Zorgorganisaties investeren een kwart meer in digitale veiligheid
Onderzoek van Infoblox laat ook zien dat de meeste organisaties bereid zijn losgeld te betalen
De zorg is extra gevoelig voor cybercriminaliteit. De uiterst persoonlijke gegevens die er rondgaan en het niet overal even geavanceerde ICT-landschap maken zorginstellingen een geliefd en kwetsbaar doelwit voor cybercriminelen. De sector zelf heeft zich dat ook gerealiseerd. Uit onderzoek van Infoblox blijkt dat zorgorganisaties het afgelopen jaar fors meer geïnvesteerd hebben in digitale beveiliging. IT-professionals die in de zorg werken, zeggen er vertrouwen in te hebben dat hun organisatie nu goed voorbereid is op een cyberaanval.
Precies twee jaar geleden maakte ransomwarevirus WannaCry duidelijk hoe kwetsbaar computernetwerken zijn. Wereldwijd werden in mei 2017 grote organisaties platgelegd: niet alleen commerciële partijen, maar ook zorgorganisaties. In het Verenigd Koninkrijk werd de National Health Service (NHS) zwaar getroffen. Nederland bleef aardig gespaard, hoewel de NOS in diezelfde periode constateerde dat zeker vijftien Nederlandse ziekenhuizen met ransomware te maken hadden gehad. Naar aanleiding daarvan riep de Nederlandse Vereniging van Ziekenhuizen haar leden op om meer te investeren in digitale beveiliging. In 2017 werd vervolgens ook met steun van het ministerie van VWS het Computer Emergency Response Team voor de zorg (Z-CERT) opgezet, dat in januari 2018 officieel van start ging. Z-CERT moest zorginstellingen helpen bij de monitoring, preventie en reparatie van ICT-incidenten.
Wake-up call voor de zorg wereldwijd
Voor Infoblox waren de incidenten van twee jaar geleden en alle maatregelen en goede voornemens die daarop volgden, mede aanleiding voor een onderzoek naar hoe zorgorganisaties er nu voor staan. Voor het onderzoek werden ruim 600 ICT-professionals in de zorg bevraagd, uit het Verenigd Koninkrijk, de VS, Duitsland en de Benelux (steeds 150 per regio). Rob Bolton, General Manager en Directeur West-Europa bij Infoblox: “De kwetsbaarheid van de NHS voor ransomware die twee jaar geleden naar voren kwam, was een wake-up call voor zorgorganisaties in de hele wereld. Je weet namelijk dat met de snelle ontwikkelingen in de technologie de cyberdreiging alleen maar toeneemt. Het is dan ook bemoedigend om te zien dat er bij zorginstellingen in de vier onderzochte regio’s meer aandacht en middelen naar cyberveiligheid gegaan is.”
Het onderzoek van Infoblox laat een aantal ontwikkelingen zien. Ten eerste dat de investeringen in cybersecurity zijn opgevoerd. Zo’n 95 procent van alle ondervraagde ICT-professionals meldt een toename in het afgelopen jaar. Meer dan de helft daarvan zegt dat de investering met tussen de 10 en 30 procent is toegenomen. In Nederland zijn de investeringen in digitale beveiliging gemiddeld met 25,8 procent gestegen vergeleken met een jaar eerder. De meeste investeringen gaan naar applicatiebeveiliging, netwerkmonitoring, antivirussoftware en e-mail security.
Vertrouwen in de eigen infrastructuur
Een tweede resultaat uit het onderzoek is dat de ICT-professionals ervan overtuigd zijn dat hun organisatie de juiste maatregelen heeft getroffen. In de vier onderzochte regio’s zegt 91,9 procent er vertrouwen in te hebben dat hun organisatie voorbereid is en goed kan reageren op een cyberaanval. In de Benelux als geheel is dat percentage nog hoger: 98 procent. In Nederland zegt 96,7 procent vertrouwen te hebben.
Toch neemt de cyberdreiging steeds verder toe. Recent werd in de Journal of the American Medical Association een onderzoek gepubliceerd waaruit blijkt dat het aantal jaarlijkse datalek incidenten in de VS met 70 procent is toegenomen. Bij 75 procent van de daarbij gelekte, verloren of gestolen patiëntgegevens ging het om een ‘hack of ICT-incident’. Onderzoekers hebben bovendien ontdekt dat de gegevens van 140 miljoen overleden patiënten op het dark web worden verhandeld.
Zorgorganisaties beseffen dan ook heel goed dat ondanks de extra aandacht en investeringen, schade door cybercriminaliteit niet uit te sluiten valt. “Dat lijkt me een terechte constatering”, zegt Maarten Robbrecht, SE Manager Benelux & Nordics bij Infoblox. “In ons onderzoek komt ook naar voren dat 82 procent van de ICT-professionals in de Benelux zegt dat hun organisaties bereid zijn losgeld te betalen na een aanval met ransomware. Vergeleken met België (96 procent) en Luxemburg (85 procent) ligt dat percentage in ons land wel een stuk lager: 68 procent. In ons land is ruim 23 procent vrij stellig dat de organisatie geen losgeld zal betalen om weer beschikking te krijgen over de gegijzelde bestanden en applicaties.”
Schaduw-ICT is een populair doelwit
Z-CERT dat begin 2018 in Nederland operationeel werd om zorgorganisaties advies en hulp te bieden bij incidenten en de zorgsector als geheel weerbaarder te maken tegen cyberdreiging, speelt nog niet echt een rol. Van de Nederlandse zorgorganisaties heeft bijna 22 procent nog nooit van Z-CERT gehoord of er wel van gehoord, maar geen contact mee gehad. Ruim 33 procent heeft wel contact gehad, maar dat leidde niet tot actie. Minister Bruins voor Medische Zorg onderzoekt momenteel of de deelname van zorginstellingen aan Z-CERT verplicht kan worden gesteld.
Uit het onderzoek van Infoblox komt verder naar voren dat in totaal 75 procent van de respondenten in de vier regio’s aangeeft een compleet beeld te hebben van de totale ICT-infrastructuur, inclusief alle gebruikers, apparaten, applicaties en clouddiensten. Bijna 5 procent weet al dat dat overzicht er niet is en bijna 17 procent zegt dat het overzicht er wel zou moeten zijn, maar dat niet uitgesloten kan worden dat er een gedeelte schaduw-ICT is. In Nederland ziet die verhouding er wel gunstiger uit: 88 procent heeft een compleet beeld, 5 procent weet dat dat overzicht er niet is en een kleine 7 procent kan schaduw-ICT niet uitsluiten. “Dat is wel een punt van zorg”, zegt Rob Bolton. “Een belangrijk deel van de succesvolle cyberaanvallen vindt plaats op het gedeelte schaduw-ICT – 30 procent in 2020 volgens Gartner. Het is dus erg belangrijk dat de complete ICT-infrastructuur continu gemonitord wordt om risico’s te beperken.”
Op strategisch niveau veiligheid aanpakken
De conclusie die uit het onderzoek van Infoblox kan worden getrokken is dat zorgorganisaties zich bewust zijn van de risico’s en maatregelen nemen. En zich ook realiseren dat schade door cybercriminaliteit nooit voor 100 procent uit te sluiten is. Rob Bolton: “Het is goed dat ICT-professionals in de zorg vertrouwen hebben in de mate waarin hun organisatie voorbereid is voor een aanval. Toch is er geen reden voor om nu tevreden achterover te leunen. Het is van levensbelang dat ICT-professionals en de zorgorganisaties voortdurend op strategisch niveau bezig zijn met de veiligheid van hun netwerken en met de veiligheid en privacy van hun patiënten. Cybercriminelen zitten nooit stil, dus de strijd voor cyberveiligheid in de zorg gaat altijd door.”