"We will share your sensitive data with the public, if you don’t cooperate": het is een voorbeeld van wat ransomware slachtoffers te zien krijgen wanneer hun computer is gegijzeld. Als er één plek is waar een ransomware aanval grote gevolgen heeft, dan is het wel de zorgsector. Inmiddels zijn in Nederland de meeste meldingen van datalekken afkomstig uit de zorg. Wat zijn de consequenties als privacygevoelige data van de patiënt op straat komt te liggen? En is er wat tegen te doen?
Het is oktober 2020 als tienduizenden Finnen een email ontvangen waarin staat dat hun medische data publiekelijk online verschijnt als ze niet binnen 24 uur €200,- in bitcoin betalen. Bij het missen van de eerste deadline, moest er binnen 48 uur €500,- betaald worden. De hackers hebben een lek ontdekt bij het Finse psychotherapiecentrum Vastaamo en maken zich meester van medische dossiers. De buitgemaakte data bestaat uit de volledige namen van patiënten, hun sofinummers, de naam van de kliniek waar ze zijn behandeld en de transcripties van therapiesessies.
30.000 slachtoffers
Vastaamo werd in 2009 opgericht als een digitale aanbieder van de GGZ. Gebruikers konden een vraag stellen aan een gekwalificeerde therapeut en kregen binnen 24 uur antwoord. De vraag vanuit cliënten naar fysieke therapie groeit en zo opent Vastamoo de deuren van steeds meer fysieke vestigingen - uiteindelijk meer dan 25 door het hele land. Hoewel de afspraak zelf face-to-face plaatsvindt, blijven alle andere zaken volledig digitaal en geautomatiseerd.
Omdat de oprichter niet tevreden is over bestaande elektronische patiëntendossiers, wordt er zelf een EPD ontwikkeld. Dat is eind 2012 klaar, rond dezelfde tijd als de eerste Vastaamo kliniek in Helsinki wordt geopend. Zowel de fysieke als de virtuele zorg die Vastamoo levert wordt deels vergoed vanuit het nationale zorgsysteem en nieuwe patiënten worden via slimme digitale advertentiecampagnes benaderd. Het gaat Vastaamo bijna 10 jaar lang voor de wind, tot dit catastrofale datalek.
Het was een grote schok dat juist dit zorgbedrijf zo zwaar was getroffen. Finland geldt als één van de voorvechters van e-health. Het is stevig verankerd in het Finse zorgsysteem. Echter, in vergelijking met andere landen bestaat er in de Finse cultuur nog een groot taboe op het delen van fysieke en geestelijke ongemakken met derden. Psychotherapie is geen taboe, maar het erover praten wel. Daarom is privacy het belangrijkste fundament binnen het Finse digitale zorgsysteem.
Veel (ex) patiënten wisten niet dat hun gevoelige gesprekken met de therapeut digitaal werden opgeslagen op de servers van Vastaamo. Zo’n 30.000 (voormalig) patiënten ontvingen de afpersingsemail. Ongeveer tachtig procent deed aangifte bij de politie. De slachtofferhulp in Finland (RIKU) zag sinds de hackaanval een stijging van 50 procent van het aantal aanvragen tot bijstand. Slachtoffers lieten weten bang te zijn nog jaren te worden achtervolgd vanwege de openbaarheid van hun medische geschiedenis.
Professionele hackgroepen
Inmiddels weten we dat steeds meer patiënten slachtoffer zijn van een lek bij een zorgaanbieder. Dat komt niet als verrassing. Het wereldwijde gebruik van digitale zorg groeit snel. In de eerste helft van dit jaar werd wereldwijd voor meer dan 15 miljard dollar geïnvesteerd in e-health start-ups. Dit was een stijging van 138 procent ten opzichte van het eerste half jaar van 2020. Het zijn met name jonge Amerikaanse start-ups die door grote investeerders worden gevonden en consumenten weten te binden. Maar meer aanbod van meer start-ups betekent ook een groter risico op cyberaanvallen.
Helaas kun je bij een hacker niet meer denken aan een lone wolf op een zolderkamer. Het zijn professionele organisaties, bestaande uit een keten van onafhankelijk opererende partijen. Dit wordt ook wel de ransomware kill chain genoemd. Laten we als voorbeeld een ziekenhuis nemen. Het begint bij de initial access broker. Dit is een digitale inbreker, die zichzelf toegang verschaft tot een slecht beveiligd ziekenhuissysteem. Hij of zij zoekt fouten in de beveiligingssoftware, kraakt wachtwoorden en stuurt phishing mails naar gebruikers op het digitale systeem. In feite lopen deze brokers alleen virtueel rond in het ziekenhuis en kijken ze of ergens een deur openstaat, die toegang geeft tot bijvoorbeeld het patiëntenarchief. Ze gaan zelf niet naar binnen, maar verkopen slechts de toegang tot het ziekenhuissysteem.
Hackers en ontwikkelaars
De hackers die daadwerkelijk de digitale patiëntendossiers stelen, worden ook wel ransomware affiliates genoemd. Ze kopen speciale ransomware in, zodat ze in staat zijn om het ziekenhuis digitaal te gijzelen. Dit schaffen ze aan bij ontwikkelaars. De hacker werkt zich binnen het digitale systeem van het ziekenhuis langzaam omhoog. Het doel is om een admin account over te nemen, zodat ze de servers en accounts kunnen gijzelen. Vervolgens versleutelen ze de online omgeving en stelen ze de data. Speciale datamanagers nemen alle digitale data van het ziekenhuis door en zorgen dat het gestructureerd wordt geüpload, wanneer het ziekenhuis niet over de brug komt met het losgeld.
Een team van onderhandelaars onderhoudt het contact met het ziekenhuis. Ze geven aan hoe de betaling plaatsvindt. De onderhandelaars zijn professioneel opgezette chat operators die in verschillende diensten werken en 24 uur per dag te benaderen zijn. In sommige gevallen is een heuse klantenservice beschikbaar voor het slachtoffer. Verloopt het proces te traag, dan oefenen hackers vaak meer druk uit. Ze bedreigen het ziekenhuis en publiceren een klein gedeelte van de gevoelige data. Met dit drukmiddel hopen ze alsnog het losgeld te ontvangen.
Het zijn de ransomware ontwikkelaars en de hackers die aan de touwtjes trekken binnen de keten. Ze hebben het doel om het computersysteem te gijzelen en om data te stelen. Met twee ijzers in het vuur kunnen ze jarenlang een zorgaanbieder lastigvallen. De hacker ontvangt gemiddeld driekwart van de buit en de ontwikkelaar een kwart. Minus de kosten voor de andere betrokkenen in de ransomware killchain.
Gelekt medisch dossier lezen?
Wat gebeurt er met medische dossiers (of andere gegevens) die worden gehackt? Vaak geldt deze data met name als drukmiddel richting de gehackte organisatie, burger of patiënt. Voor een organisatie kan de (reputatie)schade groot zijn en kan een dergelijk incident zelfs leiden tot een faillissement. Voor burgers kan die imago-schade natuurlijk ook gelden als gegevens op het web belanden, al is natuurlijk wel de vraag wie precies interesse heeft in jouw dossier. Dat is uiteraard voor beroemdheden, een groep die hackers steeds meer in het vizier krijgen, wel een ander verhaal. In een wereld vol social media is imagoschade snel opgelopen. Met name bij degenen die graag de publiciteit opzoeken.
Lang niet altijd worden slachtoffers van een datalek afgeperst. Hackers verkopen veel gestolen data ook direct door aan de hoogste bieder. Afgelopen winter bleken persoonsgegevens, inclusief medische details, van miljoenen Nederlanders te zijn gelekt uit 2 coronasystemen van de GGD. De gestolen data was te koop via de versleutelde app Telegram. Geïnteresseerde kopers zetten deze persoonsgegevens in om identiteitsfraude te plegen of via phishing bankgegevens te ontfutselen. De verwachting is dat deze vorm van cybercrime toeneemt nu we steeds meer digitale toepassingen gebruiken.
Afhankelijke IT-systemen
De zorgsector blijft de meest kwetsbare sector als het om data-incidenten gaat. Waarom? In tegenstelling tot bijvoorbeeld de financiële sector gebruiken veel zorgaanbieders nog steeds gedateerde systemen. Daarnaast wordt steeds meer medische apparatuur met het internet verbonden. Er is natuurlijk ook de afhankelijkheid van externe hardware en software uit het buitenland. Vorige maand nog kreeg de Amerikaanse softwareleverancier Kaseya te maken met ransomware op de ICT-beheersoftware. Deze software wordt door meer dan 40.000 bedrijven wereldwijd gebruikt. Uiteindelijk leken slechts een paar honderd bedrijven slachtoffer en viel de schade mee. Het geeft wel aan hoe afhankelijk we zijn geworden. Tenslotte leeft er in de zorgsector veel 'interessante' data. Er kan vaak meer worden onthuld dan alleen namen en adressen, maar ook medische gegevens die de reputatie van slachtoffers mogelijk kunnen aantasten, waardoor de bereidheid om te betalen hoger is.
Vanwege ransomware incidenten, zoals in Finland, groeit de bekendheid met cybersecurity in de zorg. Daarnaast is er de opkomst van landelijke initiatieven die een veilige online zorgsector nastreven. In 2017 werd in Nederland bijvoorbeeld de stichting Z-CERT opgericht. Het is een initiatief van het Ministerie van VWS, de GGZ, De Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Nederlandse Federatie van Universitair Medische Centra (NFU). Vanuit de Wet beveiliging netwerk- en informatiediensten zijn ze aangewezen als computer emergency response team voor de gehele zorgsector. De belangrijkste missie is de zorg veiliger maken en cybercriminelen weg te houden bij ziekenhuizen en andere zorgaanbieders. In België is het Computer Emergency Response Team (CERT.be) als operationele dienst opgezet. Vanuit het overkoepelende Centrum voor Cybersecurity België (CCB) zijn ze verantwoordelijk voor de cybersecurity in vitale sectoren, waaronder de gezondheidszorg.
Maatschappelijke discussie
Nu steeds meer zorgaanbieders en commerciële partijen digitale zorgtoepassingen gebruiken, neemt de kans op een cyberaanval toe. Dit lijkt onvermijdelijk. Het vraagt om een maatschappelijke discussie, zoals dat het geval was in Finland. Velen zullen zeggen: "ik heb niets te verbergen". Echter, dit is niet het uitgangspunt voor hackers. Die verkopen complete datasets met medische data aan de hoogste bieder en zijn direct of indirect uit op geld. Of het nu om afpersen, phishing of identiteitsfraude gaat. Dit gaat ten koste van de degene waarvan de gegevens zijn gelekt, maar ook de gehackte zorgaanbieder. Die zal ook een prijs moeten betalen voor de reputatieschade, het herstel van de cybersecurity en het vertrouwen van de patiënt.
Voor Vastaamo viel er niets te redden. De onderneming vroeg begin dit jaar het faillissement aan. Inmiddels lopen de wereldwijde cybersecurity kosten in de biljoenen. Deze rekening betalen we met z’n allen, dus we kunnen op z’n minst het fenomeen cybersecurity in de zorg hoger op de agenda zetten.
Plaats een Reactie
Meepraten?Draag gerust bij!