‘Er is een risico dat een digitaal incident bij een veel gebruikte leverancier, sectorbrede impact kan hebben. Er zijn meerdere voorbeelden uit het buitenland bekend waarbij leveranciers van Electronische Patienten Dossiers geraakt werden en groot aantal zorginstellingen gedurende langere tijd niet bij hun patiëntdata konden. Ook in Nederland zijn er serviceproviders die EPD-diensten verlenen aan een groot aantal zorginstellingen. Z-CERT beoordeelt deze ketenafhankelijkheid voor de zorgsector als een risico.
Ketenafhankelijk in de zorg is een serieus risico
Cyberaanvallen via de keten van leveranciers zijn niet nieuw, maar dat maakt het onderwerp niet minder serieus. Het Financieel Dagblad bracht de ketenafhankelijkheid begin maart weer onder de aandacht. Ook de zorgsector is kwetsbaar. Met name ziekenhuizen zijn afhankelijk van tientallen, soms wel 100 verschillende leveranciers. In het CyberSecurity Dreigingsbeeld Zorg 2020 schreven Z-CERTs analisten hier het volgende over.
Criminelen
In de zorgsector speelt ketenafhankelijkheid ook nog op een ander niveau, bijvoorbeeld dat van onderzoeksdata. Data van lopende klinische onderzoeken staat meestal niet bij ziekenhuizen zelf maar bij externe dienstverleners die gespecialiseerd zijn hierin. Een cyberincident bij zo’n leverancier leidt tot veel ellende bij een reeks zorginstellingen en in het ergste geval tot datalekken.
In oktober vorig jaar was werd eResearchTechnology; een wereldwijd bedrijf dat gespecialiseerd is in klinische diensten geraakt door een ransomware aanval. Deze aanval verstoorde niet alleen de processen van ERT zelf maar ook dat van haar klanten: QVIA, dat AstraZeneca’s Covid vaccin testte en Bristol Myers Squibb, een medicijnfabrikant.
Datalekken
Lang niet bij alle ketenincidenten vinden datalekken plaats maar de kans erop is groeiende mede omdat steeds meer patiëntendata staat bij externe partijen. Volgens het onlangs verschenen rapport van de Autoriteit Persoonsgegevens kwamen de meeste datalekken in 2020 uit de sector gezondheidszorg en welzijn (30%).
Wat kan je er tegen doen?
Het is belangrijk dat zorginstellingen hun leveranciers niet blindelings vertrouwen maar eisen stellen aan hun informatiebeveiliging. Zo zou de leverancier periodiek moeten aantonen dat het informatiebeveiliging op orde heeft, voldoet aan de geldende wet- en regelgeving en, wanneer van toepassing, in het bezit is van certificeringen zoals bijvoorbeeld de NEN 7510. Ook zouden leveranciers periodiek pentests en vulnerability scans moeten uitvoeren als zij persoonsgegevens van zorginstellingen verwerken. Deze afspraken moeten de partijen vastleggen in een verwerkersovereenkomst.
Z-CERT adviseert haar deelnemers om de IT-omgeving in te richten volgens het ‘zero trust’ principe (NCSC UK, 2019) . Hierbij houd je er van tevoren al rekening mee dat je leverancier gehackt is en ontwerp je je processen en IT-omgeving op zo’n manier dat een aanvaller snel opgemerkt zal worden en dat hij weinig schade aan kan richten.
Daarnaast zijn er drie maatregelen waarvan Z-CERT denkt dat zij de weerbaarheid van de zorgsector aanzienlijk zouden verhogen:
- Ontsluit de RDP nooit aan het internet,
- Stop of reguleer het gebruik van office macro’s
- Implementeer applicatie allowlisting.
Het mooie van deze maatregelen is dat met relatief weinig geld, de zorg haar cyberweerbaarheid aanzienlijk verhoogt.
In het najaar van 2020 hield Z-CERT een webinar over het onderwerp leveranciersmanagement. Naar aanleiding hiervan verscheen een artikel in Zorgvisie:
Hierin kwam ter sprake dat het overigens lang niet altijd dreigingen zijn van buitenaf die digitale verstoringen veroorzaken. Ook leveranciers die zonder afspraak een update draaien, kunnen de boel op een polikliniek behoorlijk verstoren.