Dat ook cybercriminaliteit een vlucht heeft genomen tijdens de coronapandemie merkte ook Leon Backes overduidelijk in de toename van het aantal DDoS-aanvallen1 op het veelgebruikte communicatienetwerk voor zorgprofessionals. In de 4,5 jaar dat hij directeur E-Zorg is, was de toename nog nooit eerder zo groot. “Op de centraal ontsloten firewalls (een beveiliging die verkeer naar of afkomstig van een netwerk bewaakt, red) van het KPN E-Zorg netwerk zien we het aantal DDoS-aanvallen duidelijk toenemen en ook het aantal via mail verspreide vormen van malware.
Verder stelt ook de stichting Nationale Beheersorganisatie Internet Providers (NBIP) dat het aantal, de duur en de intensiteit van de DDoS-aanvallen sterk toenemen.” KPN E-Zorg houdt aanvallen tegen aan de voordeur, zodat het niet bij huisarts, apotheek of ziekenhuis terecht komt. Backes: “Daarvoor werken we samen met de specialisten van KPN Security, zoals voor de inrichting en het beheer van de firewalls en de token-oplossing, die we in de coronapandemie op grote schaal boden voor authenticatie van thuiswerkers op het netwerk van hun organisatie.”
DDoS-aanval kopen
Cyberaanvallen worden ook steeds makkelijker, ziet Erno Doorenspleet. Je kunt inmiddels voor een paar dollar een DDoS-aanval kopen met je creditcard. “Specifieke malware wordt voor specifieke sectoren aangeboden. Cybercriminelen beschikken over steeds meer informatie over de infrastructuur van een ziekenhuis of zorginstelling. Daardoor kunnen ze heel gericht een aanval uitvoeren.” Verder zie je steeds meer combi-aanvallen, merkt Doorenspleet op. Een DDoS-aanval vindt dan plaats als afleiding. Als beheerders daarmee bezig zijn, wordt een tweede aanval uitgevoerd om malware in het systeem te krijgen en te activeren. Ook is een gebrek aan IT-personeel niet nieuw, en maakt dat het een hele uitdaging is voor security-specialisten en CISO’s2 om alles in de gaten te blijven houden.
Nieuw verdienmodel
“Negatief aan de coronacrisis is dat cybercriminelen de zorgsector als nieuw verdienmodel gevonden hebben, onder meer met ransomware-aanvallen”, stelt Doorenspleet. “Voor hen betekent het belang van altijd zorg moeten kunnen bieden dat zorginstellingen wellicht sneller bereid zijn om te betalen bij gijzeling van de systemen. Want cyberaanvallen gaan tegenwoordig steeds meer om het verkrijgen van geld door middel van afpersing.”
Positief aan de coronacrisis is volgens Doorenspleet dat IT-specialisten en zorgorganisaties elkaar veel meer zijn gaan opzoeken, informatie zijn gaan uitwisselen en niet meer vooral in de eigen bubbel bezig zijn. Noodgedwongen ook, want de zorg mocht absoluut niet omvallen door IT-problemen. Om die reden hebben zorgorganisaties vorig jaar met een aantal IT-partners tijd en energie gestoken in security voor ziekenhuizen. “En dat was ook hard nodig, want ziekenhuizen en andere zorginstellingen hebben inmiddels vele duizenden apparaten, nog los van sensoren voor monitoring op afstand – die met internet verbonden zijn. De keten in zo’n zorginstelling moet sterk zijn en blijven en op dat gebied wordt nu steeds meer geleerd door samenwerking met andere organisaties in de zorg en daarbuiten.”
Meer bewustwording
De bewustwording met betrekking tot cybercriminaliteit is gegroeid: zorgorganisaties hebben meer aandacht voor preventie en weten beter weten wat te doen als er een cyberaanval plaatsvindt. Een cyberaanval is overigens iets anders dan een datalek, waarbij gaat het om het verlies van data door een fout of diefstal. Maar ook dan is het belangrijk om te weten hoe je moet handelen en wie je moet informeren, zoals de Autoriteit Persoonsgegevens. Toch zijn er nog veel stappen te zetten als het gaat om cybersecurity, meent Doorenspleet. “Het maken of testen van een plan voor de continuïteit van IT-systemen gebeurt nog altijd veel te weinig. Nog geen 50 procent van de organisaties heeft überhaupt een plan of scenario. En nog geen kwart van de bedrijven met een plan test dit om te kijken wat er gebeurt bij een aanval.”
Een groot deel van de zorgaanbieders heeft de security-keten niet goed in beeld, voegt Backes toe. Zo weet niet iedereen wat de afhankelijkheden zijn van IT-leveranciers en wie waarvoor verantwoordelijk is. “E-Zorg biedt een eerste ring waarbinnen wij veiligheid en betrouwbaarheid garanderen. Maar ziekenhuizen hebben veel meer aansluitingen dan alleen E-Zorg. Dus daarbuiten kan er heel veel misgaan en daar is vaak nog onvoldoende zicht op.”
Backes ziet ook een toename van de bewustwording, meer aandacht voor het belang van ketensecurity en de eigen rol hierbinnen. Er wordt meer geïnvesteerd. “Het blijft een wedloop, dus ik hoop dat die bewustwording zich echt door blijft ontwikkelen. Je kunt niet over een paar jaar zeggen ‘we zijn er’. Cybercriminelen blijven zich door ontwikkelen, dat moet je op security-gebied dus ook.”
Als het gaat om cybercriminaliteit, zijn we allemaal collega’s
Optimistisch over toekomst
Doorenspleet is wel optimistisch over de toekomst. “Cybercriminelen werken heel goed samen. Ransomware als dienstverlening is al vrij normaal. En die samenwerking blijft ook aan onze kant doorzetten. We bouwen een community waarbij we met elkaar en van elkaar leren. Want de security-uitdagingen komen in alle sectoren grotendeels met elkaar overeen, van financials tot en met zorg.”
De zorg kan dus veel leren van het pad dat bijvoorbeeld banken gebaand hebben in de afgelopen jaren, toen zij in een nek- aan-nek race verwikkeld waren met cybercriminelen. Verder zijn er steeds meer initiatieven waarbij CISO’s binnen de mogelijkheden van de wet- en regelgeving ervaringen en lessons learned met elkaar delen. “Natuurlijk zijn we er nog niet, het kan nog beter, maar een goed begin is er. Ook aanbieders van security-diensten doen hieraan mee, ook al zijn we concurrenten van elkaar. Concurreren doe je namelijk op je toegevoegde waarde zoals service. Als het gaat om cybercriminaliteit, zijn we allemaal collega’s van elkaar. Zo maken we Nederland samen veiliger.”
Overeind gebleven
Doorenspleet vindt dat de zorg trots op zichzelf mag zijn. “Je hebt als ziekenhuisbestuurder niet alleen druk vanuit de politiek, media en burgers, maar ook van cybercriminaliteit op de IT-systemen die de zorgprocessen steeds meer faciliteren. Toch is er relatief weinig fout gegaan als het gaat om de beschikbaarheid van die systemen, mede dankzij de hulp van veel security-aanbieders. En ze mogen er ook trots op zijn dat zij en andere bestuurders in staat zijn geweest om snel te leren van de bedrijven, die hun security noodgedwongen al beter voor elkaar hadden. Zij hoefden het wiel niet zelf uit te vinden en hebben dit ook niet gedaan. En dat vergt best een omslag in denken en doen. Laten we dat samen verder realiseren.”
Referenties
- Bij een DDoS-aanval wordt er een dusdanig grote hoeveelheid internetverkeer naar een bepaalde website of computersysteem gegenereerd, dat de betrokken servers het aantal aanvragen niet aankunnen en de website of het systeem niet meer bereikbaar zijn.
- CISO: Chief Information Security Officer. Binnen een organisatie is de CISO verantwoordelijk voor het informatiebeveiligingsbeleid.
- Lees meer over het project ‘Wij helpen ziekenhuizen’:
Over E-Zorg
E-Zorg is beheerder van het grootste Goedbeheerd Zorgnetwerk (GZN): de Zorgcloud, met ruim 4.000 aansluitingen richting zorgverleners in de eerste en tweede lijn. Van huisartsen en tandartsen tot ziekenhuizen en VVT-instellingen. Toenemende bewustwording van het belang van goede beveiliging heeft geleid tot groei van het aantal gebruikers.
Zij worden via een MPLS-verbinding (niet-openbaar internet) verbonden met ruim 125 aanbieders van zorggerelateerde toepassingen, zoals een HIS, AIS, EPD. Verder verzorgt E-Zorg de verbindingen naar het LSP, LSP+ (als Dienstverlener zorgaanbieder – DVZA voor MedMij-koppelingen) en voor toestemmingenvoorziening MITZ (die het geven van gespecificeerde toestemming voor gegevensdeling moet vereenvoudigen, red.) Ook is er een koppeling met de NBIP Nawasstraat voor DDOS-bescherming.
In theorie kunnen de internet firewalls van E-Zorg dichtgezet worden en werken de zorginstellingen en de applicaties binnen de Zorgcloud veilig verder, zo cruciaal is het volgens Leon Backes dat alle verbindingen altijd veilig en betrouwbaar zijn. Ook zijn er 4G-back-upverbindinge, zodat het netwerk ook bij uitval door bijvoorbeeld graafwerkzaamheden beschikbaar blijft voor de Zorgverlener
