De (inter)nationale zorgsector heeft een serieus ransomware-probleem – en de situatie wordt er niet beter op. Zo was er recentelijk een aanval die een Duits ziekenhuis compleet verlamde. Er ontstond vertraging in de patiëntenzorg, met als triest gevolg dat er een patiënt overleed.
Cybercriminelen gaan spontaan watertanden van ziekenhuizen en gerelateerde gezondheidssystemen. Dit is te wijten aan de zorgsector zelf, door onder meer gedecentraliseerde activiteiten tussen ziekenhuizen en zorgaanbieders, en de exponentieel groeiende hoeveelheden patiëntdata die elektronisch worden vastgelegd en opgeslagen.
Toegenomen ransomware-aanvallen
De huidige pandemie is in veel opzichten een van de boosdoeners voor de toegenomen ransomware-aanvallen binnen de healthcare. Het coronavirus heeft zorgaanbieders gedwongen om uitermate snel noodvoorzieningen op te zetten waarbij er weinig tijd en oog was voor robuuste IT-beveiligingsinfrastructuren. Bovendien heeft de overgang naar ‘zorg en werken op afstand’ ervoor gezorgd dat er beveiligingslekken ontstonden die door criminelen niet onopgemerkt zijn gebleven.
Strategisch geplande aanvallen
Deze ontwikkeling gaat samen met de trend dat ransomwaregroepen steeds meer uiterst geraffineerd te werk gaan. In plaats van grootschalige aanvallen zijn zij overgeschakeld op gerichte, strategisch geplande en uitgevoerde aanvallen. Geen lopende bandwerk, maar bijna ‘ambachtelijke’ malware. Deze nauwkeurigere aanvallen zijn moeilijker te detecteren en te bestrijden. En dat is precies de reden waarom ransomwarebendes zoals Ryuk (verantwoordelijk voor een derde van alle ransomwareaanvallen in het afgelopen jaar) zo’n verwoestend ‘succes’ hebben gehad binnen de zorg.
De zorgsector zal daarom alles op alles moeten zetten om het ransomwaregespuis buiten de deur te houden.
Zwakke punten identificeren
Ransomware-aanvallers handelen ongelooflijk snel. Wanneer een doelwit een bijlage in een phishingmail opent, duurt het zo’n drie uur voordat cybercriminelen beginnen met het uitvoeren van verkenningen op het netwerk. Binnen een dag hebben ze toegang tot een domeincontroller en zijn ze begonnen met de implementatie van hun ransomware. Waar de kwetsbaarheden liggen is dus van cruciaal belang. Servers met Remote Desktop Protocol, niet-gepatchte web- en e-mailservers, evenals een gebrek aan Multi-factor authentication, zijn veelvoorkomende zwakke punten die aanvallers zullen misbruiken.
‘IT-hygiëne’ en bewustwording
Wanneer zwakke punten zijn geïdentificeerd, is het tijd deze te patchen (tijdig installeren van updates, red.). Heeft u geen Two-factor authentication? Implementeer dit dan. Zijn beveiligingsdefinities verouderd? Update ze. RDP-servers ingeschakeld? Sluit ze af of plaats ze achter een VPN. Dit is net zo goed een bewustwordingskwestie als een IT-probleem. Iedereen in de organisatie die een e-mail verzendt, een wachtwoord heeft of een apparaat gebruikt om in te loggen, moet op de hoogte zijn van basale ‘IT-hygiëne’. Hieronder valt ook sterke(re) wachtwoorden aanmaken en weten hoe phishingmails eruitzien. De beveiliging van het ziekenhuisnetwerk is even sterk als het zwakste wachtwoord. Zowel het identificeren van de zwakke plekken als de IT-hygiëne zijn zaken waar zorgbestuurders zich, in samenspraak met de afdeling IT, over moeten buigen om toekomstige cyberaanvallen te voorkomen.
Snelle respons van cruciaal belang
Ransomware gaat zeer snel, dus zorgaanbieders dienen navenant te handelen. Het is goed dat Z-CERT als Computer Emergency Response Team voor de Nederlandse zorg optreedt. Z-CERT is de stichting die in 2017 is opgericht en zorginstellingen van actuele dreigingsinformatie voorziet. Daarnaast geeft zij ook advies hoe ransomware te voorkomen (denk daarbij aan het installeren van beveiligingsupdates, de beveiliging van thuiswerkoplossingen en het maken van offline back-ups). Z-CERT staat met het responsteam onder meer ziekenhuizen bij om cybercriminelen versneld te identificeren, te neutraliseren en te elimineren. Hun handelingssnelheid is van cruciaal belang; het is het verschil tussen een uitgevoerde of verijdelde implementatie van ransomware – en daardoor mogelijk tussen leven of dood. Ziekenhuizen en gezondheidssystemen kunnen geen tijd verspillen aan het inzetten van een combinatie van robuuste beveiligingsmaatregelen en proactieve, snelle reactiemaatregelen. Alleen op deze manier kunnen ze zich richten op zaken waar ze in uitblinken: het verlenen van patiëntenzorg.
Cybercrime voor zijn
Het kan zijn – en dat hoop ik natuurlijk niet – dat het bovenstaande voor sommigen relatief nieuw is. In dat geval is er geen tijd te verliezen om zaken op orde te krijgen. Elke vorm van cybercrime is een regelrechte nachtmerrie – maar cybercrime binnen de zorg kan een dodelijke cocktail zijn. Een schone taak voor zorgbestuurders om nog vandaag in plaats van morgen in actie komen te komen opdat cybercrime geen schijn van kans krijgt.
Door: John Veldhuis, Senior Sales Engineer Sophos Benelux