E-mailbeveiliging

    Gezondheidszorg wordt geconfronteerd met niet aflatende uitdagingen op het gebied van cyberbeveiliging

    Nu het aantal cyberaanvallen toeneemt, worstelt de gezondheidszorg met het indammen van de dreiging.

    by Elliot Kass
    gettyhealthcare.jpg

    Hoofdpunten

    • Cyberaanvallen op de gezondheidszorg hebben in 2021 een recordhoogte bereikt.
    • Organisaties in de gezondheidszorg behoren tot de meest geviseerde doelwitten van cybercriminelen, omdat zij zo veel gegevens verzamelen die van grote waarde zijn voor kwaadwillenden.
    • De sector staat voor unieke beveiligingsuitdagingen, aangezien inbreuken op de privacy moeilijk ongedaan te maken zijn en gegevenscorruptie levensbedreigend kan zijn.
    • Veiligheidsmandaten van de overheid kunnen de situatie verbeteren, maar om de dreiging echt aan te pakken, zijn in de hele sector meer veiligheidsinitiatieven nodig.

    Cyberaanvallen op de gezondheidszorg hebben in 2021 een recordhoogte bereikt.[1] Volgens het Economisch Wereldforum (WEF) zijn de aanvallen op de sector "sinds het begin van de COVID-19-pandemie doorgegaan met het teisteren van de sector".[2] Vorig jaar werden meer dan 50 miljoen patiëntendossiers gestolen, een stijging van 24% ten opzichte van 2020.[3] Het ging onder meer om socialezekerheidsnummers, medische dossiers van patiënten, financiële gegevens, HIV-testresultaten en de privé-gegevens van medische donoren. "Gemiddeld," zegt het WEF, "worden 155.000 records geschonden tijdens een aanval op de sector en het aantal kan veel hoger liggen, waarbij sommige incidenten melding maken van de schending van meer dan 3 miljoen records."

    Deze nijpende situatie wordt onderzocht in het nieuwe rapport van Mimecast over Email Security in Healthcare . Het rapport is gebaseerd op een wereldwijde enquête onder 1.400 informatietechnologie- en cyberbeveiligingsprofessionals, waaronder 254 (18%) uit de gezondheidszorg, en legt de cyberuitdagingen bloot waarmee de sector in de nasleep van de pandemie wordt geconfronteerd. Op de vraag hoe waarschijnlijk het bijvoorbeeld is dat hun instelling in 2022 schade zal ondervinden van een e-mailaanval, antwoordt 77% van deze CIO's, CISO's en andere IT-managers uit de gezondheidszorg dat dit waarschijnlijk, zeer waarschijnlijk of gewoon "onvermijdelijk" is.

    De bewaarders van gegevens met een hoge waarde

    Organisaties in de gezondheidszorg behoren tot de meest doelwitten van cybercriminelen en buitenlandse agenten, omdat zij zoveel gegevens verzamelen die van grote waarde zijn voor slechte actoren. Gestolen gezondheidsdossiers kunnen op het dark web immers tot tien keer meer opbrengen dan gestolen kredietkaartnummers. Naast bankrekening- en creditcardnummers kunnen deze bestanden beschermde gezondheidsinformatie (PHI), sofi-nummers en andere persoonlijk identificeerbare informatie (PII), alsmede medisch onderzoek en andere intellectuele eigendom bevatten.

    Bovendien zijn de gemiddelde kosten van een inbreuk op gegevens in de gezondheidszorg verreweg de hoogste in welke bedrijfstak dan ook. In 2021 stegen die kosten met $2 miljoen (22%) tot $9,23 miljoen per incident, vergeleken met een gemiddelde van $4,24 miljoen voor alle industrieën - op zich al een recordbedrag.[4]

    Dit stelt degenen die verantwoordelijk zijn voor de beveiliging van de gegevens van de sector voor een aantal unieke uitdagingen. Als bijvoorbeeld een bankrekening- of kredietkaartnummer wordt gestolen, kan de rekening worden bevroren of gesloten en een nieuwe worden geopend. Niet zo met medische dossiers. Zodra labuitslagen of een diagnose uitlekken, is dat niet meer privé. De informatie is onmogelijk te ontkennen.

    Sommige gevallen van datacorruptie kunnen levensbedreigend zijn. Het knoeien met elektronische medische dossiers (EMR's) of genetwerkte medische apparatuur zoals insulinepompen kan bijvoorbeeld de behandeling van patiënten verstoren, met letsel of de dood tot gevolg.

    Er zijn ook HIPAA, GDPR en andere privacyregels waarmee u te maken krijgt. CISO's en andere beveiligingsprofessionals in de gezondheidszorg moeten een drievoudig evenwicht zien te vinden tussen het beschermen van patiëntengegevens, het waarborgen van de privacy ervan, en het delen van die gegevens om de best mogelijke patiëntenzorg te kunnen bieden. Deze vaak tegenstrijdige doelstellingen kunnen leiden tot leemten in de beveiliging en kwetsbaarheden waar cyberdieven snel hun voordeel mee doen.

    Achterblijven bij de dreiging

    Gezien deze stand van zaken zou men kunnen denken dat organisaties in de gezondheidszorg tot de best beschermde zouden behoren als het gaat om cyberbeveiliging. Helaas lijkt het oude gezegde dat dokters de slechtste patiënten zijn hier ook op te gaan. Uit het Mimecast-onderzoek blijkt dat slechts 31% van de zorgverleners een strategie voor cyberresilience heeft - een van de laagste van alle sectoren - ondanks de vooruitgang in oplossingen die voor hen beschikbaar is.

    Overheden treden op en oefenen druk uit op organisaties in de gezondheidszorg om hun beveiliging te verbeteren. In de VS is bijvoorbeeld op 15 maart een nieuwe wet in werking getreden die volksgezondheidsinstellingen verplicht om cyberaanvallen binnen 72 uur na ontdekking of - in het geval van ransomware - binnen 24 uur na betaling van het losgeld te melden aan het ministerie van Binnenlandse Veiligheid.[5] Maar hoewel de meeste respondenten van de Mimecast-enquête (93%) van mening waren dat overheidsmandaten inderdaad zouden leiden tot een grotere cyberparaatheid, waren ze ook sterk van mening dat dit alleen het probleem niet zou oplossen en dat er meer door de sector aangestuurde beveiligingsinitiatieven nodig waren.

    De kern van de zaak

    In de gezondheidszorg zijn de kans op en de gevolgen van een datalek nijpend. Als zorgaanbieders er niet in slagen hun cyberbeveiligingsnormen aan te scherpen, zijn in veel landen de overheden aansprakelijk om dat voor hen te doen. Hoewel dit voor de sector een manier kan zijn om de beveiligingskloof te dichten, geloven maar weinig cyberbeveiligingsleiders dat de resultaten bevredigend zullen zijn. Er kunnen betere resultaten worden bereikt als leiders in de gezondheidszorg het initiatief nemen om een strategie voor cyberresilience op te stellen en te investeren in het beveiligingspersoneel, de systemen en de procedures die zij nodig hebben.

    Voor meer informatie over de uitdagingen op het gebied van cyberbeveiliging in de gezondheidszorg, zie het volledige rapport van Mimecast op Email Security in Healthcare .

     

     

    [1] "Inbreuk op gegevens in de gezondheidszorg bereikt recordhoogte in 2021, impact op 45 miljoen mensen," Fierce Healthcare

    [2] "Als de gezondheidszorg haar cyberbeveiliging niet versterkt, kan ze binnenkort in kritieke toestand verkeren," World Economic Forum

    [3] "2022 Breach Barometer Report," Protenus

    [4] "IBM-rapport: Kosten van een datalek bereiken recordhoogte tijdens pandemie," IBM

    [5] "Gezondheidszorgorganisaties moeten cyberaanvallen nu melden aan DHS," Becker's Health IT

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven