De echte kosten van een cyberaanval in de zorg

ICT-beveiliging voelt voor uw zorginstelling waarschijnlijk als een noodzakelijke kostenpost. Maar wat u zich moet afvragen is: wat kost het als u het niet goed regelt? Cybercriminelen richten zich steeds vaker op de zorgsector, met financiële én operationele schade tot gevolg. In dit artikel leggen we uit wat een cyberaanval uw organisatie kan kosten en hoe u zich hiertegen kunt beschermen.

Hoe groot is de kans op een cyberaanval in de zorg?

Cyberincidenten in de zorgsector nemen toe. Volgens Z-CERT, het expertisecentrum voor cybersecurity in de zorg, is het aantal ransomware-aanvallen op zorginstellingen in Europa in 2023 met 73% gestegen​. Als oorzaken hiervoor benoemt Z-CERT de nieuwe phishingtechnieken die cybercriminelen gebruiken en dat hackers steeds sneller zijn met het misbruiken van kwetsbaarheden. Ook zien ze dat niet alleen grote organisaties slachtoffer worden, maar dat ook kleine organisatie vaak het doelwit zijn.

Met de groeiende digitale afhankelijkheid neemt de kans op een aanval alleen maar toe. Het is dus belangrijk om zowel de risico’s als de potentiële schade in kaart te brengen. Met die risico’s in gedachten, wat zijn dan de financiële gevolgen als het u overkomt?

De financiële impact: meer dan u denkt

Een cyberincident raakt uw zorgorganisatie op meerdere niveaus. We bespreken de belangrijkste kostenposten, zodat u een compleet beeld krijgt van de impact.

1. Losgeld bij een ransomware-aanval

Bij een ransomware-aanval versleutelen cybercriminelen de toegang tot uw systeem. De aanvallers eisen vervolgens losgeld om de versleutelde gegevens te ontgrendelen. Vaak voeren ze de druk op door te dreigen gevoelige gegevens te publiceren of nog meer schade aan te richten.

Wist u dat juist de gegevens van zorginstellingen erg gewild zijn door cybercriminelen? U leest er meer over in onze blog Waarom de data van uw zorginstelling goud waard is. [link naar blog]

Welke bedragen vragen hackers? Bescheiden zijn ze bepaald niet. Het afgelopen jaar is het gemiddelde bedrag met 500% gestegen, blijkt uit onderzoek van Sophos. Gemiddeld maakten organisaties die losgeld betaalden 2 miljoen dollar over. En als u nu denkt dat het wel om hele grote organisaties zal gaan, dat is helaas niet het geval. Van de getroffen organisaties met een omzet van minder dan 50 miljoen, ontving bijna de helft een losgeldeis van een miljoen of meer.

Nu is het de vraag of u daadwerkelijk losgeld moet betalen. Het advies van onder meer de Autoriteit Persoonsgegevens en het Digital Trust Center is om dat niet te doen. Losgeld betalen houdt een crimineel verdienmodel in stand en bovendien biedt het geen garantie dat de hackers zich aan hun afspraken houden.

2. Herstelkosten

Of u nu wel of geen losgeld betaalt, er komen aanzienlijke herstelkosten kijken bij het herstellen van systemen. Denk hierbij aan het opschonen van geïnfecteerde systemen, het herstellen van back-ups en het implementeren van strengere beveiligingsmaatregelen. Afhankelijk van de omvang van de aanval kunnen deze kosten oplopen tot honderdduizenden euro’s​. In sommige gevallen moeten systemen zelfs volledig opnieuw worden opgebouwd, wat de kosten nog verder verhoogt. De tijd die het kost om alles weer operationeel te krijgen, heeft ook gevolgen voor de continuïteit van uw zorgverlening.

3. Boetes en juridische kosten

Dan zijn er ook nog kosten die te maken hebben met de wet- en regelgeving. Niet voldoen aan de regelgeving, zoals NEN7510 of de nieuwe NIS2-richtlijn, kan leiden tot boetes. Deze boetes kunnen voor een zorginstelling behoorlijk hoog zijn. Een boete van de AP kan zelfs oplopen tot maximaal 20 miljoen euro of 4% van de omzet.

Dit is niet alleen een financiële schadepost, maar ook een aanzienlijke belasting voor uw managementteam dat moet werken aan herstel en compliance. Bovendien kan het juridische proces dat volgt op een datalek of cybersecurity-incident extra kosten met zich meebrengen. Dit varieert van vergoedingen aan getroffen partijen tot mogelijke rechtszaken.

4. Operationele kosten

Een cyberaanval betekent vaak dat systemen tijdelijk worden stilgelegd. Dit leidt tot uitval van zorgdiensten, vertragingen en lagere productiviteit. Het duurt vaak dagen of zelfs weken om de volledige impact van een cyberincident te herstellen. Het verlies van productiviteit heeft negatieve gevolgen voor de patiëntenzorg en de prestaties van uw gehele organisatie.

5. Reputatieschade: het verborgen risico

Naast financiële verliezen tast een cyberincident ook het vertrouwen van patiënten aan. Eén datalek kan al leiden tot negatieve media-aandacht en verlies van cliënten. In de zorg is vertrouwen cruciaal. Wanneer patiënten of cliënten merken dat hun persoonlijke gegevens niet veilig zijn, kan dit leiden tot het verlies van waardevolle relaties. Reputatieschade herstellen kost vaak jaren en vraagt om grote investeringen in communicatie en marketing om het vertrouwen terug te winnen. De langetermijnkosten van beschadigde relaties kunnen zelfs groter zijn dan de directe kosten van het incident zelf.

Financiële schade voorkomen

We hebben een aantal schadeposten op een rij gezet. Wat de totale kosten van een cyberincident zijn, is op voorhand niet te zeggen. Maar dat de kosten flink oplopen is duidelijk. Wereldwijd zijn in de gezondheidszorg de kosten van een cyberaanval enorm gestegen de afgelopen jaren. De gemiddelde kosten van een inbreuk lopen op tot bijna 11 miljoen dollar.

Hoe voorkomt u deze schade en zet u uw organisatie in de verdediging?

De oplossing: voorkomen is beter dan genezen

Goede ICT-beveiliging is een investering die zichzelf terugbetaalt. Door te kiezen voor een proactieve aanpak, zoals de implementatie van moderne beveiligingstools, regelmatige audits en training van medewerkers, verkleint u de kans op incidenten aanzienlijk. Daarnaast helpt het opstellen van een incidentresponsplan om snel en effectief te reageren als het toch misgaat. Hiermee kunnen de schade en herstelkosten worden beperkt.

Een uitgebreid overzicht van technische, organisatorische en fysieke maatregelen vindt u in het artikel Cybercrime in de zorg: wat u moet weten en hoe u uw zorginstelling beschermt.

Cybersecurity is uw beste investering

Het is duidelijk dat een cyberaanval voorkomen goedkoper is dan genezen. Maar hoe maakt u die stap? De complexiteit van ICT-beveiliging vereist gespecialiseerde kennis. Dankzij onze ervaring in de zorg begrijpen we bij Gflex de specifieke uitdagingen van de zorgsector. We helpen u graag om uw beveiliging op orde te brengen. Bent u benieuwd hoe wij dat doen? Lees dan verder over Gflex als ICT-partner voor uw zorginstelling.

Wilt u weten hoe u uw organisatie beter kunt beschermen? Neem contact op voor een advies op maat, dan denken wij vrijblijvend met u mee.