienstverlening te melden.
Het toezicht op deze richtlijn in de zorgsector zal waarschijnlijk de Inspectie Gezondheidszorg gaan doen en er kunnen boetes uitgeschreven worden van maximaal tien miljoen euro. Een goed moment dus om jouw beveiligingsmaatregelen eens goed onder de loep te nemen. Een jaarlijkse pen-test vanuit een onafhankelijke cybersecurity partij kan daarbij al helpen.
Investeren in security
Dat de zorgsector zo veel en vaak aangevallen wordt door cybercriminelen is natuurlijk enorm heftig. Dus moeten we de hackers dankbaar zijn? Nee. Maar gek genoeg zijn er ook een aantal onbedoelde, positieve gevolgen. De zorgsector is hierdoor gedwongen om sneller te moderniseren, bewuster te worden van beveiligingsrisico’s en meer te investeren in veiligheid. Dus laten we er vooral van leren.
Ook je risico’s in kaart krijgen?
Risico lopen? Not on our watch! Wil je eens sparren met een gespecialiseerde software development partner? En vind je het belangrijk dat security al tijdens de ontwikkeling meegenomen wordt? Neem dan contact met ons op. Onze developers kijken samen met jou naar je huidige IT-landschap om te zien wat er beter kan.
