Cyberbeveiligingsmarktonderzoek in de gezondheidszorg

Een heel ander virus

Een kort overzicht van de voortdurende strijd om het tij van cyberaanvallen in de gezondheidszorg te keren.

healthcare-informatics.comNaast subversief hacken in de zakenwereld, waar privé-informatie kan worden gecompromitteerd en gevoelige bedrijfsgegevens kunnen worden gestolen, worden cyberbeveiligingsmaatregelen nu gebruikt om de effecten van hacken door buitenlandse entiteiten, die als politiek wapen worden gebruikt, teniet te doen. Het is een steeds ernstiger wereldwijd probleem, en een probleem dat de implementatie van geavanceerde cyberbeveiligingsmethodologieën noodzakelijk heeft gemaakt om de steeds geavanceerdere mogelijkheden van hackers om deze systemen te ondermijnen, tegen te gaan.

“De afgelopen jaren is cyberbeveiliging een groeiende zorg geworden in de gezondheidszorg, met opvallende cyberaanvallen en kwetsbaarheden die verstoringen veroorzaken voor verzekeraars, ziekenhuizen en fabrikanten van medische apparatuur. De inzet voor patiënten is ook hoog, omdat patiëntgegevens verloren kunnen gaan of gemanipuleerd kunnen worden, ziekenhuisdiensten onderbroken kunnen worden of patiënten schade kunnen oplopen door aanvallen die gericht zijn op specifieke apparaten … “ 1

Overheidsinterventie om cybercriminaliteit te bestrijden

De snelle digitalisering van de gezondheidszorg maakt deze sector bijzonder kwetsbaar voor cyberaanvallen en dit feit is het Amerikaanse Congres niet ontgaan. De House Energy and Commerce Committee is onlangs bijeengekomen om cyberbeveiliging in de gezondheidszorg aan te pakken. Information Sharing and Analysis Centers (ISACS) kunnen cruciaal zijn voor het bieden van verbeterde beveiliging voor zorgverleners en voor het dwarsbomen van pogingen van potentiële cyberaanvallers.

Door de interactieve inspanningen van de 24 organisaties die de National Council of ISACs (NCI) vormen, worden grote inspanningen geleverd om "de informatiestroom te maximaliseren via de kritieke infrastructuren van de private sector en met de overheid. Kritieke infrastructuursectoren en subsectoren die geen ISACs hebben, worden uitgenodigd om contact op te nemen met het NCI om te weten te komen hoe ze kunnen deelnemen aan NCI-activiteiten."2

Het is natuurlijk een Hercules-onderneming om het partnerschap tussen publieke en private entiteiten in de gezondheidszorg te versterken met betrekking tot cyberbeveiliging, gezien de talloze industrieën en overheidsinstanties die verantwoordelijk zijn voor het reguleren en leveren van genoemde gezondheidszorg. Het Congres is aangemoedigd om belastingvoordelen en andere prikkels te bieden om bedrijven ertoe aan te zetten zich aan te sluiten bij de voortdurende inspanningen van ISAC's.

Slechte participatie belemmert implementatie van cyberbeveiliging

Helaas is de lage deelnamegraad onder zorginstellingen een hardnekkig probleem in de voortdurende pogingen om effectieve cybersecuritymaatregelen in de sector te implementeren. Volgens Terry Rice, vice president IT risk management en chief information security officer bij Merck, "kunnen bedrijven aarzelen om informatie te delen binnen een ISAC als ze bang zijn dat de informatie niet vertrouwelijk blijft voor de leden."3

"Ik denk dat de meest schokkende statistiek het feit was dat 40% van de personen aan de top van een organisatie – leidinggevenden zoals CEO's en CIO's, en zelfs bestuursleden – zich niet persoonlijk verantwoordelijk voelden voor cyberbeveiliging of de bescherming van de klantgegevens." Dave Damato, Chief Security Officer bij Tanium, over De Squawk Box van CNBC, sprekend over cybersecurity in de gezondheidszorgsector 13

De hoge kosten van cybercriminaliteit in de gezondheidszorg

Afgezien van de voor de hand liggende dreiging van gecompromitteerde patiëntgegevens en andere gevallen van gegevensdiefstal, zijn tekortkomingen in cyberbeveiliging ongelooflijk duur, tot wel $6,2 miljard per jaar, volgens een onderzoeksproject uit 2016 dat werd uitgevoerd door het Poneman Institute. Inzichten die in hun studies naar voren kwamen, lieten zien dat "bijna 90 procent van de zorginstellingen ... de afgelopen twee jaar te maken had gehad met een datalek. Vijfenveertig procent had in die periode meer dan vijf datalekken, met een gemiddelde kostprijs van een cyberaanval van in totaal $2,2 miljoen. De gegevens in elektronische gezondheidsdossiers (EPD's) worden vaak aangehaald als de reden dat gezondheidszorg zo'n aantrekkelijk doelwit is in de ogen van een hacker."4

Hoe veilig mensen ook willen geloven dat hun gezondheidsinformatie in het bezit is van hun dokterspraktijk of ziekenhuis, het is vaak niet het geval. De voortdurende digitalisering van medische dossiers is een dure aangelegenheid voor de gezondheidszorg. Het beveiligen van al die informatie is een andere monumentale uitgave en soms is dit onderdeel van de cyberbeveiligingsvergelijking verwaarloosd in het belang van kostenbesparingen, of gewoon vanwege de grootschalige aard van de algehele onderneming.

De lucratieve aard van cyberdiefstal in de gezondheidszorg

Natuurlijk zijn medische dossiers een gewild product op de zwarte markt en kunnen ze veel geld opleveren van partijen die persoonlijke informatie, factuuradressen en creditcardnummers willen verkrijgen. Hacken kan inderdaad een zeer lucratieve onderneming zijn. Denk aan dit voorbeeld. "Hackers gingen er in maart 2016 vandoor met meer dan 2,2 miljoen patiëntendossiers van 21st Century Oncology in Fort Myers, Florida. Een maand later stal iemand een laptop met 205.748 onbeveiligde patiëntendossiers van Premier Healthcare, LLC." 5

De komst van ransomware

Ransomware is een nieuwe term voor de meeste mensen, die bekend zijn met de recente WannaCry-aanvallen die wereldwijd zijn ontketend, die kritieke infrastructuursystemen lamleggen en aanzienlijke financiële losgelden opeisen van degenen die ten prooi vielen aan de angst en het potentiële verlies van gegevens die kenmerkend zijn voor dergelijke aanvallen. Vooral de gezondheidszorg is kwetsbaar voor ransomware-aanvallen.

“Ziekenhuizen zijn het perfecte doelwit voor dit soort afpersing, omdat ze kritieke zorg bieden en vertrouwen op up-to-date informatie uit patiëntendossiers. Zonder snelle toegang tot medicijngeschiedenissen, operatierichtlijnen en andere informatie kan de patiëntenzorg worden vertraagd of stopgezet, waardoor ziekenhuizen eerder geneigd zijn losgeld te betalen dan het risico te lopen op vertragingen die kunnen leiden tot overlijden en rechtszaken.” 6

Ransomware-malware blokkeert in feite een computer en maakt gegevens ontoegankelijk, tenzij er losgeld wordt betaald aan de dader. Meestal wordt deze betaling gedaan in de vorm van bitcoin. In de meeste gevallen wordt er een tijdslimiet gesteld voor het betalen van het losgeld, anders worden de gegevens van de computer vernietigd. Hoewel de meeste getroffen partijen het losgeld niet betalen, doen er genoeg dat wel om het een bijzonder lucratieve criminele onderneming te maken.

De gezondheidszorg is kwetsbaar voor ransomware-aanvallen omdat, verrassend genoeg, veel ziekenhuizen onvoldoende maatregelen hebben genomen om inbreuken op de cyberbeveiliging te voorkomen. In plaats daarvan hebben de meeste ziekenhuizen hun primaire zorg gericht op het voldoen aan HIPAA-naleving en het voldoen aan federale richtlijnen om de beveiliging van patiëntgegevens te verzekeren. Uiteindelijk zijn de meeste werknemers in de gezondheidszorg gewoonweg niet goed genoeg getraind om cyberaanvallen te herkennen en te dwarsbomen voordat ze plaatsvinden. Zelfs wanneer er voldoende training en cyberbeveiligingsmaatregelen zijn getroffen, is het een voortdurende uitdaging om daders te slim af te zijn die de concurrentie voortdurend een stap voor blijven.

IoT-apparaten lopen ook risico

Om de huidige situatie nog serieuzer te maken, kunnen cyberaanvallen niet alleen computers treffen, maar ook apparaten die ermee verbonden zijn. Medische hulpmiddelen, hart- en glucosemeters zijn slechts enkele voorbeelden van apparaten die kwetsbaar zijn voor cyberaanvallen. Vicepresident Dick Cheney eiste beroemd genoeg dat zijn pacemaker veilig zou worden gemaakt voor cyberaanvallen, zodat kwaadwillenden de werking van zijn apparaat niet op afstand zouden kunnen manipuleren. Eerlijk gezegd kan interferentie met dergelijke apparaten dodelijk zijn voor de patiënten die ervan afhankelijk zijn om te kunnen leven.

Als voorbeeld van medisch hacken: "In een momenteel gebruikte exploit, bekend als MedJack, injecteren aanvallers malware in medische apparaten om zich vervolgens over een netwerk te verspreiden. De medische gegevens die bij dit soort aanvallen worden ontdekt, kunnen worden gebruikt voor belastingfraude of identiteitsdiefstal en kunnen zelfs worden gebruikt om actieve medicijnvoorschriften te volgen, waardoor hackers online medicijnen kunnen bestellen om ze vervolgens op het dark web te verkopen." 7

“Voor zover ik weet zijn er geen patiënten omgekomen door een gehackte pacemaker, maar patiënten zijn wel omgekomen door storingen in hun medische apparaten, configuratiefouten en softwarebugs. Dit betekent dat beveiligingsonderzoek in de vorm van preventief hacken, gevolgd door gecoördineerde openbaarmaking van kwetsbaarheden en oplossingen van leveranciers, mensenlevens kan redden.” Marie Moe, beveiligingsonderzoeker bij SINTEF, in “Ga je gang, hackers. Breek mijn hart” (Wired)13

De FCC heeft nu voorgesteld dat IoT-leveranciers van medische apparaten beveiligingsmaatregelen inbouwen in de producten die ze produceren; het sleutelwoord dat daar wordt gesuggereerd. Het daadwerkelijk opleggen van verplichte beveiligingspraktijken en -vereisten voor die fabrikanten is een tijdrovende klus. Bovendien hebben netwerken die zijn toegewezen om gegevens tussen apparaten en databases door te geven ook een kritieke behoefte aan implementatie en monitoring van cyberbeveiliging.

Een nieuwe president, een nieuwe orde

Er werd veel gespeculeerd over hoe de regering van Trump de kwesties van cyberveiligheid zou aanpakken. Op 11 mei 2017 ondertekende de president een uitvoerend bevel dat een evaluatie van de algehele capaciteiten van het land om criminele cyberactiviteiten te bestrijden, verplicht stelde. Het bevel legt de zwaarste verantwoordelijkheid met betrekking tot cyberveiligheid bij federale agentschappen die risicobeoordelingen moesten uitvoeren en hun respectieve rapporten binnen 90 dagen moesten inleveren. Aanvullende rapporten die de risico's van kritieke infrastructuur onderzochten, moesten zes maanden na de uitvaardiging van het bevel van de president worden ingediend.

“De order vraagt om een herziening van de dreiging die botnets vormen, die websites targeten met automatisch gegenereerd spamverkeer. Mirai-botnet was vorig jaar verantwoordelijk voor aanzienlijke internetstoringen. Maar Access Now zegt dat de order ook het proces van de overheid voor het bekendmaken van kwetsbaarheden en de reactie op datalekken moet aanpakken.”

Risicobeoordelingen

Rampenherstel- en noodplannen

Toegewijde Sec-Op-teams

Controle van zakelijke partners/leveranciers

Betere training van werknemers

Gelaagde verdediging

Verbeterde technische hygiëne

Partnerschappen op het gebied van cyberbeveiliging

Betere software

Forensische adviseurs

Er is geen algemene preventieve maatregel of maatregel die het risico op cyberaanvallen kan elimineren. Ziekenhuizen, klinieken en privépraktijken kunnen alleen maar hopen samen te werken en de voortdurende risico's te beheren in het belang van het beschermen van de privé-informatie en de algemene veiligheid van hun patiënten. Tegelijkertijd zullen voortdurende technologische ontwikkelingen hopelijk de kwetsbaarheid van medische apparaten en computernetwerken aanpakken.

Deze poging om de potentieel rampzalige effecten van cybercriminaliteit in de gezondheidszorg en daarbuiten in te dammen, reikt veel verder dan de Verenigde Staten. Er is momenteel een wereldwijde poging gaande om het tij van cyberaanvallen wereldwijd te keren, of om op zijn minst de impact te minimaliseren van wat een eindeloze poging lijkt namens cybercriminelen om gezondheidszorgsystemen te infiltreren en waar mogelijk chaos te veroorzaken en af te persen, met welke duistere doeleinden dan ook.

Politieke motieven voor cyberaanvallen

Gezien het vijandige politieke klimaat dat heerst tussen Noord-Korea en vrijwel alle andere landen in de beschaafde wereld, is het niet verrassend dat het schurkenland wordt genoemd als waarschijnlijke dader in de recente WannaCry-ransomware-aanvallen en andere kwaadaardige acties die om politieke redenen en met het oog op financiële afpersing worden ondernomen.

“Onderzoekers op het gebied van cyberveiligheid hebben technische aanwijzingen gevonden die Noord-Korea in verband kunnen brengen met de wereldwijde WannaCry “ransomware” cyberaanval die … meer dan 300.000 machines in 150 landen geïnfecteerd. Symantec en Kaspersky Lab zeiden … een stukje code in een eerdere versie van de WannaCry-software was ook verschenen in programma's die werden gebruikt door de Lazarus Group, die door onderzoekers van veel bedrijven zijn geïdentificeerd als een door Noord-Korea gerunde hackoperatie.” 10

Niet alle experts geloven dat de WannaCry-ransomwareaanval werd gemotiveerd door financiële redenen. Sommigen, zoals Matthew Hickey van de Britse cyberconsultants Hacker House, geloven dat de daders simpelweg hoopten "zoveel mogelijk schade te veroorzaken." Dit was zeker het geval in de landen die het zwaarst werden getroffen door de aanval, waaronder India, Taiwan, Oekraïne en Rusland.

Sommigen, zoals de Russische leider Vladimir Poetin, gaven de NSA de schuld van wat hij beweerde dat hun rol was in de WannaCry-ransomware-aanvallen. WannaCry-technologie zou zijn "gebaseerd op een gelekte tool die misbruik maakt van een beveiligingslek in Windows dat afkomstig lijkt te zijn van de NSA. "We zijn ons er volledig van bewust dat de geesten, in het bijzonder die gecreëerd door geheime diensten, hun eigen auteurs en makers schade kunnen toebrengen, als ze uit de fles worden gelaten," zei Poetin in Beijing, volgens de Russische staatsnieuwsdienst Tass.” 11

"Deze volgende president zal de meest geavanceerde en hardnekkige cyberespionageculturen erven die de wereld ooit heeft gezien. Hij moet zichzelf omringen met experts die de toewijzing van krachtige lagen van de volgende generatie verdediging rond onze beoogde kritieke infrastructuursilo's kunnen versnellen." James Scott, Senior Fellow, Institute for Critical Infrastructure Technology 14

Trends in de strijd tegen cyberaanvallen in de gezondheidszorg

Uiteraard zal de dreiging van cybersecurity-inbreuken in alle sectoren van het bedrijfsleven en de industrie niet afnemen. In de gezondheidszorg zal er een voortdurende en onophoudelijke behoefte zijn om technologie en algemene waakzaamheid te verbeteren om rampzalige incidenten in de toekomst te voorkomen. Bepaalde beschermende trends ontstaan die gezien kunnen worden als de toekomst van cybercrime-afschrikking in de gezondheidszorg.

Bovenaan de lijst staat een toenemende migratie naar cloudgebaseerde informatiebeveiligingstools. Deze stap “zal ervoor zorgen dat de tools dynamischer worden bijgewerkt om zero-day-malware aan te pakken. Deze stap naar de cloud zou het uiteindelijk rendabeler moeten maken om deze tools beschikbaar te maken voor alle zorgverleners – groot en klein.” 12

Bovendien zal de gezondheidszorgsector gedwongen worden om meer informatiedeling en samenwerking binnen gezondheidsnetwerken en tussen faciliteiten te stimuleren. Deze wederzijdse cyberbeveiligingsinspanning zal moeilijk te initiëren zijn, aangezien gezondheidsinstellingen vaak nogal geïsoleerd van aard zijn. Er wordt voorspeld dat deze informatiedeling verder zal reiken dan de gezondheidszorg en veel sectoren van het bedrijfsleven en institutionele inspanningen zal omvatten om risico's voor alle betrokkenen te minimaliseren.

Uiteindelijk zal de poging om de gevaren van cyberbeveiligingsinbreuken, ransomware en nieuwe en opkomende bedreigingen op dit gebied te ontkrachten, neerkomen op educatie en bewustzijn op alle niveaus van werknemers in de gezondheidszorg en daarbuiten. Wanneer iedereen goed is opgeleid en waarschuwingssignalen van cyberrisico's ziet en wat ze kunnen doen om deel uit te maken van een overkoepelende poging om het tij van cyberinvasies te keren, zullen de gezondheidszorgsector en alle beschermers van beschaafde informatie-uitwisseling over de hele wereld zinvolle stappen blijven zetten om de schadelijke effecten van cybercriminaliteit in alle sectoren te beperken.

Wij kunnen u helpen bij uw cyberbeveiligingsinspanningen

SIS International Research heeft decennialang op veel niveaus samengewerkt met de gezondheidszorgsector, van zelfstandige huisartspraktijken tot gelaagde en monolithische gezondheidsnetwerken. Ons unieke begrip van de uitdagingen waarmee bedrijven en instellingen in de gezondheidszorgsector worden geconfronteerd, is ongeëvenaard. Wij bieden onderzoek en informatie over belanghebbenden[/fusion_text][fusion_text]

Onze oplossingen omvatten:

Vandaag de dag, met de extra complexiteit van de dreiging die wordt veroorzaakt door toenemende cybercriminaliteit gericht op onze meest gerespecteerde zorginstellingen en de patiënten die zij bedienen, beschouwen wij onze rol met de hoogste mate van ernst. Als een bedrijf dat er trots op is het belang en de veelzijdige aard van de gezondheidszorgsector te begrijpen, zullen wij gezondheidsgerelateerde praktijken, faciliteiten en organisaties blijven bedienen met dezelfde hoogwaardige en uitgebreide onderzoeksmogelijkheden die onze klanten zijn gaan verwachten en eisen. Op deze manier hopen wij ons steentje bij te dragen aan het helpen van de medische gemeenschap om de zeer reële en ernstige dreiging van cyberaanvallen in de gezondheidszorgsector te begrijpen en te bestrijden.

Bij het samenstellen van dit onderzoek zijn de volgende bronnen gebruikt:

• http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf

• https://www.nationalisacs.org/

• http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf

• https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017

• https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017

• https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/

• https://www.wired.com/2017/03/medical-devices-next-security-nightmare/

• https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/

• http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017

• http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded

• www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity

• https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f

• http://www.goodreads.com/quotes/tag/cyber-security