Veel Nederlandse ziekenhuizen zijn nog altijd kwetsbaar voor cyberaanvallen. Het is wachten totdat het misgaat, zeggen beveiligingsexperts tegen NU.nl. Vooral gijzelsoftware vormt een serieuze dreiging.

Vorig jaar werden volgens Z-CERT vijf Nederlandse zorginstellingen getroffen door ransomware, waarbij computersystemen worden versleuteld. Om weer bij de data te kunnen komen, moet doorgaans fors en snel worden betaald. Wie te laat is, raakt de data voor altijd kwijt. En om extra druk uit te oefenen wordt ook steeds vaker gedreigd om persoonsgegevens openbaar te maken. Dat is binnen de zorgsector een groter probleem dan binnen de meeste andere sectoren.

Winstbejag
Dat er ‘maar’ vijf instellingen zijn getroffen is waarschijnlijk niet te danken aan de goede ICT-beveiliging in de zorg. Het zou kunnen dat cybercriminelen uit ethische overwegingen besluiten om geen zorginstellingen aan te vallen. Maar er zijn vanzelfsprekend ook partijen voor wie winstbejag het enige principe is. Die weten wat data waard is voor een zorginstelling en dat er waarschijnlijk bereidheid is om zeer grote bedragen aan losgeld te betalen. Er zijn tegenwoordig goede methodes om schade door ransomware te voorkomen of in ieder geval te minimaliseren, maar die technologie is niet goedkoop en zorginstellingen maken doorgaans weinig budget vrij voor ICT-beveiliging.

Meeste instellingen voldoen niet aan norm
Ethisch hacker Sijmen Ruwhof vertelt aan NU.nl dat hij regelmatig wordt ingeschakeld door ziekenhuizen om de ICT te testen. Hij ziet langzame verbeteringen in de beveiliging, maar de aanvallen worden ook steeds professioneler. Een punt van zorg is dat vaak met verouderde apparatuur en software wordt gewerkt, waarvoor geen beveiligingsupdates meer worden uitgegeven.
Voor informatiebeveiliging in de zorg is de NEN 7510 ontwikkeld, maar volgens de Inspectie Gezondheidszorg en Jeugd voldoet maar een minderheid van de ziekenhuizen daar aan. Volgens Z-CERT wordt er wel hard aan gewerkt om achterstanden op het gebied van informatiebeveiliging in te lopen. Cybersecurityexpert Frank Groenewegen van Deloitte geldt dat echter lang niet voor alle ziekenhuizen. Die onderschatten de dreiging en trekken te weinig budget uit voor goede beveiliging. Dat extra geld komt volgens Ruwhof meestal pas beschikbaar als het te laat is.