Zorgaanbieders blijken kwetsbaar voor cyberaanvallen

Cybercrime Hackers drongen in 2022 binnen via gaten in de beveiliging van ict-bedrijven die voor veel zorgpraktijken werken. Daardoor zijn van 900.000 mensen medische gegevens gelekt.

Zorginstellingen zijn relatief chantabel om losgeld te betalen, doordat ze erg afhankelijk zijn van hun data en het vaak om zer gevoelige informatie gaat.
Zorginstellingen zijn relatief chantabel om losgeld te betalen, doordat ze erg afhankelijk zijn van hun data en het vaak om zer gevoelige informatie gaat. Foto Olivier Middendorp

Bij drie grote cyberaanvallen op bedrijven waaraan Nederlandse zorginstellingen hun ict hadden uitbesteed, zijn vorig jaar van zo’n 900.000 mensen medische gegevens gelekt.

Dat meldt de Autoriteit Persoonsgegevens in de jaarlijkse datalekkenrapportage. De zorg is de sector met de meeste meldingen en incidenten: bijna negenduizend in 2022. Dat was in 2021 ook zo. Het gaat daarbij niet alleen om kwetsbare ziekenhuizen, maar ook om bijvoorbeeld ouderenzorg, fysiotherapeuten, huisartsenpraktijken, apothekers, verloskundigen en tandartsen.

In 2022 ging het drie keer op grote schaal mis doordat hackers erin slaagden binnen te dringen bij ict-bedrijven waaraan veel zorgverleners hun ict hadden uitbesteed.

Recent sloeg ook brancheorganisatie Z-CERT (computer emergency response team voor de zorg) alarm over de kwetsbaarheid van zorgaanbieders. De overlast door met name aanvallen met gijzelsoftware was in 2022 ‘veel groter’ dan in 2021. Op Europees niveau registreerde Z-CERT 51 ransomware-incidenten bij Europese zorginstellingen, dat is 65 procent meer dan in 2021.

Onduidelijke mailtjes, weinig urgentie

„Gedeelde infrastructuur kan de impact van één enkel incident flink opvoeren,” staat in een rapport van C-zert. Zorginstellingen zouden zich onvoldoende bewust zijn van de risico’s als ze gegevens van hun patiënten op een ‘cloud’ opslaan en dus afhankelijk zijn van een externe partij.”

De data die een ict-leverancier beheert zijn ‘goud waard voor criminelen, signaleert de Autoriteit Persoonsgegevens. De privacy-organisatie maakt geen namen bekend van de bedrijven die hun beveiliging niet op orde hadden. De AP probeert er vooral voor te zorgen dat getroffen bedrijven hun klanten of patiënten informeren, zodat die extra alert kunnen zijn. Dat gaat lang niet altijd goed, blijkt uit een steekproef door de Consumentenbond. Gedupeerden krijgen vaak onduidelijke mailtjes waar weinig urgentie uit spreekt.

Zorginstellingen zijn high potential targets voor criminelen die gijzelsoftware gebruiken, zegt Desmond de Haan van de Autoriteit Persoonsgegevens. Zorginstellingen zijn relatief chantabel om bijvoorbeeld losgeld te betalen, doordat ze erg afhankelijk zijn van hun data en het vaak om heel gevoelige informatie gaat.

Lees ook dit artikel: Zeventien aanhoudingen in Nederland in internationaal onderzoek naar cybercrime

Chantabel

Er is geen betrouwbare manier om na te gaan of zorginstellingen losgeld betalen om na een cyberaanval de toegang tot hun data terug te krijgen en om te voorkomen dat gegevens over hun patiënten wordt verhandeld. Vaststaat dat het gebeurt.

„Dat is aan de partijen zelf”, zegt Özlem Sehirli-Kaya, leider van het team datalekken daarover. „Maar dat is geen reden om de datadiefstal niet te melden.” Ze benadrukt hoe zwaar het weegt dat zorgverleners hun beveiliging op orde hebben. „Als je naar een verloskundige of fysiotherapeut gaat, moet je er gewoon op kunnen vertrouwen dat je gegevens veilig zijn.”

De Autoriteit Persoonsgegevens ziet ook een grote stijging in het aantal meldingen waarbij persoonsgegevens zijn toegevoegd aan een verkeerd dossier. Daarbij gaat het vaak om menselijke fouten, niet om aanvallen van buitenaf.

De zorg is een negatieve uitschieter. Het totaal aantal gemelde datalekken was in 2022 lager dan het jaar daarvoor, een daling van 24.866 naar 21.151. Dat gold ook voor het totaal aantal meldingen van cyberaanvallen. Dat daalde na jarenlange stijgingen van 2.210 naar 1.826.

Lees ook dit artikel: Zijn jouw gegevens gelekt? Dit kun je doen om phishing te voorkomen