Ransomware-aanvallen op de gezondheidszorg

Een cyberaanval op een kliniek of ziekenhuis is letterlijk een kwestie van leven of dood. In 2020 bezweken zorginstellingen over de hele wereld bijna onder de druk van de COVID-19-pandemie, en de acties van cybercriminelen droegen alleen maar aan de ellende bij. Een van de meest significante dreigingen voor zorginstellingen in het afgelopen jaar kwam van ransomware-aanvallen — cyberaanvallen waarin cybercriminelen gegevens versleutelen of bedrijven afpersen met het dreigement om de gestolen gegevens te publiceren.

De consequenties van dit soort aanvallen zijn veelvoudig. Naast de logische en gevaarlijke onderbreking van de verlening van medische diensten, kunnen zorginstellingen ook te maken krijgen met gevolgen op de langere termijn, variërend van boetes tot claims van patiënten waarvan de privacy van hun persoonlijke gegevens is geschonden.

Spraakmakende ransomware-incidenten

Een van de meest besproken gevallen van het afgelopen jaar, en een teken van de schaal van het probleem, was de Ryuk-ransomware-aanval op Universal Health Services (UHS) in september. Deze groep beheert 400 medische faciliteiten in de Verenigde Staten, het Verenigd Koninkrijk en andere landen. Gelukkig werden niet alle ziekenhuizen en klinieken slachtoffer van de aanval, maar er werden wel tal van UHS-faciliteiten in verschillende Amerikaanse staten getroffen. Het incident vond op een zondagochtend plaats: de bedrijfscomputers konden niet opstarten en sommige werknemers ontvingen een losgeldeis. Ook het telefoonnetwerk was getroffen. De IT-afdeling moest het personeel vragen om op de ouderwetse manier te werken, dus zonder IT. Dit zorgde voor enorme storingen wat betreft de normale werkomstandigheden van de kliniek en had invloed op de zorg voor patiënten, laboratoriumtests en meer. Sommige faciliteiten moesten patiënten doorverwijzen naar andere ziekenhuizen.

In hun officiële verklaring zei USH dat er “geen bewijs was van ongeautoriseerde toegang tot, het kopiëren of misbruik van de gegevens van patiënten of werknemers.” In maart van dit jaar bracht het bedrijf een rapport uit waarin stond dat de aanval $ 67 miljoen aan schade had aangericht, inclusief de kosten voor gegevensherstel, gemaakte verliezen vanwege de downtime, het verminderde aantal patiënten, en meer.

Ondertussen leidde een incident bij Ascend Clinical, dat gespecialiseerd is in testdiensten voor nierziekten, tot een datalek dat meer dan 77.000 patiënten trof. De oorzaak van de infectie is bekend: een werknemer klikte op een link in een phishing-e-mail. Eenmaal in het systeem kregen de aanvallers onder andere de persoonlijke gegevens van patiënten in handen: namen, geboortedata en burgerservicenummers.

Bij een aanval op Magellan Health in april 2020 ging het om de persoonlijke gegevens van zowel werknemers als patiënten (365.000 slachtoffers volgens rapporten in de media). De cybercriminelen slaagden er met behulp van social engineering in om een klant te imiteren, toegang te verkrijgen tot het interne netwerk, malware te verspreiden om inloggegevens te onderscheppen en uiteindelijk de gegevens op de server te versleutelen.

Bij het aanvallen van zorginstellingen geven cybercriminelen er over het algemeen de voorkeur aan om de gegevens van de servers te versleutelen en stelen in plaats van die van werkstations. Hetzelfde gebeurde met de servers van het Florida Orthopedic Institute, toen aanvallers de (eerder gestolen) gegevens van 640.000 patiënten versleutelden. Dit resulteerde in een nogal onaangename groepsrechtszaak.

Hierboven vindt u slechts een voorbeeld van een aantal spraakmakende incidenten uit het nieuws van afgelopen jaar. We hadden zelfs nog veel meer voorbeelden om uit te kiezen.

Hoe zorginstellingen zichzelf kunnen beschermen

Malware kan een systeem op verschillende manieren penetreren: via e-mailbijlages, phishing-links, geïnfecteerde websites en meer. Aanvallers kunnen inloggegevens voor toegang op afstand stelen, informatie verkrijgen via social engineering of simpelweg brute force-aanvallen inzetten. Het oude medische gezegde dat voorkomen beter is dan genezen, is ook van toepassing op cybersecurity, en niet in de laatste plaats ter bescherming tegen ransomware. Hieronder vindt u onze preventieve zorgtips op het gebied van cybersecurity:

• Bescherm alle apparaten — en niet alleen computers. Bedrijfssmartphones, tablets, terminals, informatiekiosken, medische apparatuur en absoluut alles met toegang tot het bedrijfsnetwerk en het internet;
• Hou alle apparaten up-to-date. Nogmaals: niet alleen de computers. Cyberbeveiliging voor bijvoorbeeld een tomograaf komt waarschijnlijk niet als eerste bij u op, maar ook dit is in feite een computer met een besturingssysteem dat kwetsbaarheden kan bevatten. Idealiter speelt beveiliging een belangrijke rol in de keuze voor apparatuur — op zijn minst zou u voor tot aankoop over te gaan van de verkoper de bevestiging moeten krijgen dat er updates voor de software zullen worden uitgegeven;
• Installeer beveiligingsoplossingen om e-mail te beschermen. Het beschermen van elektronische communicatie is essentieel; medische instellingen ontvangen veel e-mails, waaronder ook spam, die niet alleen schadeloze rommel hoeft te bevatten, maar waar ook gevaarlijke bijlages tussen kunnen zitten.
• Train alle werknemers — dat betekent dus én dokters én iedereen die technologie aanraakt — in de basics van cybersecurity-bewustzijn. Steeds meer onderdelen van de medische zorg worden elektronisch, van de digitalisering van medische dossiers tot online videoconsulten. Cybersecurity-bewustzijn moet net zo serieus behandeld worden als het dragen van een mondkapje tijdens een operatie.
• Veel moderne ransomware-aanvallen worden uitgevoerd op wat wij een “handmatige” wijze noemen. In andere woorden: de cybercriminelen achter moderne ransomware-aanvallen sturen niet in het wilde weg malware rond, maar gaan vaak op zoek naar manieren om specifieke computers en servers te infecteren, vaak met gebruik van social engineering. Soms bestuderen ze na het infiltreren van een netwerk de infrastructuur gedurende lange tijd om op zoek te gaan naar de meest waardevolle gegevens. Om dit soort aanvallen te detecteren, is endpoint-beveiliging niet altijd genoeg, en daarom raden we aan om een managed detection response service te gebruiken om uw infrastructuur op afstand in de gaten te houden.