De DDoS-aanval en de digitale weerbaarheid van ziekenhuizen
Vijf vragen over cyberveiligheid van zorginstellingen
1 reactie
Het effect van een grootschalige DDoS-aanval op netwerkorganisatie SURF, afgelopen maand, was ook merkbaar bij ziekenhuizen. Vijf vragen over deze aanval en algemene cyberveiligheid van zorginstellingen.
1 Wat was er aan de hand?
Op 15, 16 en 17 januari hadden Nederlandse onderwijs- en zorginstellingen te kampen met grootschalige DDoS-aanvallen op hun netwerk. Of, beter gezegd, niet de instellingen zelf maar netwerkorganisatie SURF had ermee te maken; deze ICT-coöperatie verzorgt de digitale infrastructuur van de aangesloten leden. Dat zijn voornamelijk universiteiten, alle umc’s, maar ook andere gelieerde organisaties en een aantal niet-academische ziekenhuizen, zoals het Rijnstate in Arnhem.
Een DDoS (Distributed Denial of Service)-aanval is een cyberaanval waarbij een zeer grote hoeveelheid dataverkeer naar een computer of netwerk wordt gestuurd met als doel de werking van een website, server of netwerk te verstoren of plat te leggen. ‘We hebben wel vaker – wekelijks, soms dagelijks – te maken met DDoS-aanvallen’, stelt een woordvoerder van SURF. ‘Die kunnen we meestal opvangen, waardoor onze leden er niets van merken. Maar dit geval ging het om zóveel data, dat het wel merkbaar bleek.’ Aanvankelijk hadden instellingen in het zuiden van het land er last van, waarbij het effect per geval verschilde. Het ging om trager internet, zoals in Maastricht, soms uitval van internet.
De thuiswerkers en pinbetalers in de kantine hadden er even last van, maar patiëntenzorg heeft er niet onder geleden, zo bleek uit een rondgang van ANP. Bij Rijnstate konden bezoekers zich korte tijd niet aanmelden bij de digitale aanmeldzuil, volgens de SURF-woordvoerder; ze moesten in plaats daarvan naar de balie. Volgens Z-CERT, het expertisecentrum voor cybersecurity in de zorg, die de situatie ‘nauwlettend’ heeft gemonitord, heeft de verminderde netwerkcapaciteit geen impact gehad op de uitvoering van de zorg.
2 Houdt deze DDoS-aanval verband met de hack van TU Eindhoven in dezelfde week?
SURF wil zich niet uitlaten over een mogelijk motief of een verband met andere cyberaanvallen. Wel laat het weten dat er aangifte is gedaan bij de politie en dat het bijdraagt aan het onderzoek van het Nationaal Cyber Security Centrum naar de herkomst van de aanvallen.
Een DDoS is een soort ‘digitaal ruitje intikken’, zegt cyberdeskundige Eward Driehuis bij BNR, en, bij Radio 1, ‘relatief makkelijk om te doen’. Experts als hij denken niet dat de cyberaanvallen met elkaar te maken hebben. ‘Het kan wél te maken hebben met “copycats”: mensen die elkaar nadoen omdat ze geïnspireerd zijn door elkaars acties.’ Volgens hem is het makkelijk en goedkoop om met DDoS servers plat te gooien. ‘Uiteindelijk is dat waarschijnlijk onschuldig vandalisme, waar niets mee bereikt kan worden. Er kunnen geen geheime gegevens of wachtwoorden worden gestolen’, zegt Driehuis. ‘Alleen het internet voor gebruikers wordt vertraagd. Dat is onhandig, maar niet gevaarlijk.’
3 Met de schrik vrij dus, maar wat zegt dit over DDoS-aanvallen en de veiligheid (digitale weerbaarheid) van ziekenhuizen?
Nederlandse ziekenhuizen waren onder meer in 2023 doelwit van een DDoS-aanval. Later bleken daar pro-Russische ‘hacktivisten’ achter te zitten, een groepering die bekendstaat als Killnet. Deze groep had DDoS-aanvallen aangekondigd op onder meer ziekenhuizen in landen die Oekraïne helpen in de oorlog tegen Rusland.
Wereldwijd nemen DDoS-aanvallen voortdurend in omvang en geavanceerdheid toe, maar in 2023 versnelde deze trend in een onvoorzien tempo, stelde het Amerikaanse Health Sector Cybersecurity Coordination Center (HC3) vorig jaar mei in een rapport. Dit overheidsinstituut dat valt onder het Amerikaanse ministerie van Volksgezondheid wijst op ‘cybercriminele groepen, geopolitiek gemotiveerde hacktivisten en kwaadwillende actoren’ die gebruikmaken van DDoS-aanvallen op onder meer ‘alledaagse digitale en internet of things-apparaten’. Dit zijn zogenoemde ‘slimme apparaten’, die via internet aan elkaar verbonden zijn. De aanvallen worden uitgevoerd op bedrijven, overheidsinstellingen en, zo stelt het rapport, ‘meest verontrustend, op kritieke maar kwetsbare openbare infrastructuur, waaronder ziekenhuizen’.
Z-CERT ‘herkent de beschreven trend in algemene zin’, maar wil graag ook de nodige nuance aanbrengen. Erik Burger, manager operations bij Z-CERT: ‘Hoewel DDoS-aanvallen wereldwijd zijn toegenomen in aantallen en in volume, stond de zorgsector dit jaar niet in de top 10 van meest aangevallen sectoren.’ Hij onderstreept dat de Nederlandse zorgsector in 2024 mínder last had van DDoS-aanvallen dan in 2023.
Een andere observatie, uit het Amerikaanse rapport: ‘Een van de grootste verschuivingen in het DDoS-bedreigingslandschap is de opkomst van hacktivistische groeperingen en de opkomst van politieke motieven, in plaats van financiële motieven, als belangrijkste drijfveer voor DDoS-aanvallen.’ Burger zegt in reactie hierop dat Z-CERT alert is op geopolitieke ontwikkelingen, maar daarbij heeft het nog geen toename van het aantal incidenten bij ziekenhuizen waargenomen.
De zorgsector is een populair doelwit voor hackers
4 Wat zouden ziekenhuizen en andere zorginstellingen van deze en andere cyberaanvallen moeten leren?
Z-CERT verwacht dit jaar enkele DDoS-incidenten, met geringe impact op Nederlandse zorginstellingen. Wellicht van groter belang – want: grotere potentiële schade – zijn andere cyberaanvallen, zoals een datalek, zegt Burger. Dat kan komen door een tactiek die in digitale kringen een adversary-in-the-middle attack heet. ‘Dat begint met een phishingmail, die heel realistisch overkomt. Je bent geneigd te klikken, waardoor je ongewild data prijsgeeft. Ransomware, de gijzeling van data, waarbij een bedrijf wordt afgeperst, is een tweede groter risico.’ Dit is actueel voor zorginstellingen wereldwijd, zoals onlangs in Frankrijk. De zorgsector is een populair doelwit voor hackers, omdat bij ICT-leveranciers in de zorg grote hoeveelheden persoonlijke gegevens worden opgeslagen.
De Europese Commissie presenteerde recent een actieplan om de cyberbeveiliging van ziekenhuizen te versterken. Een van de maatregelen die daarin staat aangekondigd is dat Europa een Cybersecurity Support Centre krijgt voor ziekenhuizen en zorgverleners. Daarmee moet het aantal cyberaanvallen op ziekenhuizen en andere zorginstellingen komende jaren verminderen. In 2023 rapporteerden Europese landen 309 grootschalige cyberaanvallen gericht op zorginstellingen – meer dan in elke andere sector.
Z-CERT ‘ondersteunt dit actieplan van harte’.
5 Hoe nu verder?
Wat Nederlandse cyberwetgeving betreft: later dit jaar treedt de Cyberbeveiligingswet in werking, een uitwerking van de NIS2 in Nederlandse wetgeving. De NIS2 is een richtlijn die is opgelegd door de Europese Commissie, en gaat over de beveiliging van netwerk- en informatiesystemen. Naar verwachting treedt de Cyberbeveiligingswet pas in het derde kwartaal van 2025 in werking. Een belangrijk gevolg hiervan is dat partijen die het slachtoffer zijn van een cyberaanval dit zullen moeten melden én moeten aantonen dat ze voldoende maatregelen nemen bij een storing. In de tussentijd – ter voorkoming van DDoS-aanvallen – heeft Z-CERT een aantal aanbevelingen voor zorginstellingen. Sommige zijn wellicht niet in lekentaal te volgen, zoals ‘patch je kwetsbaarheid’ (ofwel: zoek de zwakke plek in je IT-beveiliging), maar de belangrijkste tip is volgens expert Burger: ‘Abonneer je op onze “alerts” en reageer als organisatie meteen op de aanwijzingen. Een snelle informatie-uitwisseling is cruciaal.’
Lees ook-
Marieke van Twillert
Marieke van Twillert is sinds eind 2015 journalist bij Medisch Contact. Arbeidsmarkt en internationale gezondheidszorg hebben haar speciale aandacht, maar ze volgt ook het levenseindedebat, medische technologie en internationale gezondheid. Marieke is een van de presentatoren van MC de Podcast en schrijft geregeld een bijdrage voor de rubriek Media en Cultuur.
R. Verheijen
Anesthesioloog, Enschede
Cybersecurity:De gevaren worden steeds belicht vanuit extern :externe hackers
Maar intern dan? hoe makkelijk is het bij een insite job via een ict-er van de zorginstelling?
Of via chipsoft; een medewerker van dit bedrijf plaatst ongezien randsomewa...re die wordt verspreid bij een update van HIX
Dan heb je in een keer 70% van de Nederlandse ziekenhuizen in de greep.
Worden alle medewerkers goed gescreend?