Waarom 88% van alle ransomware-aanvallen zich richt op de zorgsector

September bracht ons een trieste primeur: in een ziekenhuis in Düsseldorf viel het eerste overlijden te betreuren dat direct verbonden was met een cyberaanval. Omdat een ransomwarepakket, dat was binnengekomen via een simpele phishingmail, de servers van het ziekenhuis had onderbroken, konden geen nieuwe patiënten worden ingeschreven. De vrouw kon daardoor niet worden opgenomen op de spoedafdeling en overleed op weg naar een naburige instelling.

Ziekenhuizen vormen een populair doel voor cyberaanvallen. Dit jaar vielen in onder meer de Verenigde Staten en Tsjechië al verschillende ziekenhuizen en volledige ziekenhuisgroepen ten prooi aan hackers. De Belgische overheid voelde zich zelfs genoodzaakt om in maart een officiële waarschuwing uit te sturen naar alle zorginstanties in het land.

Maar niet alleen ziekenhuizen worden geviseerd: in januari van dit jaar zorgde een lek in een woonzorgcentrum in Willebroek ervoor dat de gemeentelijke diensten van de stad ruim een week buiten dienst waren door een succesvolle ransomware-aanval.

Is er een organisatie waar ‘kritieke infrastructuur’ meer van toepassing is dan in een ziekenhuis? Zoals het voorbeeld uit Düsseldorf toont: als patiënten geen hulp krijgen omdat de systemen van de spoedafdeling buiten werking zijn, kunnen mensen sterven. Ziekenhuizen hebben hun netwerken en apparaten nodig om snel gegevens te kunnen delen tussen dokters en verpleegkundigen, om patiëntendossiers te raadplegen en om ervoor te zorgen dat levensbelangrijke toestellen kunnen functioneren.

Indien zo’n instelling dan niet beschikt over goede back-ups, of de ommezwaai niet snel genoeg kan maken, komt deze al snel in de verleiding om het losgeld te betalen. Begrijpelijk: de absolute prioriteit is levens redden. Een organisatie die geen andere keuze heeft dan te betalen, is een gedroomd doelwit voor hackers.

Bovendien maken ziekenhuizen vaak deel uit van een grotere groep. In België en Nederland blijft dat vaak beperkt per regio maar in het Verenigd Koninkrijk of de Verenigde Staten bestaan zulke groepen soms uit honderden ziekenhuizen. Als een hacker zijn voet bij één ziekenhuis tussen de deur krijgt, kan hij van daaruit makkelijk een collega uit een ander ziekenhuis besmetten – dat heet dan spear phishing.

Amerikaans onderzoek toont aan dat maar liefst 88% van alle ransomware-aanvallen gericht zijn op ziekenhuizen. Vroeg of laat glipt er dus eentje door de mazen van het net. Ook in ons land.

Begin 2020 dook een phishingmail op in een woonzorgcentrum in Willebroek. Voor iemand er erg in had, lagen alle computers van het gemeentebestuur plat. Het escaleerde snel en dat is niet verwonderlijk: ook hier blijkt dat eens een hacker binnen de muren van een netwerk zit, hij nog moeilijk te stoppen valt.

Een woonzorgcentrum is een interessant doelwit voor een hacker omdat het opnieuw verbonden is met een netwerk van interessante doelwitten. In dit geval is dat een gemeentebestuur of woonzorgcentra binnen dezelfde groep.

De coronapandemie heeft zeker bijgedragen tot de huidige toename van aanvallen op de zorgsector. Uit onze phishingsimulaties blijkt al maandenlang dat nagemaakte nieuwsberichten – of richtlijnen om veilig te functioneren, al dan niet vanuit de overheid – in de top drie staat van geslaagde phishingpogingen. Mensen willen zich informeren. Ze hebben nood aan duidelijke informatie en soms neemt de onzekerheid gewoonweg over.

De waarschuwing die de Belgische overheid in maart uitstuurde richtte zich ook specifiek tot die bedreiging: het zorgpersoneel kreeg te veel werk op haar bord, waardoor de aandacht minder bij IT-veiligheid lag. Hackers schakelden in deze periode ontzettend snel en bombardeerden de zorgsector massaal met valse corona-informatie. Onder meer in de VS en Tsjechië leidde dat tot geslaagde ransomware-aanvallen. Ruim een halfjaar later is deze dreiging allesbehalve afgewend.

Het is een mythe dat alleen personeelsleden zonder concrete anti-phishingopleiding vatbaar zijn voor phishingaanvallen: uit onze data blijkt dat iédereen risico loopt, van verpleegkundige of dokter tot administratief medewerker. Phishing is tegenwoordig zo grondig uitgewerkt dat het een erg geoefend oog vraagt om de beste pogingen te ontmaskeren.

Het is dan ook een zware misvatting om ervan uit te gaan dat (enkel) de meest laaggeschoolde werknemers van een organisatie het vatbaarst zijn voor een aanval. In het geval van een ziekenhuis heeft het administratief personeel bijvoorbeeld meer ervaring met phishingmails omdat ze er vaker mee in aanraking komen. De prioriteiten van dokters liggen helemaal anders, waardoor zij misschien net meer geneigd zijn om te klikken. Bovendien blijkt dat zelfs wie een doorgedreven training onderging, nood heeft aan maandelijkse bijscholing. Zoniet loopt een onderneming het risico even kwetsbaar te zijn als voor deze opleiding.

De mens is de zwakste schakel in cybersecurity. Om risico’s zoveel mogelijk te vermijden, is het noodzakelijk dat iedereen binnen een onderneming regelmatig opleiding krijgt in de basishygiëne van digitale veiligheid. Een seminarie of workshop is een goed begin, maar niet meer dan dat.

Mensen hebben herhaling nodig: alleen zo doen ze de nodige ervaring op die hen wapent om mogelijke gevaren te herkennen, hoe ermee om te gaan en wat ze moeten doen in geval van een data breach. Elk profiel binnen de organisatie moet hieraan deelnemen, van administratieve medewerker tot verpleegkundige of chirurg.

Daar bevindt zich de expertise van Phished. Met behulp van ons geautomatiseerde phishingplatform leren dagelijks meer dan 50.000 medewerkers verschillende types cyberaanvallen te identificeren en hoe er correct mee om te gaan.