Cybersecurity voor uw zorginstelling: gehackt? Dit moet u doen

In de zorgsector staat u voor flinke uitdagingen. Niet alleen in de dagelijkse zorg voor patiënten, maar ook op het gebied van cybersecurity. Natuurlijk streeft u naar een veilige ICT-omgeving, die uw gegevens beschermt en de continuïteit van de zorg waarborgt. Maar stel dat het misgaat en u wordt gehackt: wat moet u dan doen?

Wist u dat zorginstellingen het hoogste aantal meldingen en incidenten rapporteren? Hackers zijn voortdurend op zoek naar kwetsbaarheden in uw ICT-systemen. Als ze een kans zien, grijpen ze die zonder aarzelen. Het maakt niet uit hoe groot uw organisatie is of hoeveel er te halen valt, de dreiging is altijd aanwezig.

Wat maakt zorginstellingen eigenlijk zo aantrekkelijk voor hackers? Hoe herkent u een cyberaanval en wat moet u doen als uw organisatie wordt gehackt? In dit artikel gaan we daarop in. We vertellen welke praktische stappen u kunt nemen na een cyberaanval, wie u moet informeren en hoe u de schade kunt beperken.

Welke kwetsbaarheden in uw cyber beveiliging gebruiken hackers?

Hackers zijn gelegenheidszoekers, ze zoeken een gemakkelijke weg naar binnen en slaan dan hun slag. Ze doen dat op grote schaal, dus het maakt niet uit hoeveel er precies bij uw organisatie te halen is. Als een kans zich voordoet, zullen ze hem grijpen.

Voorbeelden van kansen voor een hacker zijn:

• Software die niet regelmatig wordt geüpdatet

• Medische apparatuur die verbonden is met het netwerk en niet goed geüpdatet of beveiligd is

• Netwerken die onvoldoende beveiligd zijn

• Onbeveiligde mobiele apparaten

• Onbeveiligde privé laptops en telefoons die medewerkers voor hun werk gebruiken

• Zwakke wachtwoorden

• Gebrek aan bewustzijn van medewerkers

Wat maakt zorginstellingen zo aantrekkelijk voor hackers?

De grote hoeveelheid persoonlijke gegevens die de gezondheidszorg verwerkt, maakt de sector aantrekkelijk voor cybercrime. Deze gegevens kan een hacker verkopen via het dark web, een online versie van de zwarte markt. Een compleet medisch dossier kan tussen de 50 en 500 dollar opleveren, blijkt uit Amerikaans onderzoek. Terwijl een creditcardnummer amper een dollar oplevert.

Een ander verdienmodel voor hackers bestaat uit het gijzelen van uw data en uw ICT-systemen. Ze gebruiken daarvoor ransomware, een type malware waarmee ze computersystemen infecteren en bestanden versleutelen. Met als gevolg dat u geen toegang meer heeft tot uw eigen systemen en data. Vervolgens eisen de hackers losgeld in ruil voor het vrijgeven van de bestanden.

Het is niet de vraag of we gehackt worden, maar wanneer. Dat zegt 92% van de zorginstellingen. Toch heeft maar de helft een plan om te zorgen voor de continuïteit van kritische toepassingen binnen de organisatie. Dat blijkt uit onderzoek van SoftwareOne onder 30 grote zorginstellingen in Nederland.

Hoe herkent u een cyberaanval?

Het herkennen van een hack kan lastig zijn, vooral als aanvallers proberen onopgemerkt te blijven. Soms zijn hackers al langere tijd actief achter de schermen en zorgen ze er bijvoorbeeld voor dat uw back ups niet meer volledig zijn. Pas later slaan ze daadwerkelijk toe, versleutelen ze uw bestanden en maken zij zich bekend om losgeld te eisen.

Op dat moment is het overduidelijk wat er aan de hand is. Maar hoe kunt u al eerder herkennen dat u met een cyberaanval te maken heeft?

Dit zijn 10 tekenen die op het werk van hackers kunnen wijzen:

1. Ongebruikelijke account activiteiten:
   Onverwachte inlogpogingen, vooral van onbekende IP-adressen of op ongebruikelijke tijden.

2. Vertraagde of instabiele systemen:
   Computers of systemen die plotseling traag worden of regelmatig vastlopen.

3. Onbekende software:
   De aanwezigheid van nieuwe programma’s die uw organisatie zelf niet heeft geïnstalleerd.

4. Veranderingen in bestanden:
   Bestanden die opeens verdwenen, aangepast of verplaatst zijn. Of de aanwezigheid van onbekende bestanden.

5. Ongewone netwerkactiviteiten:
   Een plotselinge toename van netwerkverkeer, vooral naar onbekende externe IP-adressen, kan een teken zijn van datadiefstal of communicatie met een command-and-control server.

6. Nieuwe accounts:
   Nieuwe accounts die zijn aangemaakt of wachtwoorden die zijn gewijzigd, waar de gebruiker niets van afweet.

7. Ongebruikelijke e-mail activiteiten:
   Verzending van ongebruikelijke e-mails vanuit interne accounts, vaak met phishing links of bijlagen.

8. Toename van firewall of antivirus alerts:
   Een stijging van het aantal waarschuwingen van uw antivirussoftware kan een indicatie zijn van een poging tot inbraak of lopende aanval.

9. Veranderingen in configuratie of logbestanden:
   Onverklaarbare wijzigingen in systeemconfiguraties of logbestanden kunnen erop wijzen dat aanvallers sporen proberen te verbergen.

10. Medewerkersmeldingen:
    Medewerkers die meldingen maken van verdachte activiteiten, zoals vreemde e-mails, afwijkingen in systemen, of ongewone verzoeken.

Voorbeeld uit de praktijk: zorginstelling gehackt

Op een vrijdagmorgen wordt Attent, een instelling voor ouderenzorg in Arnhem, gehackt door een ransomwaregroep. Na de hack zijn de interne systemen, de mail en het telefoonsysteem niet meer toegankelijk. De cybercriminelen laten de organisatie weten dat ze privacygevoelige gegevens openbaar hebben gemaakt. Ze eisen geld om de overige gestolen informatie niet te publiceren.

De instelling schakelt hulp in van specialisten. Uiteindelijk is de organisatie weer bereikbaar en is het systeem weer toegankelijk. In de tussentijd heeft de organisatie mensen waarvan de gegevens gestolen zijn geïnformeerd. Ook doen ze aangifte bij de politie en een melding bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Over de vraag of er losgeld is betaald doet de instelling geen uitspraken.

Wat te doen na een hack?

Als medewerkers iets verdachts opmerken, is het belangrijk dat zij direct aan de bel trekken. Hoe sneller u kunt handelen, hoe beter. Wat moet u doen als uw organisatie gehackt is?

1. Isoleer de getroffen systemen:
   Het eerste dat u moet doen is zorgen dat de hackers nog dieper in uw systemen kunnen raken. Verbreek de netwerkverbindingen, fysiek en digitaal. Laat de computers wel aanstaan, om bewijsmateriaal te behouden.

2. Schakel hulp in van experts:
   Schakel vervolgens zo snel mogelijk de hulp in van uw interne IT’er of uw IT-partij. Zij begeleiden u verder in de stappen die u moet nemen en het inschakelen van de juiste cybersecurity-experts.

3. Zorg voor heldere communicatie:
   Het is cruciaal voor uw zorgorganisatie om mensen zorgvuldig te informeren na een cyberaanval, zowel intern als extern. Daarnaast kan het nodig zijn om een aantal meldingen te doen, zoals bij de Autoriteit Persoonsgegevens.  

Wie moet u informeren nadat u gehackt bent?

Een goede communicatie is belangrijk voor het vertrouwen van patiënten en medewerkers en kan de schade zoveel mogelijk beperken. Daarnaast bent u wettelijk verplicht om bepaalde meldingen te doen. Waar moet u allemaal aan denken?

1. Interne meldingen
   Zorg ervoor dat het management en het bestuur volledig op de hoogte zijn van de hack en de voortgang van de incidentrespons. Vergeet ook de Functionaris Gegevensbescherming niet. Breng daarnaast alle medewerkers op de hoogte van de situatie, de genomen maatregelen en hun rol in de nasleep van de hack.

2. Informeren van patiënten en betrokken personen
   Het is belangrijk om zo snel mogelijk patiënten en andere betrokkenen te informeren. Geef uitleg over welke gegevens zijn gelekt, de mogelijke gevolgen en de genomen maatregelen.

3. Melding aan de Autoriteit Persoonsgegevens
   Vaak is er sprake van een datalek. Deze moet u binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Deze verplichting valt onder de AVG.

4. Melding bij het NCSC
   De Wet beveiliging netwerk- en informatiesystemen (Wbni) kent een meldplicht bij het NCSC voor ernstige digitale veiligheidsincidenten die de samenleving kunnen ontwrichten. Of hiervan sprake is kunt u opzoeken in de factsheet Meldplicht bij het NCSC.

5. Melding aan toezichthoudende instanties
   Afhankelijk van de specifieke regelgeving waar uw organisatie mee te maken heeft, kan het noodzakelijk zijn om de hack te melden aan andere toezichthoudende instanties, zoals de Inspectie Gezondheidszorg en Jeugd.

6. Aangifte bij de politie
   In geval van een ernstige hack, vooral bij cybercriminaliteit zoals ransomware of diefstal van gegevens, moet u de hack melden aan de politie voor verder onderzoek en juridische stappen.

7. Melding aan uw verzekeringsmaatschappij
   Als uw zorginstelling een cyberverzekering heeft, moet u de hack melden aan de verzekeringsmaatschappij om aanspraak te maken op dekking en ondersteuning bij incidentrespons.

Bereid uw organisatie voor met een Incident Response Plan

Er moet veel gebeuren nadat u een cyberaanval heeft ontdekt. Enerzijds is het van belang om kalm te blijven, anderzijds moet er snel gehandeld worden. In alle hectiek is het makkelijk om iets of iemand te vergeten. Daarom is het goed om een plan klaar te hebben liggen. Vaak wordt dit een Incident Response Plan genoemd. Hierin staat wie waarvoor verantwoordelijk is en welke stappen er gevolgd moeten worden.  

Uw cyber beveiliging op orde

De impact van een cyberaanval is groot en de herstelkosten zijn vaak hoog. Uiteindelijk is voorkomen altijd beter dan genezen. Daarom staat bij Gflex de veiligheid van uw ICT bovenaan. Onze ISO 27001 en NEN 7510 certificering is daar een bewijs van.

Dankzij onze ervaring in de zorg begrijpen we met welke uitdagingen u te maken heeft. We kunnen u helpen de juiste cybersecurity maatregelen te nemen. Zo heeft u het in de basis goed voor elkaar. Bovendien kunnen wij op afstand uw ICT monitoren en kwetsbaarheden signaleren.  

Hoe kwetsbaar is uw ICT? Vraag de gratis veiligheidsscan aan.