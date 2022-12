Patiëntendossiers en -portalen om thuis te bekijken via het internet, sensoren om patiënten te monitoren op afstand en kunstmatige intelligentie om bijvoorbeeld tumoren te detecteren: de zorgsector zet vol in op digitalisering. Maar door de afhankelijkheid van al die digitale middelen is de sector steeds kwetsbaarder. “Zorginstellingen worden niet gespaard door criminelen. Sterker nog, sommigen specialiseren in het hacken van zorgaanbieders,” zegt Wim Hafkamp, directeur van expertisecentrum voor cybersecurity in de zorg (Z-CERT).

Afgelopen weekend was het raak bij een ziekenhuisgroep in Frankrijk. Twee ziekenhuizen en een bejaardentehuis in Versailles, in de buurt van Parijs, moesten noodgedwongen patiënten overbrengen naar andere zorginstellingen. Ook moesten door de hackaanval operaties worden afgeblazen. Franse zorginstellingen zouden volgens de Franse minister van volksgezondheid dagelijks slachtoffer zijn van dit soort aanvallen, maar een overgrote meerderheid wordt tegengehouden.

120 vestigingen gesloten

De Nederlandse ziekenhuizen hebben tot op heden dit soort aanvallen weten te weren. Maar vorig jaar drongen cybercriminelen wel vijf keer succesvol het netwerk van andere Nederlandse zorginstellingen binnen. Dit jaar waren er minder geslaagde aanvallen dan vorig jaar, maar zat er wel een grote tussen, zegt Z-CERT. In augustus gijzelden criminelen dagenlang de privégegevens van duizenden patiënten van een grote tandartsenorganisatie, die daardoor 120 van de 130 vestigingen tijdelijk moest sluiten. Uiteindelijk betaalde de organisatie de hackers twee miljoen om weer toegang te krijgen tot hun eigen database.

Waarom bepaalde criminelen hun zinnen hebben gezet op zorginstellingen is voor Hafkamp koffiedik kijken. “Maar als je het hebt over gijzelsoftware, heb je het altijd over geld als motivator. En het zou kunnen dat criminelen kijken naar organisaties die afhankelijk zijn van digitale middelen.” De dreiging van cyberaanvallen in de zorg is daarom niet te onderschatten, benadrukt hij. Volgens Z-CERT gaat er ook een potentiële dreiging uit van cyberspionage voor andere landen die geïnteresseerd zijn in Nederland en het Nederlandse zorgstelsel.

De zorg is ook kwetsbaar voor indirecte aanvallen, bijvoorbeeld aan het adres van leveranciers van zorgmiddelen. Zo vonden de meeste succesvolle aanvallen vorig jaar plaats bij leveranciers aan de zorg, onderzocht Z-CERT. Dat waren er toen zeventien, met datalekken en vertraagde leveringen tot gevolg.

Inzetten van ethische hackers

De standaard voor het beveiligen van informatie is in Nederland hoog, zegt Hafkamp. “Omdat zorgaanbieders verplicht zijn zich te beveiligen, kunnen we in Nederland al veel aanvallen voorkomen. En omdat we weten dat deze criminelen vaak gijzelsoftware en phishingmails gebruiken, weten zorgaanbieders welke instellingen in hun interne systemen die software kunnen blokkeren. Ook weten zij dat ze alleen in een beveiligde omgeving moeten werken, niet op het openbare internet.”

Toch zou de zorg een beetje moeten spieken bij de financiële sector, denkt Hafkamp. Daar wordt de dreiging van cyberaanvallen nog breder gevoeld. Die sector zet bijvoorbeeld regelmatig een ethische hacker in, een computerspecialist die beveiligingssystemen test, om de proef op de som te nemen. Ook ziet Hafkamp dat ziekenhuizen zelden crisisoefeningen doen waarbij een cyberaanval gesimuleerd wordt. “Als je goed voorbereid wil zijn, moet je oefenen en testen of je maatregelen werken.”

