Eén patiëntendossier kost op de zwarte markt al 50 dollar

Ziekenhuizen staan hoog in de lijst van best beveiligde organisaties. Toch worden ziekenhuizen steeds vaker gehackt. Waarom? En hoe wapenen wij ons tegen hackers? En wat kun je zelf doen om te voorkomen dat je wordt gehackt? We spraken met Erick van Veghel (Chief Information Security Officer) en Nick van der Meijden (teamleider gebruikersondersteuning bij de service-eenheid MICT).

“Je kunt er vanuit gaan dat hackers elke dag wat anders verzinnen en inspelen op de actualiteit, zoals de phishingmails over COVID-19 die erg snel na de uitbraak rondgingen”, vertelt Erick van Veghel. “Daarom kijken wij continu naar wat er in de buitenwereld gebeurt. Zien we een aanval, dan inventariseren we of zo’n soort aanval ook ons kan overkomen en hoe groot de impact dan is. Op basis daarvan bereiden we ons voor op dergelijke aanvallen. We werken hiervoor veel samen met andere organisaties.” De overkoepelende organisatie is Z-CERT: Computer Emergency Response Team voor de zorg. Z-CERT verzamelt informatie over aanvallen en hoe zorgorganisaties zich kunnen beveiligen en deelt deze info met de aangesloten zorgorganisaties. Ongeveer tien medewerkers in ons ziekenhuis kijken vervolgens wat de info betekent voor ons ziekenhuis. Daarnaast houden ziekenhuizen elkaar op de hoogte én werken Eindhovense bedrijven samen, denk hierbij aan ons ziekenhuis samen met Philips en ASML. Het voordeel van deze netwerken is dat we elkaar niet alleen voorzien van info, maar elkaar ook helpen met oplossingen.

Gegevens terugkopen

Ziekenhuizen worden steeds interessanter vanwege het veranderd verdienmodel van hackers. Het merendeel van het geld wordt verdiend via ransomware. Erick vertelt: “Dat werkt als volgt: hackers kraken persoonlijke gegevens en wil je ze terug, dan moet je betalen. Ziekenhuizen zijn afhankelijk van informatie zoals patiëntdossiers. Je kunt geen twee weken zonder want dan kun je niet werken. Op de zwarte markt wordt 50 dollar per patiëntendossier gevraagd en wij hebben 1,1 miljoen patiëntendossiers. Dat kan dus behoorlijk in de kosten lopen.” Andere redenen waarom wij als ziekenhuis interessant zijn, is dat wij een open organisatie zijn. Je kunt zo bij ons binnenlopen en als hacker kun je dus ook op afdelingen komen. Verder werken wij in een keten. We werken samen met huisartsen, apothekers, andere ziekenhuizen, noem maar op. De communicatie tussen de medewerkers van deze organisaties kan onderschept worden.

Hackers willen kennis

Waar hackers ook naar op zoek zijn, is kennis. Erick licht toe: “Hackers achterhalen graag de inloggegevens van medisch specialisten. Als ze de inloggegevens weten, kunnen ze bijvoorbeeld grotere hoeveelheden medicijnen bestellen en zelf ophalen. Dat levert veel geld op. Ook zijn wetenschappelijke gegevens geliefd. Zo moeten wij de gegevens die wij delen met onder andere Medtronic, Philips en academische ziekenhuizen goed beveiligen. Ook kunnen medewerkers afgeperst worden. Als hackers weten welke medewerkers bij gevoelige informatie kunnen, kunnen ze hem/haar afpersen om deze gegevens over te dragen.” Hoe? Daar vertellen Erick en Nick meer over met onderstaande tips.

Durf een melding te maken

Nick vertelt: “De grootste tip is: durf een melding te maken. Vertrouw je een e-mail niet of heb je gegevens ingevoerd en denk je meteen dat het foute boel is, meld het dan. Elke seconde telt bij het melden, dus schaam je vooral niet dat je een fout hebt gemaakt en onderneem actie. Het kan iedereen overkomen”.

Meer tips

  • Ontvang je een mail en vertrouw je het niet? Mail of bel tijdens kantooruren naar MICT.
  • Heb je ergens op geklikt en merk je dat het mis gaat? Bel direct naar MICT. Dit kan ook buiten kantooruren via de telefooncentrale en vraag naar de dienstdoende MICT-collega.
  • Wil je een spammail verwijderen? Druk dan op SHIFT + DELETE, dan is de mail meteen volledig verwijderd en zie je ‘m ook niet terug in de prullenbak.
  • Ben niet te beleefd. Dit is een goede eigenschap van de mens, maar criminelen maken er gebruik van. Vraag gerust door waarom je ergens gegevens in moet vullen. Let op: naam en geboortedatum zijn al genoeg om bijvoorbeeld contracten af te sluiten bij bedrijven.
  • Privé op internet bestaat niet. Informatie kan altijd gedeeld worden. Denk er dus bij het plaatsen van informatie altijd aan of de buitenwereld dit mag weten en stel de controlevraag aan jezelf: ‘Wat als een hacker dit zou weten?’
  • Signaleer afwijkend gedrag. Twijfel je over de inhoud, bel naar de afzender of ga even naar hem/haar toe.

Hackers weten alles, vertelt Nick. “Een van de belangrijkste informatiebronnen is LinkedIn. Onbekenden vinden hier jouw naam, foto, geboortedatum, woonplaats, waar je werkt en hebt gewerkt. Sta er dus niet van te kijken als onbekenden veel over je weten, maar ga wel bewust om met wat je wel/niet plaatst en vooral hoe je het plaatst. Werk je bijvoorbeeld op een financiële afdeling en vermeld je daarbij het bedrijf in de kop, dan heb je kans dat een hacker een mail stuurt, specifiek jouw naam noemt en vraagt om een bedrag over te maken. De hacker kan zich zelfs voordoen als je baas en dat kan er heel geloofwaardig uit zien. Blijf dus altijd alert!