Hoe zorginstellingen voor effectievere ICT-beveiliging kunnen zorgen

12 januari 2017

Er verschijnen aan de lopende band artikelen, blogs en whitepapers over het groeiende aantal cyberaanvallen op zorginstellingen. Deze worden inmiddels voor lief genomen, ondanks het feit dat de gezondheidszorg een van onze meest cruciale sectoren vormt. Vrijwel iedereen die toegang heeft tot een computer en criminele neigingen heeft, is tegenwoordig in staat om cyberaanvallen uit te voeren. Cybercriminaliteit blijft een onafgebroken stijgende lijn vertonen, zonder tekenen van verzwakking. En het probleem wordt er alleen maar erger op doordat overheidsinstellingen de vraag om beveiligingsonderzoek en vervolging van cybercriminelen niet kan bijbenen. Aanvallen worden uitgevoerd door een decentrale en wereldwijd opererende criminele groeperingen die de zorgsector kunnen overstelpen met aanvallen als niemand hen een halt toeroept.

Een modern fenomeen is doe-het-zelf cybercriminaliteit. Op internet is sprake van een bloeiende zwarte markt, het dark web genaamd, waar klant-en-klare toolkits worden verkocht of verhuurd aangeboden via discussiefora die in het buitenland worden gehost. De afnemers van deze kant-en-klare toolkits staan bekend als script kiddies. Dit zijn personen die slecht over basale programmeervaardigheden beschikken en liever een vooraf samengestelde toolkit willen aanschaffen dan zelf tijd te steken in het ontwikkelen van malware. Want waarom het wiel opnieuw uitvinden als je voor minder dan 500 dollar aan een malware-kit kunt komen waarmee je in korte tijd resultaten kunt boeken? Script kiddies betalen meestal voor deze tookits met bitcoins, een populaire internetvaluta. De malware-kits worden geleverd met gebruikshandleidingen, terwijl speciale websites op het dark web de script kiddies helpen met de ontwikkeling en inzet van malware. Op deze manier kunnen ze met minimaal risico een rendement op hun investering realiseren.

De opmars van ransomware

Nu malware is uitgegroeid tot een gewild en eenvoudig verkrijgbaar handelsobject, zal er nog lang geen einde komen aan de golf van cybercriminaliteit. Hoewel het percentage succesvolle aanvallen per cybercrimineel nog altijd laag is, is er voor het uitvoeren van aanvallen slechts een minimale inspanning vereist. Omdat de pakkans tamelijk laag is, groeit het aantal aanvallen met de dag. En elk succes dat cybercriminelen boeken kan uiterst lucratieve resultaten hebben. Zo worden veel organisaties die hebben nagelaten om de juiste beveiligingsmaatregelen te treffen, getroffen door aanvallen met ransomware. Deze vorm van malware versleutelt hun gegevens, zodat ze niet langer toegankelijk zijn. De getroffen organisatie moet een forse som losgeld betalen in ruil voor de decryptiesleutel waarmee ze weer toegang kunnen krijgen tot hun gekaapte gegevens. De FBI schat dat de cybercriminele onderwereld in het eerste half jaar van 2016 alleen al in de Verenigde Staten een totale omzet van ruim 110 miljoen dollar wist te realiseren. Dit bedrag zal aan het einde van dit jaar meer dan 200 miljoen dollar bedragen. Dit is een direct resultaat van de groeiende populariteit van ransomware, de eenvoud waarmee men daaraan kan komen en het rendement dat kan worden behaald met een succesvolle aanval.

Dit soort aanvallen zijn maar al te vaak gericht op de zorgsector. Ze zorgen voor ingrijpende reputatieschade, resulteren in omzetverlies en weerhouden zorginstellingen ervan om zorg aan patiënten te leveren. Hoewel veel organisaties geneigd zijn om toe te geven aan cyberchantage om opnieuw toegang tot hun gekaapte data te krijgen, is dit niet bepaald de beste reactie. Dit zou slechts als laatste redmiddel moeten worden ingezet.

Vaak wordt aangenomen dat hackers zich toegang tot systemen verschaffen via kwetsbaarheden en achterdeurtjes in de beveiliging. Hoewel daar vaak sprake van is, en deze potentiële aanvalskanalen zeker niet over het hoofd moeten worden gezien, is dit niet per definitie een accurate analyse. De meest succesvolle hacks worden in werkelijkheid uitgevoerd door nietsvermoedende werknemers die geen oog hebben voor bedreigingen als drive-by-downloads, social engineering en spear phishing. Er is slechts één onbeschermde en kwetsbare medewerker voor nodig om een complete organisatie met een simpele muisklik lam te leggen. Elke beveiligingsstrategie zou zich daarom eerst op het personeel moeten richten.

Hoe ziet een effectieve beveiligingsstrategie voor zorginstellingen er nu precies uit?

Een effectieve gelaagde beveiligingsstrategie concentreert zich in de eerste plaats op de grootste bedreiging voor bedrijfsactiva: argeloze en ongetrainde eindgebruikers. Zij vertegenwoordigen een aanvalskanaal dat door veel zorginstellingen over het hoofd wordt gezien. Hun aanname is dat de meeste medewerkers zich bezighouden met patiënten in plaats van technologie. Hoewel hun toewijding aan de patiëntenzorg van cruciaal belang is, vormt een gebrekkig besef van beveiligingsrisico’s de grootste bedreiging voor de organisatie. Het aanbieden van regelmatige beveiligingstraining aan het personeel wordt daarom sterk aangeraden. Als een dergelijk voorlichtingsprogramma op creatieve wijze wordt vormgegeven, is het mogelijk om de bewustheid en alertheid iedereen binnen de organisatie te verhogen zonder verstoring van zorgprocessen.

Een andere manier om een effectieve beveiligingsstrategie te ontwikkelen is om de focus te richten op nieuwe technologieën die ten grondslag liggen aan het Software Defined Data Center (SDDC). Hiermee kunnen beheerders al het dataverkeer dat via hun gevirtualiseerde kernsystemen verloopt isoleren, inspecteren en van kwaadaardige inhoud te ontdoen zonder dat dit nadelige gevolgen heeft voor de toegang of prestaties. Deze technologieën bieden daarnaast het overzicht en de rapportagemogelijkheden die nodig zijn om bedreigingen een halt toe te roepen voordat ze op grote schaal schade kunnen aanrichten.

Een effectieve beveiligingsstrategie moet ook voorzien in diverse lagen beveiligingsmechanismen rond en achter de netwerkrand die bescherming bieden voor bedrijfskritische diensten en legacy systemen en apparatuur die worden gebruikt voor de behandeling van patiënten. Deze legacy technologie zijn niet voorzien van beveiligingsmechanismen die nodig zijn om moderne bedreigingen af te slaan. Een succesvolle versterking van de beveiliging vraagt om de inzet van krachtig presterende next generation firewalls op strategische locaties binnen de infrastructuur die voor minimale verstoring zorgen.

Ten slotte moet een moderne beveiligingsoplossing zich kenmerken door een sterke focus op e-mail- en websitebeveiliging en een veilige ‘sandbox’ bieden waarin onbekende bijlagen en links kunnen worden gescand op malware alvorens eindgebruikers daar toegang toe te verschaffen. Succesvolle aanvallen vinden meestal plaats via onschuldig ogende spamberichten of websites die met malware zijn besmet. De zorgsector is met name kwetsbaar vanwege het hoge aantal dagelijkse e-mailtransacties en de diverse diensten die via internet worden aangeboden aan doorverwijzende artsen, verzekeraars enzovoort. Een effectieve beveiligingsoplossing is in staat om geforceerde aanvallen een halt toe te roepen en verdachte items in real time te inspecteren op kwaadaardige code.

Conclusie

Cybercriminaliteit neemt voortdurend nieuwe vormen aan en toont geen tekenen van afzwakking. Het is daarom van cruciaal belang dat beveiligingsprofessionals organisaties blijven informeren en voorlichten. De gezondheidszorg is een unieke sector. Zijn businessmodel maakt het tot een populair doelwit gemaakt van cybercriminelen die snel, eenvoudig en zonder sporen achter te laten onmisbare data willen stelen die binnen de kwetsbare netwerken van ziekenhuizen en klinieken ligt besloten. Zorginstellingen zouden op zoek moeten gaan naar geavanceerde, interactieve beveiligingsoplossingen en een strategie moeten ontwikkelen die in het teken staat van het dichten van beveiligingslekken en het identificeren van de meest aantrekkelijke aanvalspunten binnen hun organisatie.

Filip Savat, Country Manager Fortinet Belux

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This