11-04-2017

Cyberaanvallen zorgen voor onrust bij zorginstellingen. De afgelopen jaren is het aantal aanvallen sterk gegroeid. Sinds 1 januari 2016 is de meldplicht datalekken ingevoerd en bijna 30% van de meldingen kwam vanuit de sector gezondheid & welzijn.

Phishingmails en ransomware
De zorgsector is gevoelig voor digitale afpersing vanwege de medische data die zij onder zich heeft. Om een zorginstelling binnen te dringen, worden vaak phishingmails verstuurd en ransomware geïnstalleerd. Dagelijks versturen criminelen tientallen miljoenen phishingmails. Wanneer een nietsvermoedende medewerker een link in zo’n e-mail opent, kan malware (schadelijke software zoals virussen, wormen, spyware etc.) het systeem van de zorginstelling infecteren. Dit kan direct invloed hebben op de continuïteit van de instelling omdat malware de systemen ontoegankelijk kan maken door ze te versleutelen, met alle gevolgen van dien.

Medische informatie levert een cybercrimineel circa 60 dollar per record op en dat is meer dan de circa 40 dollar die bijvoorbeeld creditcardinformatie oplevert. Dit geeft dus direct aan wat de waarde is van de informatie die zorginstellingen in handen hebben en benadrukt de noodzaak om deze te beveiligen.

Toenemend risico: steeds meer medische apparatuur verbonden met internet
Voor zorginstellingen neemt de noodzaak toe om hun medische hard- en software  te beveiligen. Steeds meer medische apparatuur zoals cardiologische systemen, infuuspompen en radiologische apparatuur worden namelijk verbonden met internet. Apparaten met een zwakke beveiliging zijn een gemakkelijk toegangspunt om een netwerk binnen te dringen en gevoelige informatie te stelen. Het hacken van slecht beveiligde medische apparatuur die in verbinding staan met het ziekenhuisnetwerk wordt ‘medjacking’ genoemd. In Amerika zijn onderzoeken verricht waaruit bleek dat op een MRI-scanner en defibrillator in een half jaar zo’n 55.000 geslaagde inlogpogingen werden uitgevoerd en 300 malware installaties.

Identiteitsfraude
Zorginstellingen hebben ook aantrekkelijke informatie opgeslagen in elektronische patiëntendossiers (EPD). Vooral in landen waarin zorgsystemen duur zijn, kan door identiteitsfraude goedkoper zorg worden verkregen.

Enkele feiten:

- Vorig jaar hebben Nederlandse ziekenhuizen ruim 300 keer melding gemaakt van het verlies van privacygevoelige informatie. Dat komt neer op gemiddeld bijna 1 datalek per dag. De Autoriteit Persoonsgegevens heeft hierop waarschuwingen uitgedeeld en in enkele gevallen diepgaander onderzoek ingesteld. In het ergste geval kan de autoriteit een boete opleggen van € 820.000.

- In 2015 is in Nederland 0,6 procent van de bevolking slachtoffer geworden van identiteitsfraude.

- Uit een overzicht van de Autoriteit Persoonsgegevens blijkt dat de meeste datalekken  per ongeluk plaatsvinden. Denk hierbij aan een verkeerd bezorgde e-mail, het kwijtraken van een USB-stick of een gestolen laptop.

- Het afgelopen jaar zijn er wereldwijd al meer dan 100 miljoen gezondheidsdossiers gestolen volgens een rapport van onderzoeksbureau IBM.

Maatwerk cyberverzekeringen
Het is van groot belang dat iedere zorginstelling het cyberrisico serieus aandacht geeft. Speciaal voor zorginstellingen zijn er maatwerk cyberverzekeringen in de markt. Deze verzekeringen bieden dekking voor:

  • Externe hulp bij het managen van incidenten
  • Reconstructiekosten
  • Boetes voor verlies van persoonsgegevens
  • Aansprakelijkheidsclaims
  • Bedrijfsschade

Mandema & Partners helpt u graag bij het in beeld brengen van uw cyberrisico’s.

Contact
Wilt u meer informatie? Neem dan contact op met onze Risk-adviseurs via telefoonnummer 070 – 302 22 22. Of stuur een e-mail naar cyberrisk@mandema.nl. Wij helpen u graag.


Gebruikte bronnen: Security in de zorg vraagt om stapsgewijze aanpak en Ziekenhuis in de toplijst als doelwit voor cybercrime in 2017.

Met welk cijfer* waardeert u dit artikel?

*1 = zeer slecht, 10 = uitstekend