7 soorten cyberbedreigingen die de gezondheidszorg teisteren

Idealiter zou de gezondheidszorg de laatste sector zijn die het doelwit is van hackers en cyberaanvallers – niemand wil immers de kritieke ziekenhuisinfrastructuur lamleggen en met levens spelen. De gezondheidszorg wordt echter nog steeds het zwaarst getroffen als het gaat om de gemiddelde kosten van een datalek, met een piek van $9,2 miljoen in 2021.

Maar waarom gezondheidszorg?

Het is niet zo dat leidinggevenden in de gezondheidszorg niet willen investeren in cyberbeveiligingsoplossingen, maar er zijn veel obstakels. De voortdurende evolutie van cyberaanvallen, de verouderde medische infrastructuur en de hoge marktwaarde van privépatiëntgegevens zijn enkele redenen waarom de gezondheidszorg als geen ander blijft strijden tegen cyberbedreigingen.

Bovendien is er een gebrek aan tijd en middelen om medisch personeel te trainen in de aard van cyberaanvallen. Hoewel ze goed opgeleid zijn om levens te redden, zijn ze niet voldoende opgeleid om de gevolgen van online risico’s te begrijpen.

Na verder speurwerk en het doorspitten van verschillende bronnen hebben we de meest voorkomende cyberaanvallen geïdentificeerd die de gezondheidszorg bedreigen.

Ransomware

Ransomware was in 2021 de meest voorkomende en snelst groeiende vorm van malware en in 2023 zijn er geen tekenen dat het minder wordt. Het is ook de aanvalsvector die het meest wordt gekozen door dreigingsactoren die zich richten op de gezondheidszorgsector. Bij een typische ransomware-aanval krijgen bedreigingsactoren toegang tot gevoelige gegevens en versleutelen deze, waarbij ze slachtoffers dwingen om losgeld te betalen in ruil voor het vrijgeven van die gegevens. Simpel gezegd, gegevens worden gegijzeld. In plaats van losgeld te betalen, is het beter om een fractie van dat geld te investeren in tools voor gegevensversleuteling en back-up.

Gegevensdiefstal

Een hacker heeft meer te winnen bij de verkoop van persoonlijke gezondheidsinformatie (PHI) dan bij de verkoop van creditcardgegevens op de zwarte markt. De gemiddelde kosten van één PHI-record op de zwarte markt zijn 355 dollar. Om dat in perspectief te plaatsen, de gemiddelde kosten per record van creditcardgegevens zijn een miezerige $1-$2. Organisaties in de VS kunnen op deze site op de hoogte blijven van geregistreerde inbreuken op de gezondheidszorg. Inbreuken op gegevens kunnen om verschillende redenen plaatsvinden, zoals zwakke of gestolen referenties of malware.

Ongeautoriseerde toegang

De eerste en belangrijkste regel voor het beschermen van medische patiëntendossiers is om ze van binnenuit te beveiligen. Dit wordt gedaan door ervoor te zorgen dat alleen een specifieke groep personen binnen het bedrijf toegang heeft, waaronder werknemers en geautoriseerde derden. Kritische PHI of persoonlijk identificeerbare informatie (PII) moet niet alleen worden beveiligd tegen de nieuwsgierige ogen van cybercriminelen, maar ook tegen mensen binnen de organisatie die er niets mee te maken hebben.

Een gehackte netwerkserver

In tegenstelling tot IT-systemen in andere sectoren is een gezondheidszorgnetwerk een alomtegenwoordig platform dat verschillende onderdelen van een gezondheidszorgorganisatie met elkaar verbindt, waaronder MRI-machines, patiëntbewakingshulpmiddelen, werkstations, besturingssystemen, randapparatuur en computers. Hoewel deze verschillende onderdelen de algehele ervaring in de gezondheidszorg verbeteren, vergroten ze ook het aanvalsoppervlak van de organisatie.

Dit gecompliceerde samenspel van middelen kan leiden tot blinde vlekken in het netwerk, wat een broedplaats kan zijn voor achterdeurtjes en zwakke plekken die hackers kunnen uitbuiten. Om dit te voorkomen, is het aan te raden om netwerken in de gezondheidszorg te versterken met een combinatie van firewalls, inbraakpreventiesystemen en tools voor het opsporen en verhelpen van kwetsbaarheden, en tegelijkertijd een gebundelde oplossing voor endpointbeheer in te zetten om de zichtbaarheid in het netwerk te verbeteren.

Phishing

Een typische blauwdruk van een cyberaanval bestaat uit het aftasten van het netwerk op zwakke plekken en het uitbuiten van die zwakke plekken om ongeautoriseerde toegang te krijgen tot bestanden en informatie. In het geval van phishing zijn wij de grootste zwakke plek waar meestal gebruik van wordt gemaakt: mensen. Door personeel in de gezondheidszorg te trainen, geprivilegieerde toegang in te stellen en multi-factor authenticatie af te dwingen, kunnen phishing-aanvallen onder controle worden gehouden.

Aangetaste zakelijke e-mails

Deze aanval is een vorm van phishing, maar is niet gericht op het ziekenhuisnetwerk, maar op de werknemers die er werken. Cybercriminelen doen zich voor als iemand van het hogere management en verleiden werknemers of zorgafdelingen om geld over te maken naar de rekening van de cybercrimineel met behulp van een combinatie van vervalste e-mails en social engineering.

Onveilige servers of databases

Ziekenhuizen slaan soms per ongeluk patiëntendossiers op een publiek toegankelijke server op, op een manier waar iemand met een internetverbinding gemakkelijk bij kan. Dit kan resulteren in een regelrechte inbreuk op de beveiliging, waardoor duizenden, zo niet miljoenen PHI-dossiers in gevaar komen. Gelukkig zorgen nalevingsmandaten ervoor dat organisaties in de gezondheidszorg PII veiliger behandelen en opslaan.

Afronden

Organisaties in de gezondheidszorg worden steeds afhankelijker van IT. Hoewel organisaties geavanceerde technologieën gebruiken om de patiëntenervaring te verbeteren en workflows te automatiseren, zijn deze technologieën zelden ontworpen met beveiliging in het achterhoofd. En hoewel dit het aanvalsoppervlak kan vergroten, mag het nooit een afschrikmiddel zijn voor innovatie.

What do you think?

Gerelateerde artikelen

Contacteer ons

It's all about smart solutions

Wij staan klaar om al uw vragen te beantwoorden en u te adviseren over welke van onze diensten het meest geschikt zijn voor uw behoeften.

Uw voordelen
Wat is de volgende stap?
1

We plannen een gesprek wanneer het u uitkomt

2

We voeren een verkennend en adviserend gesprek uit.

3

We stellen een voorstel op.

Plan een gratis adviesgesprek