Het dreigingsbeeld van 2024 laat zien dat het aantal digitale aanvallen opnieuw is toegenomen. Vooral digitale afpersing, via bijvoorbeeld ransomware of een datalek, vormt een belangrijke dreiging. Daarbij valt op dat élke zorginstelling, ongeacht type en grootte, een doelwit kan zijn. Op Europees niveau is een flink aantal leveranciers getroffen, met directe gevolgen voor zorgorganisaties. Maar ook Nederland blijft niet bespaard.

Hafkamp:’Kijk maar naar de hack bij het laboratorium Clinical Diagnostics, afgelopen zomer, waardoor Nederland te maken kreeg met een gigantisch datalek. Zulke incidenten onderstrepen hoe kwetsbaar zorgorganisaties zijn, specifiek in de leveranciersketen.’

Het gaat hier vooral over dreigingen door misbruik van nieuwe kwetsbaarheden, aldus Hafkamp. ‘Een ander risico zien we bij tweefactorauthenticatie. Dat was vrij lang bestand tegen phishing-aanvallen, maar ook daar hebben cybercriminelen inmiddels zwakke plekken in het authenticatieproces gevonden.’

Kennis bijhouden en delen

Kennis is in de digitale wereld dan ook allesbehalve statisch, zegt Hafkamp. ‘Wij doen ons uiterste best om die kennis goed bij te houden en te delen. In onze kennisbank én real time als een aanval gaande is binnen het Zorg Detectie Netwerk. Wanneer een zorginstelling in Nederland digitaal wordt aangevallen en de technische details deelt, bijvoorbeeld de IP-adressen waarvandaan de aanval plaatsvindt, kunnen we met dit netwerk zo snel mogelijk de rest van de sector waarschuwen.’

‘Zorgorganisaties zijn kwetsbaar, specifiek in de leveranciersketen’

Meldplicht bij incidenten

Nu zijn zo’n 400 zorgorganisaties op vrijwillige basis aangesloten bij Z-CERT. Onder de Cbw vallen bepaalde organisaties straks automatisch onder de wet en hoeven zij zich niet langer aan te sluiten. Die organisaties krijgen rechten waarmee ze een beroep op Z-CERT kunnen doen, maar ook plichten.

Hafkamp: ‘In de Cbw is onder meer een meldplicht opgenomen. Incidenten moeten dan verplicht worden gemeld bij de Inspectie Gezondheidszorg en Jeugd en bij Z-CERT in een centraal meldportaal. Z-CERT krijgt de wettelijke taak om bij een incident te zorgen voor ondersteuning en preventie door informatie te delen.’

De meldplicht geldt overigens alleen voor zorgorganisaties die ‘belangrijk’ of ‘essentieel’ zijn, met minimaal 50 fte of meer dan 10 miljoen euro omzet. ‘Andere organisaties kunnen natuurlijk wel vrijwillig melden. Al met al verwacht ik dat onze doelgroep gaat groeien tot 1.600 tot 2.000 organisaties, van zorgaanbieders tot andere cruciale organisaties zoals medisch diagnostische centra en bloedplasmaleveranciers. Daarna hoop ik dat we het kunnen gaan uitbreiden tot een Europees netwerk, want criminaliteit stopt niet aan de grens. Het actieplan van de Europese Commissie voor de cyberbeveiliging van ziekenhuizen en zorgverleners gaat daar hopelijk aan bijdragen.’

Zorgorganisaties zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren

Informatiebeveiliging op orde

Een andere verplichting in de Cbw is de zorgplicht: zorgorganisaties zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren. Daarbij zal NEN7510 de norm zijn, waar Hafkamp blij mee is: ‘Er komen dus niet meerdere, verschillende normen. NEN7510 is bovendien verplicht voor elke zorgverlener die persoonsgegevens verwerkt, dus vrijwel alle zorgverleners. Alleen, veel kleinere zorgverleners weten dit niet en andere instellingen zien op tegen NEN7510, omdat die meer dan 90 beveiligingsmaatregelen omvat. Daarom pleit ik ervoor om te beginnen met 10 kernmaatregelen, die het meeste effect hebben.’’

Oefenen met cyberaanvallen

Maar hoe weet je wat het meeste effect heeft? ‘Neem bij het oefenen van crisisprocessen cyberincidenten mee! Dus oefen met wat te doen als de deuren op een gesloten afdeling door een storing van het slot gaan, als door een hack geen e-mail meer verstuurd kan worden of de fabrikant de technische staat van MRI-scanners niet meer op afstand kan monitoren.’

Hafkamp is een groot voorstander van red teaming, waarbij ethische hackers de systemen “aanvallen” om te kijken waar kwetsbaarheden zitten. ‘Ik kan je voorspellen: ze komen er áltijd doorheen. Red teaming is niet goedkoop en kan een langdurig traject zijn. Maar op basis daarvan kun je wel heel gericht werken aan digitale weerbaarheid. In de bankwereld is het zelfs verplicht voor de grotere financiële instellingen.’

Wees je bewust en zorg dat je kennis hebt

Aan zorgbestuurders wil Hafkamp meegeven: ‘Wees je bewust dat digitale weerbaarheid jóuw verantwoordelijkheid is. Dus vaar niet blind op je CISO of ICT-afdeling, maar vraag door: hebben wij niet ook Citrix? Hoe weten we zeker dat wij geen lek hebben? Weet wie je belangrijkste leveranciers zijn, van wie je afhankelijk bent en wat er gebeurt als ze 1, 2 dagen of een week niet kunnen leveren. En praat erover met andere zorgbestuurders: hoe pakken zij het aan? Zorg dat je die kennis hebt!’