Cyber Security in de Zorg: bescherm patiëntinformatie
De modernisering van de samenleving zorgt ervoor dat zorginstellingen de cyber security goed op orde moeten hebben. De reden hiervoor is dat patiënteninformatie een van de waardevolste bezittingen van zorginstellingen is. Als criminelen hier op uit zijn zullen ze er alles aan doen om deze informatie in handen te krijgen. Wanneer steeds meer patiëntendossiers worden uitgewisseld en toegevoegd nemen de potentiële risico’s toe.
Ken uw vijand
IT-managers en CCIO’s in de zorg hebben met bewonderenswaardige snelheid gereageerd op de recente reeks inbreuken op de informatiebeveiliging: ondanks beperkte middelen hebben ze de verdediging van de netwerkperimeter versterkt, en ze zijn veel scherpere eisen gaan stellen aan wachtwoordbeveiliging. Veel organisaties hebben versterkte perimeters aangelegd die bestand zijn tegen krachtige DDoS-aanvallen
(Distributed Denial of Service) en andere aanvallen met een hoge impact.
Dergelijke maatregelen hebben echter weinig zin als CCIO’s zich niet bewust zijn van de harde werkelijkheid: niet de toegangspoort, maar
de poortwachter zelf is tegenwoordig het meest waarschijnlijke doelwit van een aanval. Uw medewerkers zijn de poortwachters van uw
verdedigingsmechanismen en vormen het meest kwetsbare element van uw IT-beveiliging. Volgens IBM speelt dit probleem in een groot aantal
sectoren en specialismen . Niets menselijks is uw medewerkers vreemd: het zijn immers mensen die gebruikmaken van wachtwoorden. Hun
wachtwoorden zijn de sleutels tot de toegangspoorten in uw perimeter en deze sleutels kunnen gemakkelijk gestolen worden door middel van social
engineering-methoden die zich richten op de minst beheersbare aspecten van het menselijk gedrag.
De medische dossiers van patiënten zijn op de zwarte markt tegenwoordig meer waard dan gestolen creditcardnummers8. Dit gegeven leidt tot
ongekend hoge aantallen frauduleuze verzekeringsclaims, gevallen van identiteitsdiefstal en cyberaanvallen op zorgorganisaties. Als leider op het
gebied van zorgtechnologie hebt u behoefte aan geavanceerde verdedigingsstrategieën om de data van uw zorgorganisatie te beschermen
tegen aanvallen. Het vereist zowel IT- als managementexpertise om de gegevensbeveiliging in balans te brengen met een hoge productiviteit.
Hoe gemotiveerd of intelligent uw medewerkers ook zijn, ze kunnen via steeds geraffineerdere aanvallen gemakkelijk worden gemanipuleerd om
hun wachtwoorden prijs te geven. Het is een klassiek verhaal: zoals de Chinese Muur voortdurend werd geïnfiltreerd doordat wachters hun plicht verzaakten, en zoals de muren van Troje uiteindelijk vielen door het Griekse bedrog met het Paard van Troje, zo worden uw medewerkers het
slachtoffer van goed verhulde aanvallen die misbruik maken van hun vertrouwen. Phishing-, spearphishing- en whaling-aanvallen richten zich
op individuele zorgverleners of administratieve medewerkers. Bij deze aanvallen worden medewerkers via nagemaakte e-mails van
IT-beheerders, nagebootste EPD-vensters of vervalste upgradepakketten gemanipuleerd om hun wachtwoorden prijs te geven.
Vaak is één enkele muisklik of één ingevoerd wachtwoord al voldoende om de beveiliging van een hele zorginstelling op de knieën te krijgen.
Zoals blijkt uit de legende over het Paard van Troje (en uit de recente Anthem-aanval), is de kracht van uw perimeter minder essentieel dan de
beveiliging van uw toegangspoorten, en dan met name de zorgvuldigheid waarmee uw poortwachters hun sleutels beheren. De muren van Troje
hadden 10 jaar fier stand gehouden – totdat de Grieken hun toevlucht namen tot social engineering.
Ken je zorginstelling
De beste aanpak bij het beschermen van uw zorginstelling tegen aanvallen op medewerkerswachtwoorden is het observeren van uw organisatie
vanuit het perspectief van de hacker. Hackers doen grondig onderzoek voordat ze hun prooi aanvallen. Soms observeren ze wekenlang het
digitale gedrag van gebruikers, voordat ze besluiten welke route de meeste kans op een succesvolle social engineering-aanval biedt. De
hackers proberen hun doelwitten zo goed mogelijk te begrijpen, zodat ze hen kunnen verleiden hun geheimen prijs te geven. Proactieve ITbeveiligers doen hetzelfde: ze evalueren zorgvuldig de zwakke plekken in de organisatie, de problemen in workflows en de culturele aspecten, en
daarna ontwikkelen ze de optimale verdedigingsstrategie. Deze aanpak bestaat uit de volgende stappen:
- In kaart brengen van de meest waarschijnlijke aanvalsmethoden: de belangrijkste gedragingen van medewerkers en andere risicofactoren.
- Begrijpen waardoor de zwakke plekken worden veroorzaakt: de vereisten van de workflows en andere factoren die ertoe bijdragen dat uw klinisch en administratief personeel geneigd is tot riskant gedrag.
- De oorzaken van de zwakke plekken elimineren: terugdringen van riskant gedrag via technologische en/of sociale maatregelen.
Breng de meest waarschijnlijke aanvalsmethoden in kaart
De meest voorkomende strijdplannen
Medewerkers vormen de zwakste schakel in de IT-beveiliging van een organisatie. Juist in de gezondheidszorg ontstaan heel veel zwakke plekken
door het wachtwoordgedrag van medewerkers, door trucs om in- en uitloggen te vermijden en door het gemak waarmee medewerkers in
dialoogvensters klikken of e-mails openen. Deze risico’s doen zich voor in uiteenlopende situaties, waarvan aanvallers op specifieke manieren misbruik proberen te maken. Dit zijn de meest voorkomende aanvalsmethoden:
Phishing
Phishing is de verzamelnaam voor misleiding via elektronische communicatie (meestal e-mail) om gebruikersgegevens, wachtwoorden,
creditcardnummers of andere gevoelige informatie in handen te krijgen.
Spearphishing
Spearphishing is een op één persoon gerichte vorm van phishing, waarbij oplichters proberen informatie te verkrijgen door nagemaakte e-mails te
versturen die op het eerste gezicht afkomstig zijn van mensen of bedrijven die het slachtoffer kent of vertrouwt. Spearphishing berust op
vertrouwdheid en vertrouwen van persoonlijke en zakelijke relaties.
Whaling
Whaling is een vorm van spearphishing die zich richt op ‘grote vissen’: topmanagers en andere verantwoordelijken die op hoog niveau toegang
hebben tot de computersystemen van hun organisatie. Populaire doelwitten zijn CCIO’s, IT-managers, EPD-beheerders en niet-technische topmanagers.
Zoekgeraakte of gestolen apparatuur
Verlies en diefstal van laptops en mobiele apparaten veroorzaken nog steeds grote risico’s voor zorgorganisaties die hierop gevoelige informatie
opslaan. Dit is een toenemende trend nu steeds meer zorginstellingen een BYOD-beleid gaan hanteren (Bring Your Own Device). Om de risico’s van
diefstal van apparaten te verkleinen, schakelen veel zorgorganisaties over op virtuele desktopsystemen (VDI) met thin clients en zero clients.10
Wachtwoordlijsten die niet versleuteld zijn
Medewerkers die moe worden van de vele wachtwoorden die ze moeten onthouden, bewaren vaak niet-versleutelde tekstbestanden met al hun wachtwoorden op een computer. Ze plakken zelfs briefjes met voor iedereen zichtbare applicatiewachtwoorden op een toetsenbord of beeldscherm. Volledige encryptie van harddisks helpt de risico’s van niet-versleutelde wachtwoord documenten te verkleinen, maar er is geen kruid gewassen tegen de zwakke plek die Post-it heet.
Verplicht datalekken melden
Nederlandse bedrijven en organisaties, die met persoonsgegevens werken, zijn sinds 1 januari 2016 wettelijk verplicht om datalekken meteen te melden bij het CBP (College Bescherming Persoonsgegevens). Dit geldt uiteraard ook voor instellingen en andere organisaties in de zorg. Wanneer organisaties hier geen gehoor aan geven kunnen de boetes oplopen tot 860.000 euro.
Test uw eigen beveiliging
Sommige IT-teams voeren interne ‘penetratietests’ uit, waarbij ze de strategieën van hackers nabootsen11. De resultaten zijn vaak weinig
geruststellend. Uit gesprekken van Imprivata met IT-managers van toonaangevende zorginstellingen blijkt dat minstens 30% van deze
penetratiepogingen slaagt. Vergelijkbare resultaten worden gemeld door McAfee. De resultaten van hun Phishing Quiz-test geven aan dat 80% van de 16.000 zakelijke gebruikers die zij via phishing probeerden te misleiden, minimaal één keer in de val trapten12. Daarnaast bleek uit het onderzoek van McAfee dat de slechtst scorende medewerkers vaak werken op afdelingen met veel gevoelige informatie (financiën, HR). Deze medewerkers hebben soms niet veel IT-kennis of zijn onvoldoende gemotiveerd.
Dit zijn schokkende resultaten, aangezien één enkele fout door een medewerker al genoeg kan zijn om de beveiliging van de zorgorganisatie
te doorbreken. Ongeacht de uitkomsten van uw interne penetratietest, blijkt dit een zeer nuttige exercitie te zijn: u krijgt waardevolle inzichten in
de gevoeligheid voor specifieke soorten aanvallen die op uw medewerkers zijn gericht. Hierdoor kunt u zien of er extra strategische maatregelen
nodig zijn voor bepaalde afdelingen, applicaties of klinische workflows.
Analyseer de oorzaken van zwakke plekken in uw organisatie
Het is niet voldoende te weten wát uw zwakke plekken zijn. Om de zwakke plekken te kunnen verhelpen, moet u ook begrijpen waardoor ze worden veroorzaakt. Het is belangrijk dat u de oorzaken van riskant werknemersgedrag kent, zodat u uw organisatie hiertegen kunt beschermen. Dit zijn enkele van de meest voorkomende oorzaken in de zorgsector:
Te veel wachtwoorden
Vaak is de oorzaak van veiligheidslekken door wachtwoorden duidelijk: zorgverleners hebben teveel wachtwoorden en moeten deze te vaak
invoeren. Het wordt dan een automatisme om een wachtwoord in te typen zodra hier in een venster om gevraagd wordt. Bovendien kunnen
medewerkers in een stressvolle klinische omgeving gefrustreerd raken wanneer er verschillende wachtwoordregels gelden voor verschillende
applicaties of binnen een andere context. De ergernis neemt nog verder toe indien er wordt gewerkt met verouderde of trage systemen. Deze
regels leiden ook vaak tot het delen en op meerdere plaatsen gebruiken van wachtwoorden: ideale omstandigheden voor hackers. Hoewel steeds
meer zorginstellingen geavanceerde systemen met meervoudige authenticatie invoeren om de wachtwoorddruk te verminderen, zal de
druk op medewerkers toch nog verder oplopen door het toenemende gebruik van SaaS-applicaties.
Te weinig kennis
Vaak realiseren zorgverleners zich niet hoe doelgericht en goed gecamoufleerd hackingaanvallen kunnen zijn. Vooral klinische
medewerkers zijn zich vaak niet bewust van de groeiende risico’s, omdat ze voortdurend in beslag worden genomen door de patiëntenzorg, met
spoedbehandelingen en andere situaties die snelle beslissingen vereisen. De patiëntenzorg heeft uiteraard de hoogste prioriteit. De meeste
medewerkers zullen niet gauw klikken op een link in een verdachte e-mail van een buitenlandse prins of een sjeik, maar ze zijn zich minder bewust
van de risico’s van malware, Trojaanse paarden of spearphishing-aanvallen die op het oog afkomstig zijn van een lokale, bekende afzender.
Te veel om te onthouden
Een gemiddelde zorgverlener heeft tientallen verschillende, complexe wachtwoorden nodig om in te loggen op EPD-systemen en klinische
applicaties. Al deze wachtwoorden zijn vaak complex en moeilijk te onthouden als gevolg van strikte voorschriften. Veel medewerkers willen
voorkomen dat hun account wordt geblokkeerd omdat ze een wachtwoord vergeten zijn, en ze noteren hun wachtwoorden daarom in notitieboekjes,
agenda’s of niet-versleutelde Word-bestanden of op plakbriefjes op hun computer.
Te veel mensen
Gedeelde werkstations zijn een alledaags verschijnsel in de zorg en steeds meer zorginstellingen schakelen over naar virtuele desktopsystemen (VDI). In een dergelijke omgeving voelen medewerkers zich niet verantwoordelijk voor specifieke computers. Hierdoor is ook de verantwoordelijkheid voor de controle op de beveiligingsinstellingen niet eenduidig. Bovendien groeit het risico dat mensen accounts gaan delen of dat ze per ongeluk
de instellingen van anderen overschrijven. En ten slotte neemt het aantal in- en uitlogacties exponentieel toe.
Te weinig tijd
Soms hebben klinische medewerkers domweg geen tijd om uit te loggen wanneer ze plotseling worden weggeroepen voor een spoedgeval, of om
goed te kunnen beoordelen of een wachtwoordvenster wel legitiem is terwijl ze een dringende medische handeling verrichten. Klinisch personeel
werkt onder hoge tijdsdruk in een zeer stressvolle werkomgeving. Medewerkers delen vaak wachtwoorden met hun collega’s om minder te
worden gehinderd door de extra complexiteit die de IT-beveiliging toevoegt aan hun vele andere verantwoordelijkheden.
Vaak blijven ze ingelogd wanneer ze een werkstation verlaten, omdat het eindeloze in- en weer uitloggen teveel tijd kost en ten koste gaat van de
patiëntenzorg.
Elimineer de oorzaken van zwakke plekken in uw organisatie
Nadat u de belangrijkste oorzaken van het riskante gedrag van uw medewerkers in kaart hebt gebracht, kunt u technologische maatregelen
nemen om deze zwakke plekken te versterken. U kunt uw systemen zodanig aanpassen dat de huidige zwakke plekken minder vatbaar
worden voor misbruik. Mogelijk kunt u de zwakke plekken zelfs geheel elimineren door het gedrag van uw mensen te wijzigen via doelgerichte
technologische maatregelen en trainingen die oplossingen bieden voor de problemen met de huidige processen.
Omdat medewerkers in de zorg op vele manieren gevoelig zijn voor aanvalspogingen, kan de beveiliging niet alleen door middel van
gebruikerstrainingen worden gewaarborgd. Spearphishing-aanvallen zijn soms zo geraffineerd dat zelfs IT-beveiligingsexperts worden misleid.
De legitimiteit van sommige phishing-berichten kan alleen goed worden bepaald na een uitvoerige technische analyse, maar de meeste
medewerkers hebben daarvoor noch de tijd, noch de benodigde kennis. Om veiligheidslekken te voorkomen, zijn technologische maatregelen
daarom de beste oplossing.
Zwakste schakel
Als het gaat om IT-beveiliging zijn medewerkers binnen de organisatie de zwakste schakel. In de gezondheidszorg ontstaan deze zwakke plekken vooral door het wachtwoordgedrag, trucs om in- en uit te loggen te vermijden en het gemak waarmee op onbetrouwbare e-mails wordt geklikt. In deze whitepaper wordt dieper ingegaan op de meest voorkomende aanvalsmethodes van kwaadwillende. De volgende methodes worden verder uiteengezet:
- Phishing
- Spearphishing
- Whaling
- Zoekgeraakte of gestolen apparatuur
- Wachtwoordlijsten die niet versleuteld zijn