De cyberbeveiligingsrisico's in de gezondheidszorg zijn absoluut uniek. Hoewel technologie essentieel is voor het verbeteren van de patiëntenzorg, staan zorginstellingen voor een drievoudige uitdaging: een omvangrijk aanvalsoppervlak, verouderde beveiligingssystemen en toenemende druk door regelgeving.
Het beperkt budget bij organisaties in de publieke sector is een extra uitdaging. De Europese Commissie erkent dit en lanceerde in januari 2025 een uitgebreid actieplan om de cyberbeveiliging van ziekenhuizen en zorgverleners in de hele EU te versterken. Deze inspanning benadrukt hoe cruciaal het is om te investeren in de digitale veiligheid van zorginstellingen, ongeacht of het om publieke of private partijen gaat.
Hieronder worden de drie meest urgente cyberbeveiligingsuitdagingen binnen de zorgsector belicht en hoe een AI-gedreven platformaanpak organisaties kan helpen processen te stroomlijnen, kosten te verlagen en veerkracht te versterken.
Uitdaging #1: een groot aanvalsoppervlak
Zorgverleners vormen vaak een gemakkelijk doelwit voor hackers. Uit onderzoek van Unit 42 blijkt dat de snelheid van cyberaanvallen toeneemt, en dat aanvallers tegenwoordig data drie keer sneller stelen dan in 2021.
Specifiek voor de gezondheidszorg geldt dat vroeger vooral het ziekenhuis zelf beveiligd moest worden. Maar door de toenemende digitalisering en de overstap naar de cloud moet nu ook rekening worden gehouden met een groeiend aantal medische dossiers, diagnostische gegevens en Internet of Medical Things (IoMT)-technologieën.
Tegen 2026 zal meer dan 70 procent van de medische apparaten – van echografie tot wearables – digitaal verbonden zijn, wat het aanvalsoppervlak flink vergroot. Ze worden vaak sneller aangesloten dan goed beveiligd. Het rapport The State of OT Security toont dat het herstel van één inbreuk op een verbonden apparaat gemiddeld $10.000 tot $50.000 kost.
Phishing blijft het belangrijkste toegangspunt in alle sectoren. Nu AI phishing-campagnes schaalbaar en moeilijker te detecteren en te bestrijden maakt, wordt het voor de gezondheidszorg des te urgenter om dit probleem én het steeds groter wordende aanvalsoppervlak aan te pakken.
Uitdaging #2: Verouderde software
Niet alleen het groeiende aantal zorgapparaten in de gezondheidszorg bemoeilijkt de beveiliging; ook het gebrek aan up-to-date beveiligingssoftware vormt een groot probleem. De levenscyclus van apparaten is lang en vaak worden de besturingssystemen niet bijgewerkt en worden beveiligingspatches niet geïnstalleerd. Zo zijn er nog steeds veel gevallen waarin scanners en MRI-apparaten (Magnetic Resonance Imaging) draaien op verouderde software zoals Windows 7.
Het updaten van apparaten is vaak complex en afhankelijk van de fabrikant. In een voorbeeld waarbij 100 beeldvormingsapparaten een kwetsbaarheid vertoonden, bleek dat fabrikanten via een vast wachtwoord verbinding moesten maken om onderhoud uit te voeren. Dit wachtwoord stond echter openlijk vermeld in de gebruikershandleiding, waardoor iedereen binnen het ziekenhuisnetwerk toegang had tot de apparaten en bestanden kon uitlezen en openen. Zulke situaties komen regelmatig voor en maken deze apparaten bijzonder kwetsbaar voor misbruik.
Uitdaging #3: Regelgeving
Net als in andere sectoren volgen zorgverleners nieuwe regelgeving nauwgezet, vooral omdat deze invloed kan hebben op hun nalevingsvereisten. Medische apparatuur is daarbij een gebied dat waarschijnlijk meer aandacht van de toezichthouders zal krijgen.
In het kader van de ontwikkeling en herziening van regelgeving bestaan er tegenwoordig gespecialiseerde bedrijven die zich richten op digitale openbare infrastructuur (DPI) en zorgverleners ondersteunen bij het voldoen aan richtlijnen zoals de EU-verordening medische hulpmiddelen (MDR). Deze verordening schrijft voor dat cyberbeveiliging gedurende de hele levenscyclus van medische hulpmiddelen geïntegreerd moet worden. De extra tools die hiermee gepaard gaan kunnen de algehele beveiligingspositie van een organisatie juist complexer maken. Wanneer het aantal gebruikte beveiligingsproducten te groot wordt, kunnen zorgverleners niet alleen moeite krijgen om zich effectief tegen cyberrisico’s te beschermen, maar ook om aan de nalevingsvereisten te blijven voldoen.
Nieuwe regelgeving is bedoeld om organisaties en hun belanghebbenden te beschermen, maar brengt ook extra kosten met zich mee, wat een flinke uitdaging kan zijn voor zorgverleners met beperkte budgetten. Volgens Climedo verwachten medtech-bedrijven 5 procent van hun jaarlijkse omzet te besteden aan naleving van de EU MDR-wetgeving. In combinatie met het feit dat niet-naleving kan leiden tot juridische sancties of boetes, bevinden zorgverleners zich in een lastige situatie.
De oplossing:
De zorgsector verschuift van behandeling naar preventie, en beveiligingsstrategieën moeten daarin meegaan.
Dit begint met een beoordeling. Via simulaties of een duidelijk overzicht van data en apparaten krijgen CISO’s inzicht in gebruik van de apparaten en risico’s.
Om echt voor te blijven op hackers, is AI een onmisbaar onderdeel van cyberverdedigingsstrategieën. AI kan namelijk proactief dreigingsinformatie verzamelen, bedreigingen in een vroeg stadium detecteren en vooral beschermen tegen AI-gestuurde aanvallen, die steeds vaker voorkomen. Het aantrekken van personeel met de juiste vaardigheden om AI-gebaseerde verdedigingssystemen optimaal te benutten en effectief te beheren is hierbij essentieel.
Bij organisaties die cyberrisicobeoordelingen uitvoeren, blijkt vaak dat er veel beveiligingsproblemen ontstaan door het gebruik van te veel verschillende oplossingen. Door te focussen op het consolideren, integreren en vereenvoudigen van beveiligingsfuncties, kunnen organisaties hun algehele beveiligingsniveau verbeteren zonder extra tijd kwijt te zijn aan het beheren van meerdere leveranciers. Platformisering, het samenbrengen van alle tools op één platform, is dan ook de sleutel tot moderne cyberbeveiliging.
Gezien de huidige druk op beveiligingsteams, verbetert een platformgebaseerde aanpak de efficiëntie, waardoor middelen vrijkomen voor strategische prioriteiten voor het bedrijf. Dit vraagt uiteraard om voldoende budget, in plaats van dat beveiligingsteams steeds meer moeten doen met minder. Toch zorgt consolidatie ervoor dat elke euro die wordt besteed nét iets meer waarde oplevert.
