Er is een groeiende groep techneuten die in de openbaarheid systemen en software kraken: ethische hackers, ook wel healing hackers genoemd. Stichting Z-CERT, het expertisecentrum voor cybersecurity in de zorgsector omarmt deze groep. Sinds de oprichting in 2017 ondersteunt Z-CERT ruim 160 zorginstellingen tegen onder meer het groeiend aantal ransomware-aanvallen. Van Universitaire ziekenhuizen tot GGZ-instellingen, verslavingszorg en jeugdzorg. De stichting deelt actief dreigingsinformatie en kennis met de aangesloten organisaties, vertelt Wim Hafkamp.

Hulp van hacker

Behalve via de eigen analisten ontvangt de zorgsector de meeste informatie over kwetsbaarheden via securitypartners zoals het Nationaal Cyber Security Centrum of internationale instanties. In enkele gevallen is het een hacker die een kwetsbaarheid ontdekt. In dat geval kan zo’n hacker de kwetsbaarheid voor eigen gewin uitbuiten, maar ook bij de organisatie in kwestie melden.

Dit laatste heet een Coordinated Vulnerability Disclosure (CVD). De organisatie neemt de melding in behandeling, beoordeelt of het een serieuze melding is en neemt indien nodig direct noodzakelijke maatregelen om schade te beperken. De hacker wordt op een passende manier bedankt.

Aangifte doen werkt averechts

Aangifte doen werkt in zo’n geval averechts, zegt Jonathan Bouman. Naast zijn parttime werk als huisarts besteedt hij 14 tot 20 uur per week aan hacken. Hij is een groot pleitbezorger van het CVD-protocol. Het Nationaal Cybersecurity Centrum heeft een leidraad CVD op haar website staan met praktische tips en voorbeelden van CVD-teksten.

“Organisaties met een CVD-protocol op hun website, zorgen voor een veilige omgeving voor de hacker om bevindingen te melden. De organisatie zegt als het ware: wij doen geen aangifte tegen jou als jij je informatie deelt met ons. We spelen dit fair. De organisatie krijgt de kans om ‘digitaal te helen’ en de hacker krijgt een passend bedankje, zoals een T-shirt, cadeaubon of een geldbeloning.”

Topje van de ijsberg

Hafkamp hierover: “In 2020 hebben we bij Z-CERT 75 CVD-meldingen afgehandeld. Dit is het topje van de ijsberg. Want als je gericht gaat zoeken, ga je ook meer vinden. Het aantal CVD-meldingen zal naar verwachting in 2021 hoger uitkomen. De coronacrisis bracht de digitalisering van de zorgsector in een stroomversnelling. Waar een online consult bij een GGZ in 2019 een uitzondering was, is dat nu het nieuwe normaal. Maar denk ook aan het uitwisselen van patiëntdata, uitgifte van medicijnen door een robot, het aanmelden van bezoekers via een aanmeldzuil: alles is computergestuurd.”

Z-CERT bekijkt nu de mogelijkheid om, onder bepaalde voorwaarden, in Nederland een zogeheten Bug Bounty-programma (beloningsprogramma voor het opsporen van kwetsbaarheden) op te richten specifiek voor de zorgsector. Hafkamp licht toe: “Aan de ene kant enthousiasmeer je hackers om iets maatschappelijk relevants te doen met hun talenten en aan de andere kant zorgt het ervoor dat zorginstellingen en leveranciers van medische technologie ook echt aan de bak gaan met de bevindingen van hackers.”

