Cyberaanvallen

Ransomware-aanvallen in de zorgsector kunnen ervoor zorgen dat de gezondheid en levens van patiënten in gevaar worden gebracht. De zorgsector boekt tot nu toe te weinig vooruitgang in de bestrijding van cybercriminaliteit. Dit blijkt wel uit de grote cyberaanvallen in 2017 in het Verenigd Koninkrijk en in 2022 bij een Nederlandse tandartsketen. Met de komst van de NIS2-richtlijn worden zorgaanbieders verplicht mogelijke cyberrisico’s in kaart te brengen en hiertegen passende maatregelen te nemen.

Cyberaanvallen bij zorginstellingen

In mei 2017 werden ruim 600 zorginstellingen in het Verenigd Koninkrijk getroffen door een ransomware-aanval. Verschillende ziekenhuizen werden stilgelegd en patiënten werden gevraagd weg te blijven, tenzij er sprake was van een levensbedreigende situatie. Veel spoedgevallen werden naar andere ziekenhuizen verplaatst. Vijf jaar later was in Nederland de tandartsketen ‘Colosseum Dental’ het doelwit van cybercriminelen. Meer dan 100 tandartspraktijken moesten hierdoor een aantal dagen sluiten.

De waardevolle (gezondheids)gegevens die in de zorgsector worden beheerd en de vergaande gevolgen van het verlies van deze (gezondheids)gegevens, maakt de zorgsector helaas een winstgevend doelwit voor cybercriminelen. Colosseum Dental kon uiteindelijk niets anders doen dan twee miljoen euro aan losgeld betalen.

Wat is ransomware?

Een belangrijk kenmerk aan de cyberaanval bij Colosseum Dental was het gebruik van zogenaamde gijzelsoftware (ook wel ransomware genoemd). Ransomware is een computervirus dat bepaalde bestanden of een hele computer ‘kaapt’ en vervolgens (gezondheids)gegevens versleutelt, waardoor zorgaanbieders niet meer bij deze (gezondheids)gegevens kunnen. Criminelen vragen daarna vaak losgeld (ransom) om de zorgaanbieder in ruil daarvoor weer toegang te geven tot de versleutelde bestanden. Wanneer criminelen veel losgeld vragen, leidt dat vaak tot het volgende dilemma: betalen om toegang te krijgen tot de (gezondheids)gegevens of weigeren te betalen en het risico lopen dat de (gezondheids)gegevens verloren gaan.

Uit het Cybersecurity Dreigingsbeeld Zorg 2022 blijkt dat ransomware-criminelen zowel kleine als grote zorgaanbieders aanvallen.

Wat moet je doen na een cyberaanval?

De zorg heeft ‘cybervrede’ nodig. Een geslaagde cyberaanval heeft immers grote gevolgen voor een zorgaanbieder en de samenleving. Een cyberaanval kan er bijvoorbeeld voor zorgen dat een arts geen toegang heeft tot een medisch dossier. Goede zorg kan dus niet worden gegarandeerd wanneer (gezondheids)gegevens ontbreken.

Wanneer een cybercrimineel toegang krijgt tot bestanden van een zorgaanbieder, is er sprake van een datalek. Binnen 72 uur dient de zorgaanbieder het datalek te melden aan de Autoriteit Persoonsgegevens (AP). Naast de meldplicht bij de AP zijn er een aantal andere maatregelen die getroffen kunnen worden. Een belangrijk stap is het investeren in beveiligingssystemen. Daarnaast is het belangrijk om te investeren in het zorgpersoneel. Maak het zorgpersoneel tot een extra beschermlaag, maak ze bewust van de risico’s die een cyberaanval met zich meebrengt en hoe ze bijvoorbeeld ‘phishing’ kunnen herkennen. Verder is het handig om minimaal één kopie van de (gezondheids)gegevens op een andere locatie te hebben.

Andere (technische, organisatorische en juridische) maatregelen kun je vinden in het drieluik ‘hoe kunnen privacy inbreuken worden voorkomen of beperkt?

NIS2-richtlijn

De komst van de NIS2-richtlijn moet bijdragen aan een hoger niveau van cybersecurity bij onder andere zorgaanbieders. De richtlijn bevat een zorgplicht die zorgaanbieders verplicht om een risicobeoordeling uit te voeren. Aan de hand van zo’n risicobeoordeling kan de zorgaanbieder passende maatregelen nemen om zichzelf te beschermen tegen cyberaanvallen. Naast de zorgplicht geldt ook een meldplicht. Zorgaanbieders dienen cyberincidenten te melden bij de toezichthouder en bij een ‘Computer Security Incident Response Team’ (CSIRT), wat vervolgens hulp levert.

De Europese lidstaten hebben tot eind 2024 de tijd om de richtlijn op te nemen in nationale wetgeving.