De zorgsector is in gevaar
Zorgorganisaties worden ongemerkt steeds vatbaarder voor online aanvallen, waardoor de dagelijkse patiëntenzorg wordt bedreigd door randsomeware aanvallen en vertrouwelijke patiëntgegevens publiek domein kunnen worden. De toegenomen werkdruk door personeel tekorten zorgt ervoor dat medici niet de tijd hebben om bij te leren over online risico’s. Daar komt bij dat de verstoring in de werkpraktijk die mogelijk wordt veroorzaakt door een herziening van de IT beveiliging voor veel organisaties gewoon te chaotisch zou kunnen worden. Hieronder vindt u 5 redenen waarom de zorg nu extra kwetsbaar is.
De meeste zorgorganisaties zijn op zich bereid om de nodige uitgaven voor cyberbeveiliging te doen. Maar door steeds nieuwe bedreigingen is het niet eenvoudig om te bepalen waar een organisatie haar budget het best zou moeten investeren. De bijzondere status van patiëntgegevens in de AVG en de helaas vaak verouderde IT systemen zijn redenen waarom de zorg nu één van de makkelijkste en vruchtbaarste doelwitten geworden is voor online aanvallen.
1. Privé patiëntgegevens zijn veel geld waard voor aanvallers
Ziekenhuizen mogen extra patiëntgegevens opslaan. Dit heten “bijzondere gegevens” onder de AVG. Er mogen privégegevens opgeslagen worden over ras, seksuele geaardheid, religie etc. Dit zijn vertrouwelijke gegevens die veel geld waard zijn voor hackers. Hierdoor wordt de zorg een groeiend doelwit. Onder de AVG is een zorgorganisatie verplicht om dergelijke gegevens goed te beschermen.
Kosten! Of het nu gaat om boetes voor het niet voldoen aan de AVG of het betalen van ransomware (zoals Colisseum Dental dat pas geleden deed). De kosten zijn echt en alarmerend voor een sector waar toch al veel gekort wordt.
IT-professionals realiseren zich dat de kosten van het beveiligen van gegevens met oplossingen zoals two-factor authenticatie (TFA) veel lager zijn dan de uitbetaling van ransomware of soortgelijke aanvallen. TFA is een oplossing waarbij een gebruiker zich op twee manieren moet identificeren (bijvoorbeeld door een wachtwoord en een SMS code). Hierdoor is het veel moeilijker voor hackers om binnen te dringen.
2. Te druk voor de juiste beveiliging
In de zorg is het druk tegenwoordig: De toegenomen administratie en tekort aan personeel betekent dat er meestal weinig tijd is om online beveiliging aan de procedures toe te voegen. Medische professionals hebben gestroomlijnde werkmethoden nodig met minimale afleiding.
Ook worden er nog weinig awareness training in de zorg gedaan. De tijdsinvestering die hiervoor nodig is, bijvoorbeeld één keer per jaar, is klein vergeleken met de voordelen die dat oplevert. Een jaarlijks terugkerende online training voor iedere medewerker is aanbevolen om op de hoogte te blijven van de laatste soorten cyberaanvallen.
Zorgorganisaties moeten de impact beoordelen van cyberbeveiliging. IT medewerkers moeten proberen de kosten/baten in de gaten te houden en niet te strikte, kostbare maatregelen implementeren. Veel authenticatieoplossingen werken al naadloos samen met bestaande software. Dat betekent dat de medische mensen hun taken zonder vervelende afleiding kunnen uitvoeren.
3. Medische apparaten worden steeds meer ingezet en zijn een gemakkelijke toegang voor aanvallers
Medische apparaten zoals fitness apparatuur, röntgen/ultrasound apparaten, insulinepompen en hartslagmeters spelen een steeds belangrijkere rol in de zorg. Maar helaas bieden deze nieuwe apparaten ook meer toegangspunten voor aanvallen. Veiligheid is meestal niet de eerste zorg in het ontwerp. Aanvallers kunnen onbeveiligde apparaten gebruiken om binnen te dringen en dan verder op het netwerk naar servers op zoek gaan.
Medische apparaten zijn vaak een gemakkelijk doelwit, omdat ze niet de normale beveiliging van bijvoorbeeld laptops hebben en ook vaak niet geupdate worden. Bedreigingen tegen medische apparaten kunnen problemen veroorzaken voor zorgorganisaties, hackers toegang geven tot andere netwerkapparaten of ze de mogelijkheid geven om ransomware te installeren.
4. Verouderde technologie betekent dat de zorgsector vaak makkelijk binnen te dringen is
De technische ontwikkeling in de medische sector gaat heel snel. Vaak worden nieuwe toepassingen geïnstalleerd. Helaas blijft er meestal ook verouderde apparatuur staan. Ziekenhuizen die verouderde apparatuur gebruiken die nog systeemupdates kunnen krijgen, moeten dat altijd doen. Niet altijd is dat het geval.
Als de leverancier nog security updates maakt, kunnen die de systemen redelijk veilig houden. Maar uiteindelijk zal de software end-of-life worden en zullen leveranciers stoppen met het leveren van updates. Waar het niet economisch haalbaar is om te upgraden naar veiligere software is het meestal nog wel mogelijk om het risico op cyberaanvallen te minimaliseren door extra beveiligingslagen toe te voegen.
5. Ook kleinere zorgorganisaties lopen gevaar
Alle zorgorganisaties lopen risico door online bedreigingen. Grote ondernemingen beschikken over grote hoeveelheden gegevens. Kleinere zorgcentra hebben kleinere budgetten en vaak minder beveiliging.
Alle zorgorganisaties zijn onder de AVG verantwoordelijk voor het veilig houden van hun patiëntgegevens. Het is daarom voor alle organisaties essentieel om een budget toe te wijzen voor cybersecurity. Bedenk hoe uw personeel makkelijk werkt en blijf als organisatie op de hoogte van nieuwe bedreigingen!
Effectieve cyberbeveiligingsoplossingen zijn een must geworden voor alle zorgorganisaties, klein en groot, omdat ze allemaal verantwoordelijk zijn voor gevoelige en bijzondere patiëntgegevens. De zorg wordt zich steeds meer bewust van de noodzaak om de uitgaven voor cybersecurity te verhogen – en er zijn vele oplossingen die schaalbaar zijn voor verschillende bedrijfsgroottes.
