Inspiratie artikel

Waarom IT-beveiliging in de zorg zo lastig is

geschreven door Leif Nixon, Security Expert bij Sectra Communications

De problemen rond IT-beveiliging in de zorgsector worden steeds zorgelijker. De afgelopen zes maanden was er een constante stroom van waarschuwingsberichten. Eén op de vier cyberaanvallen op zorginstellingen had dit jaar zelfs impact op de normale bedrijfsvoering, blijkt uit onderzoek van IDC onder managers in de zorg. Dit brengt veiligheid van patiënten in gevaar en kan enorme financiële schade veroorzaken.

Maar waarom heeft juiste deze sector te maken met een groeiend aantal aanvallen? Is er iets speciaals aan de gezondheidszorg waardoor IT-beveiliging zo lastig is? Ja. Ja, dat is er.

Veiligheid versus beveiliging

De concepten van veiligheid en beveiliging lijken op elkaar, maar zijn ook verschillend. Waar veiligheid gaat over de bescherming tegen vergissingen van gebruikers, gaat beveiliging over de bescherming tegen kwaadwillige aanvallen. Er zijn maar weinig plekken waar deze twee concepten op zo’n complexe manier met elkaar verweven zijn als in de zorg. Tel daarbij op dat aan de gegevens die in zorgsystemen verwerkt worden vaak serieuze privacy-implicaties verbonden zijn. Je krijgt een moeras van problemen waarvoor maar zelden een perfecte oplossing is—slechts imperfecte compromissen.

Een concreet voorbeeld: Privacywetgeving zoals de AVG stelt dat medische dossiers uiterst gevoelige informatie bevatten en zorgvuldig beschermd moeten worden. Dit heeft geleid tot beveiligingseisen die bepalen dat alleen geautoriseerde personen die op veilige wijze zijn geauthentiseerd, toegang hebben tot patiëntgegevens. Maar vanuit een veiligheidsperspectief gezien kan het hebben van directe toegang tot medische dossiers letterlijk een zaak van leven of dood zijn. In een medische noodsituatie is er geen tijd voor schermvergrendelingen of vergeten wachtwoorden.

In de praktijk variëren de oplossingen voor dit conflict tussen veiligheid en beveiliging van “breaking glass”-systemen, waarbij de normale toegangscontrole in noodgevallen kan worden omzeild, tot de meer pragmatische oplossing waarbij de computermuis op een bloedzak rockster wordt geplaatst die heen en weer gaat, zodat de schermbeveiliging niet wordt geactiveerd.

Unieke structuur van IT in de zorg

Er zijn bovendien verzwarende omstandigheden in de vorm van de unieke drieledige structuur van IT-systemen in de gezondheidszorg. Alle zorgaanbieders hebben administratieve office-systemen voor standaard dagelijkse taken. Dit aspect van zorg-IT is de gemene deler van alle grote organisaties. Over het algemeen is dit systeem goed te beveiligen.

 

 

Grotere zorgaanbieders hebben grote hoeveelheden medische apparatuur die verbonden zijn met een netwerk. Deze variëren van infuuspompen en insulinemonitors tot MRI-scanners, gekoppeld aan een computernetwerk voor monitoring, gegevensuitwisseling en toegang op afstand. Deze apparaten zijn gebonden aan strenge veiligheidseisen die vaak niet verenigbaar zijn met de basis van IT-beveiliging, zoals frequente software-updates. Veel medische apparatuur bevat immers ingebouwde computers waarop besturingssystemen draaien die niet langer door de fabrikant worden ondersteund.

Een CISO kan eisen dat zulke onveilige systemen in een geïsoleerd netwerk worden ondergebracht, om er vervolgens achter te komen dat dit helemaal niet kan, aangezien het personeel vanaf hun office-werkstations toegang moet hebben tot medische gegevens. Bovendien hebben veel ziekenhuizen contracten afgesloten met gespecialiseerde aanbieders, zoals teleradiologiebedrijven. Dit maakt het soms nodig om resultaten van MRI-scans te versturen naar specialisten buiten het ziekenhuis.

Aan de basis van deze administratieve systemen en de medische apparatuur ligt een derde, vaak vergeten systeem: het SCADA-systeem (supervisory control and data acquisition) dat de infrastructuur van het ziekenhuis beheert.

Alle voorzieningen die wij vanzelfsprekend vinden, zoals verwarming, ventilatie, elektriciteit, verlichting en watervoorziening, worden geregeld door gespecialiseerde computersystemen. Deze zijn cruciaal voor het functioneren van het ziekenhuis, maar krijgen vanuit een IT-beveiligingsperspectief zelden de aandacht. Toch zijn er een aantal realistische en vrij beangstigende scenario’s.

 

 

Als een ransomware-aanvaller bijvoorbeeld weet hoe hij de technische werkstations voor de verwarmings- en ventilatiesystemen kan binnendringen, dan kan hij eenvoudig alle grote operaties in een ziekenhuis platleggen door de ventilatie naar de operatiezalen stil te leggen en vervolgens de werkstations uit te schakelen. Een aanvaller die erin slaagt toegang te krijgen tot de stroomvoorzieningssystemen, kan zowel de primaire als de reservestroomvoorziening uitschakelen, wat al binnen een paar minuten tot levensbedreigende situaties leidt.

Ketens van verantwoordelijkheid

Als de verantwoordelijkheidsketens onduidelijk zijn, bestaat er een grotere kans dat problemen tussen de naden en kieren verdwijnen, en wordt het lastiger om een uniform IT-beveiligingsbeleid te hanteren. Neem bijvoorbeeld een typisch systeem voor de distributie van medische zuurstof, waarbij het gas via hogedrukleidingen over een heel ziekenhuis wordt verspreid. Normaal gesproken valt het fysieke leidingnetwerk onder de verantwoordelijkheid van de facilitaire dienst, terwijl het gas zelf een medisch product is dat onder de verantwoordelijkheid van een aangewezen verpleegkundige of arts valt. Maar wie is er eindverantwoordelijk voor de IT-beveiliging van het besturingssysteem voor de gasvoorziening?

 

Money money money

Gezien al het bovenstaande, zal het niet als een verrassing komen dat veel zorgorganisaties een gemakkelijk doelwit voor de gemotiveerde hacker zijn. Hoewel gestolen medische dossiers altijd al een zekere marktwaarde hebben gehad, was het pas met de opkomst van grootschalige ransomware-operaties in de afgelopen jaren zo dat de dreigingen op de IT-beveiliging voor zorgorganisaties echt is gaan groeien.

Een gewone organisatie die getroffen wordt door een ransomware-aanval kan gewoon weigeren het losgeld te betalen, wat betekent dat alle tijd en moeite die de aanvaller in de aanval heeft gestoken, verloren is. Een zorgorganisatie daarentegen, zal normaal gesproken onder enorme druk staan om systemen te herstellen, aangezien de patiëntveiligheid gevaar loopt. Als de aanvaller maar meedogenloos genoeg is, levert het aanvallen van gezondheidszorgorganisaties zakelijk gezien simpelweg het meeste op, omdat die vaak toch wel over de brug komen.

 

En inderdaad, terwijl een groot deel van de ransomware-aanvallers publiekelijk verklaard heeft gedurende de COVID-19-pandemie af te zien van het aanvallen van zorgorganisaties, hebben andere groepen hun aanvallen juist geïntensiveerd, zoals de beruchte Ryuk bende uit Rusland. Slachtoffers die al door de pandemie onder druk staan zullen het losgeld immers nog eerder betalen.

Generic image symbolizing cloud security

De lange weg naar de oplossing

Helaas zijn er geen eenvoudige oplossingen voor de IT-beveiligingscrisis in de gezondheidszorg. Je zou willen dat IT-criminelen gewoon achter tralies gezet konden worden, maar veel – of de meesten – opereren vanuit malafide jurisdicties, waar ze onaantastbaar zijn.

De oplossing wordt een lange weg, en alle partijen moeten effectief samenwerken. Niet alleen moeten fabrikanten leren hoe ze de beveiliging van hun apparaten moeten verbeteren, en wetshandhavers hoe ze op een efficiënte manier internationaal moeten samenwerken—maar ook zorgorganisaties zullen moeten leren hoe zij hun beveiliging voortdurend en stapsgewijs kunnen verbeteren.

 

Sectra Medical gebruikt de expertise van Sectra Communications

Sectra ondersteunt ziekenhuizen in het efficiënter maken van de zorg. Daarnaast helpt Sectra autoriteiten en krijgsmachten door heel Europa bij het beschermen van de meest gevoelige informatie. Sectra draagt hiermee bij aan een gezondere en veiligere samenleving. Meer informatie over beveiliging in uw ziekenhuis? Neem contact met ons op, we helpen u graag verder.