Elke dag worden honderden Nederlanders slachtoffer van identiteitsfraude. Inmiddels is dat de snelst groeiende vorm van misdaad. Ook in de zorgsector slaan hackers toe. In ziekenhuizen in Engeland konden operaties niet doorgaan, in Amerika werden de patiëntgegevens gegijzeld, net zo lang tot het ziekenhuis het betaalde bedrag betaalde, en in Nederland worden er bijna elke dag datalekken vanuit de zorgsector gemeld.
Hacken is heel simpel geworden. Veel van de tools die hackers gebruiken zijn gratis op het internet te vinden. Als je ook kijkt naar de onwetendheid van de gemiddelde medewerker in de zorg, dan begrijp je waarom er zo veel datalekken zijn. De meeste mensen werken met computers, maar kennen de gevaren niet.
Waar moeten ze leren wat de valkuilen van het internet zijn en wat voor trucs de hackers gebruiken? Bedrijven steken royaal geld in ict-projecten, maar een workshop veilig omgaan met de computer hoort er niet bij. Vandaar dat medewerkers massaal virussen op de bedrijfsnetwerken downloaden of via besmette privé-laptops gevoelige informatie lekken.
Laat jezelf hacken
Inmiddels ben ik zo vaak met Rob op pad geweest, dat ik weet wat de beste manier van databescherming is: laat jezelf hacken. Dat klinkt eng, maar een ethische hacker schrijft een mooi rapport hoe hij binnen is gekomen en welke kwetsbaarheden opgelost moeten worden. Dat zijn precies de kwetsbaarheden die ook de kwaadwillende hackers gebruiken. Het enige verschil is dat je dan de controle volledig kwijt bent.
Datalekken kunnen niet alleen tot reputatieschade leiden, maar ook tot flinke boetes van de Autoriteit Persoonsgegevens.
Als je de technische kwetsbaarheden opgelost hebt, vergeet ook niet de medewerkers, want de menselijke firewall is net zo belangrijk. Te veel vakmensen in de zorg vinden dat ze niets met ict te maken hebben, ze laten het aan de ict-afdeling over en denken dat die hen volledig kan beschermen, zelfs als ze op een phishinglink geklikt hebben.
Vaak heeft niemand hen verteld wat ze in zo’n geval moeten doen, namelijk zo snel mogelijk hun computer uitzetten en dat ze het ook meteen moeten melden. Het probleem is dat ze met hun huidige kennisniveau vaak niet eens doorhebben dat ze hun inloggegevens op een nepscherm van een nepmail hebben ingevoerd.
Gebruikersnaam en wachtwoord
Een recent voorbeeld: in een phishingmail werd verteld dat er een nieuw ict-systeem is aangeschaft en dat medewerkers hun oude e-mails konden bewaren door op een bepaald scherm hun gebruikersnaam en wachtwoord in te voeren. Meer dan de helft van de medewerkers deed dat supersnel, want blijkbaar wilden ze hun oude e-mails bewaren. Al die mensen hadden niet de moeite genomen om te kijken van wie de mail afkomstig was.
Tijdens lezingen leg ik ook uit dat sommige afzenders betrouwbaar lijken, zonder betrouwbaar te zijn. Zoiets als ict@secure.nl klinkt bijvoorbeeld vrij betrouwbaar, maar je kunt ervan uitgaan dat het niet de ict-afdeling van de zorginstelling is. Sterker nog: de kans daarop is nihil. Iedereen kan websites registreren die betrouwbaar klinken. Gek genoeg blijkt dat voor velen een eye-opener.
Security
Uit een recent onderzoek bleek dat maar liefst 85 procent van de werknemers op phishingmails klikt. Veel medewerkers verzinnen daarnaast zwakke wachtwoorden voor hun werkmail, omdat niemand hen geleerd heeft hoe je sterke wachtwoorden kunt maken en onthouden. Daar zijn ondertussen tal van handige programma’s voor, maar de meeste mensen kennen ze niet. Wat nog erger is: ze gebruiken voor meerdere websites hetzelfde wachtwoord.
Tegenwoordig is dat een heel groot probleem, omdat zelfs betrouwbare sites gegevens blijken te lekken. Van Sony tot LinkedIn en van de publieke omroep tot zorgverzekeraars. Digitale veiligheid is het stiefkindje van de begroting bij veel organisaties, terwijl de risico’s toenemen.
Datalek
De patiëntgegevens beschermen gaat niet lukken met alleen een oplettende ict-afdeling en up-to-date software. De zwakste schakel blijft de gewone medewerker. Tijdens de research voor mijn boek ‘Komt een vrouw bij de h@cker’, stuitte ik op ongelooflijke voorbeelden van medewerkers die de meest privacygevoelige gegevens doorgeven, omdat ze veronderstellen dat ze een collega aan de lijn hebben en niet een oplichter.
Ik nam een tijdje geleden tijdelijk de identiteit van een vriendin over, om te kijken hoe ver ik kom bij een zorgverzekeraar. De gegevens die ze aan de telefoon ter verificatie vragen zijn meestal te googelen, dus ik kwam moeiteloos door de test.
Een lezer van mijn boek geloofde niet dat het zo makkelijk kon zijn en belde haar verzekeraar op met het verhaal dat ze haar polismap kwijt was. Hij vroeg alleen haar adres ter verificatie, niet eens haar geboortedatum. Binnen de kortste keren wist hij hoeveel ze per maand betaalt, van welke bankrekening het wordt afgeschreven, enzovoort. Hij was geschokt, want voor hetzelfde geld kon iemand anders namens haar bellen en aan al die informatie komen.
Gegevens sprokkelen
Een van de mensen die ik voor mijn boek geïnterviewd heb, deed dat jarenlang als ‘beroep’: de gegevens van honderden mensen bij elkaar sprokkelen, van hun banksaldi tot hun geheime telefoonnummers. Er was altijd wel een medewerker bij instanties die toehapte en hem verder hielp.
Liever een mailtje
Maar de meeste hackers bellen niet op. Die sturen liever een phishingmail om toegang te krijgen tot je privécomputer of tot het bedrijfsnetwerk. Ik heb de afgelopen tijd veel lezingen over privacy en cybercrime in de zorgsector gegeven en elke keer weer bleek dat veel mensen nog steeds niet weten hoe ze een phishingmail van bijvoorbeeld PostNL van een gewone mail kunnen onderscheiden.
Ze klikken er massaal op. Minstens 90 procent van de zaal steekt bij deze vraag zijn hand op. Vervolgens vragen ze: “Oké, maar kon ik op een simpele manier zien dat die mail niet van PostNL was?” Natuurlijk wel. Het is helemaal niet zo moeilijk om phishingmails van gewone mails te onderscheiden, het probleem is dat niemand dat duidelijk aan medewerkers heeft uitgelegd.
Omdat de lezing vrij interactief is, is dat best confronterend. Soms begeleidt ethische hacker Rob van het cybersecuritybedrijf True-xs mij. Hij hackt dan ter plekke de mobiele telefoons van aanwezigen.
Zo kunnen we in de praktijk laten zien hoe onveilig openbare wifi is en wat je daar allemaal mee kunt. Rob en zijn collega’s doen ook pentesting. Ze testen op afstand of bedrijven gemakkelijk te hacken zijn. Tijdens een lezing vertelde Rob dat ze binnen een kwartier bij de medische dossiers van een organisatie kwamen.
Een kwartier. Dat is de realiteit. Soms kopen ziekenhuizen nieuwe apparatuur, maar vergeten ze ergens een oude Windows XP-computer. Eén zwakke plek is voldoende om binnen te komen. Of medewerkers klikken op phishinglinks. Of iemand logt in via het netwerk in een wachtruimte.
De zwakste schakel blijft de gewone medewerker.
