Nederlandse ziekenhuizen zijn zich steeds bewuster van digitale gevaren. Toch zijn zij nog altijd kwetsbaar voor cyberaanvallen, zeggen beveiligingsexperts tegen NU.nl. Dit komt onder meer doordat de zorgsector achterloopt op andere sectoren, en er te weinig budget beschikbaar is. Tegelijkertijd evolueert de cybercriminaliteit ook, waardoor de dreiging van ransomware toeneemt.
Achterstand op andere sectoren
Ethisch hacker Sijmen Ruwhof verklaart de kwetsbaarheid van Nederlandse ziekenhuizen aan NU.nl. Volgens hem loopt de zorgsector achter op andere sectoren. Ruwhof stelt dat er weliswaar langzaam verbetering in de beveiligingssystemen en netwerken komt, maar dat ransomware ook steeds professioneler wordt. Bovendien hebben ICT’ers die bij ziekenhuizen in dienst zijn, “niet voldoende kennis of tijd om actief te monitoren of er hackers op het netwerk zitten”, aldus Ruwhof.
Daarnaast noemt Ruwhof verouderde apparatuur als oorzaak van de kwetsbaarheid voor cyberaanvallen. Leveranciers ondersteunen de apparaten niet altijd meer. Dat betekent dat er niet langer software-updates worden uitgebracht. Dat het updaten van apparaten erg belangrijk is voor je digitale veiligheid, benadrukte de overheid afgelopen december nog. Destijds werd opnieuw de campagne ‘Doe je updates’ ingezet, om te waarschuwen voor de veiligheidsrisico’s van apparaten die niet up-to-date zijn.
Uit onderzoek van de Inspectie Gezondheidszorg en Jeugd bleek eind vorig jaar dat de informatiebeveiliging in ziekenhuizen niet voldoende is, schrijft NU.nl. Wanneer ziekenhuizen patiëntgegevens voldoende beschermen, ontvangen zij het certificaat ‘NEN 7510’. Tijdens de inspectie voldeden de meeste ziekenhuizen niet aan de norm hiervoor.
Niet genoeg budget beschikbaar
Frank Groenewegen, cybersecurityexpert en partner bij accountants- en adviesbureau Deloitte, ziet dat niet alle ziekenhuizen de prioriteit geven aan cyberbeveiliging. Dit komt volgens hem doordat er te weinig budget beschikbaar is voor het doorvoeren van flinke verbeteringen. Groenewegen: “Het geld is er soms gewoon niet voor beschikbaar omdat er andere keuzes gemaakt moeten worden, bijvoorbeeld op het gebied van personeel.”
Ruwhof onderstreept het tekort aan budget voor het beveiligen van de systemen en netwerken van ziekenhuizen. Hij stelt dat het besef vaak pas komt nadat het is misgegaan. “Ziekenhuizen worden meestal pas na een incident goed wakker geschud. Vaak komt er ook pas daarna meer geld beschikbaar. Terwijl er eigenlijk nu al veel achterstallig onderhoud is.”
Cyberaanvallen op ziekenhuizen
Niet zelden krijgen ziekenhuizen te maken met cyberaanvallen. Vorig jaar probeerden hackers drie weken lang in te breken op de ICT-omgeving van Gelre ziekenhuizen. Zij konden geen privacygevoelige gegevens buitmaken. Ook in andere landen zijn ziekenhuizen het afgelopen jaar aangevallen. Dit gebeurde bijvoorbeeld in Frankrijk, België en de Verenigde Staten.
Een ransomware-aanval kan voor ziekenhuizen grote gevolgen hebben. Hackers versleutelen bestanden en systemen door middel van gijzelsoftware en eisen losgeld om het weer vrij te geven. In het geval van ziekenhuizen kan het schadelijk zijn voor patiënten als de systemen platliggen. Dit kan als gevolg hebben dat de ziekenhuizen patiënten naar andere locaties moeten verplaatsen, of dat ze operaties moeten afzeggen.
Update (16 februari 2022): Queeny Rajkowski en Judith Tielen (beiden VVD) hebben schriftelijke vragen gesteld aan minister Ernst Kuipers van Volksgezondheid, Welzijn en Sport over hoe het gesteld is met de informatiebeveiliging van Nederlandse ziekenhuizen. De Kamerleden willen van de minister horen of het klopt dat veel ziekenhuizen kwetsbaar zijn voor cyberaanvallen. Tevens vragen de VVD’ers zich af of de continuïteit van de zorg de afgelopen jaren hierdoor in het geding is geweest.
Rajkowski en Tielen hebben het idee dat de zorgsector achterloopt als het gaat om de digitale beveiliging van medische en persoonsgegevens. Ze willen van minister Kuipers weten of dat klopt. Verder vragen ze aan de bewindsman welke stappen er zijn gezet om de informatiebeveiliging in ziekenhuizen te verbeteren. Tot slot willen de Kamerleden weten in welke mate ziekenhuizen op dit moment actief samenwerken met Z-CERT om de werkplek digitaal weerbaarder te maken tegen cyberaanvallen.
