Cybersecurity Dreigingsbeeld voor de zorg 2024

Z-CERT ziet in 2024 opnieuw een toename in het aantal digitale aanvallen tegen zorgorganisaties. Criminele hackers, digitale spionnen en hacktivisten zien zorgorganisaties als legitiem doelwit om af te persen en gegevens van te stelen; ongeacht de gevolgen, zoals het verstoren van zorgprocessen. In 2024 hebben meerdere digitale aanvallen plaatsgevonden tegen zorginstellingen met impact op de zorgprocessen in Nederland en elders in Europa.

Digitale afpersing: geld of je leven

Z-CERT heeft in 2024 verschillende vormen van digitale afpersing waargenomen, zoals via ransomware en datalekken. Zowel lokale IT als ook cloudomgevingen waren het doelwit. Wat opvalt is dat elke zorginstelling, ongeacht type en grootte, een mogelijk doelwit is.

Digitale aanvallen op de leveranciersketen

Naast de zorgorganisaties zijn ook een flink aantal Europese en Amerikaanse leveranciers van zorgorganisaties getroffen. Verstoring in de processen door ransomware en datalekken bij deze leveranciers heeft directe gevolgen gehad voor de betrokken zorgorganisaties. Zo heeft een ransomware-aanval op een pathologische dienstverlener in Engeland als impact gehad dat huisartsen geen bloedtesten konden afnemen en duizenden poliklinische afspraken moesten worden uitgesteld.

Behalve digitale afpersing ziet Z-CERT ook DDoS-aanvallen als een verhoogd risico op het functioneren van de leveranciersketen, bijvoorbeeld wanneer een EPD-leverancier wordt geraakt. Nederlandse zorgorganisaties waren in 2024, in tegenstelling tot 2023, zelf minder vaak het doelwit van DDoS-aanvallen.

Gelegenheid maakt de digitale dief

Afpersing met ransomware en datalekken is meestal het gevolg van opportunistische digitale aanvallen, waarbij kwaadwillenden bijvoorbeeld succesvol gebruik maken van kwetsbaarheden in soft- en hardware. Daarnaast blijven hackers nepberichten versturen naar zorginstellingen om persoonlijke informatie te stelen. Tot slot zijn ook digitale incidenten veroorzaakt door (ex-)medewerkers en digitale financiële fraude terugkerende fenomenen.

Spionage: privacy en technologie

Digitale spionnen richten zich in de Nederlandse zorgsector vooral op het stelen van wetenschappelijk onderzoek, intellectuele eigendommen en grote hoeveelheden biomedische- en persoonlijke data. Daarnaast ziet Z-CERT in toenemende mate risico’s met betrekking tot hard- en software afkomstig uit landen met een geavanceerd en omvangrijk offensief cyberprogramma, zoals Rusland, China, Noord-Korea en Iran.

Trends: aanval op de cloud, AI-gedreven nepberichten

Omdat gegevens zoals die van medewerkers, patiënten en onderzoek naar de cloud gaan, richten kwaadwillenden hun aandacht op het hacken van de cloudbeveiliging. AI-modellen zijn nu al net zo goed als mensen in het maken van overtuigende nepberichten voor phishing campagnes. Z-CERT denkt dat AI hierin steeds realistischer wordt en steeds vaker hiervoor gebruikt zal worden.

De dreigingsradar geeft de tijd, de impact en daarmee de ernst van de dreiging weer voor de zorg. De plaats van de diverse bolletjes in de binnenring, middenring of buitenste ring zegt iets over wanneer iets een dreiging zal zijn.
De grafiek is ingedeeld in drie taartpunten die iets zeggen over de weging van de dreiging. In de rechter taartpunt staan de ernstigste dreigingen. Hoe meer de bolletjes naar links staan, hoe lager de dreiging is die ervan uitgaat.

Tot slot geeft de kleur van de bolletjes de verwachte impact van een dreiging aan. De kleuren komen overeen met de kleuren van een stoplicht.

Goed om te weten: In het Dreigingsbeeld bieden we per dreiging zogenaamde handelingsperspectieven aan. Dit zijn adviezen waarbij wij verwijzen naar CIS Controls. De CIS Controls (Critical Security Controls) zijn een reeks beproefde methoden die organisaties vaak gebruiken om maatregelen uit de NEN 7510 of ISO 27001 praktisch in te richten. In dit Dreigingsbeeld voor de zorg verwijzen we regelmatig naar deze CIS Controls zodat het eenvoudiger wordt om aandachtspunten te implementeren. Meer lees je op cissecurity.org/controls.

Voor het dreigingsbeeld heeft Z-CERT bij deelnemers geïnformeerd naar het type security-incidenten dat zij hebben meegemaakt. Bijna een vierde van de deelnemers heeft deze survey ingevuld. De resultaten worden hieronder weergegeven in een grafiek. Deze informatie kan worden gebruikt om bewustwording te creëren binnen uw eigen organisatie en om maatregelen te prioriteren. De incidenten zullen verder besproken worden in de hoofdstukken over ‘dreigingen’ en zijn onder andere gebruikt om de dreigingsniveaus vast te stellen.

Toelichting

Het percentage geeft weer hoeveel procent van het totaal aantal respondenten één of meerdere incidenten hadden in deze categorie. Bij de financiële fraude categorie in de grafiek gaat het om financiële fraude die gepleegd is door gebruik te maken van digitale media als mail en WhatsApp. Bij de categorie ‘malware’ in deze grafiek gaat het specifiek om malware die ontworpen is om gebruikers te verleiden deze malware op te starten. De categorie ‘insider threats’ is omvangrijk. Het gaat in dit dreigingsbeeld om datalekken die het gevolg zijn van onopzettelijkheid, nalatigheid, nieuwsgierigheid en kwaadwillend handelen door interne en externe betrokkenen, zoals medewerkers, leveranciers en ingehuurde krachten.

Z-CERT schat het dreigingsniveau door ransomware en/of afpersen met datalekken in als ‘hoog’. In dit hoofdstuk bedoelen we met datalekken: publicatie van gegevens op datalekwebsites. We schatten in dat de kans op een incident licht gestegen is ten opzichte van vorig jaar. Onder andere omdat in 2024 ‘AiTMphishing’ gemeengoed is geworden in cybercrime en de cloud steeds vaker doelwit is. Z-CERT verwacht in 2025 enkele incidenten.

Incidenten en impact

In 2024 werden wereldwijd 12 procent meer incidenten gepubliceerd op datalekwebsites van ransomware-actoren dan in 2023. In de zorg in Europa zagen we een stijging van 25 procent. In Nederland werden er in totaal twee organisaties uit de zorgsector geraakt: één jeugdzorgorganisatie en één aan mondzorg gerelateerde organisatie. Dat zijn twee incidenten minder dan in 2023. Daarnaast kon een revalidatiekliniek een ransomware-incident op het nippertje voorkomen.

Wat opvalt is dat een grote diversiteit aan zorginstellingen geraakt (figuur 2) werd. Het laat zien dat elk type zorginstelling in principe een potentieel slachtoffer is. Daarnaast laat de analyse over organisatiegrootte zien, dat zorgorganisaties van verschillende groottes (figuur 3) doelwit zijn. De zorgsector was de op twee na meest geraakte sector in 2024.

Grafiek 2: Incidenten waarbij zorgaanbieders in Europa in 2024 werden afgeperst met het lekken van data, ransomware of een combinatie van beide. Gegevens afkomstig van datalekwebsites of open bronnen.

Grafiek 3: Incidenten waarbij zorgaanbieders wereldwijd in 2024 werden afgeperst door het lekken van data, ransomware- of een combinatie van beide. Data komt van datalekwebsites van cybercriminelen.

Van de genoemde incidenten is niet altijd duidelijk of het gaat om ransomwareaanvallen in combinatie met datalekken of dat het alleen gaat om afpersing met datalekken. Ook in 2024 waren er weer ransomware-actoren die het versleutelen van bestanden achterwege lieten en alleen nog maar afpersten met datalekken. Dit is een effectieve manier om geld te verdienen; vaak betaalt 20 tot 50 procent van de getroffen organisaties het losgeld. Bovendien kost de aanval minder tijd en resources. Juist voor de zorgsector is dat een relevant verschil omdat alleen bij het versleutelen van bestanden de zorgcontinuïteit direct in gevaar is.

Tegelijkertijd verwerkt een zorgaanbieder veel bijzondere persoonsgegevens en is dus een aantrekkelijk doelwit. De data staan vaak opgeslagen in cloudgebaseerde SaaS-applicaties en juist deze applicaties zijn regelmatig doelwit. In Frankrijk kon een kwaadwillende bijvoorbeeld met een eenvoudig gestolen wachtwoord toegang krijgen tot een account met hoge rechten en zo data van ruim 750.000 patiënten inzien. In Australië kon een actor inloggen op een radiologieportaal en toegang krijgen tot tienduizenden patiëntgegevens, inclusief de resultaten van beeldvormend onderzoek, door een gelekt wachtwoord te gebruiken. Naast zorggerelateerde platformen waren er in 2024 diverse voorbeelden van afpersincidenten waarbij data afkomstig was van veelgebruikte cloudoplossingen, zoals SharePoint.

Impact

Uit een onderzoek [8] naar ransomware-incidenten in de internationale zorgsector kwam een aantal zaken naar voren:
• 22 procent van de geraakte zorgorganisaties kon binnen een week herstellen, 37 procent had meer dan een maand nodig en 7 procent zelfs meer dan drie maanden.
• Bij 95 procent van de zorginstellingen werden ook back-ups geraakt door ransomware. Organisaties waarbij de back-up geraakt werd, betaalden 3x hogere losgeldbedragen dan organisaties waarbij de backups niet geraakt waren.
• Herstelkosten waren gemiddeld 2,57 miljoen euro (exclusief het losgeld).
• Gemiddeld 57 procent van de apparaten verbonden aan het netwerk werd geraakt.

Bij veel door Z-CERT geregistreerde incidenten kon de impact op zorg niet worden vastgesteld. Bij een beperkt aantal incidenten in Europa kon dit wel:
• Bij minstens 4 zorgorganisaties was er impact op spoedeisende hulp.
• Bij minstens 7 zorgorganisaties moesten afspraken worden uitgesteld.
• Bij minstens 5 zorgorganisaties moesten patiënten of cliënten handmatig (pen en papier) geregistreerd worden.

Trends, methoden en technieken

Uit een onderzoek naar ransomware in de zorg worden de volgende technieken genoemd als de eerste stap om binnen te komen:
• Misbruik van kwetsbaarheden
• Inloggen met een gestolen of gelekt wachtwoord
• Malware die via mail binnenkwam
• Credential phishing
Bovenstaande technieken zijn ook door Z-CERT waargenomen bij ransomware-incidenten in de Nederlandse zorg. Z-CERT adviseert daarom de weerbaarheid tegen deze technieken prioriteit te geven. Hoe eerder een incident gestopt kan worden, hoe kleiner de impact.
In 2024 waren er een aantal trends zichtbaar:
• Z-CERT observeert dat er steeds meer voorbeelden zijn van ransomware en data-exfiltratie incidenten in de cloud en de combinatie cloud en de lokale IT-omgeving.
• Afgelopen jaar constateerde Z-CERT dat er veel kwetsbaarheden in edge-devices zoals firewalls en VPN-oplossingen actief misbruikt werden. Tevens werden door Z-CERT veel pogingen gezien om in te loggen op deze VPN-oplossingen met geraden of gestolen wachtwoorden.
• Wij krijgen signalen uit de sector dat sommige leveranciers nog niet voldoen aan de principes van moderne authenticatie, zoals het gebruik van MFA. Omdat deze leveranciers toegang hebben tot meerdere zorginstellingen, kan dit een risico zijn voor de sector.

Specifieke aanbevelingen voor 2025

Gegeven de laatste ontwikkelingen in het dreigingslandschap willen we graag de volgende aanbevelingen extra onder de aandacht brengen:
• Zorg dat een aanvaller niet vanaf het lokale netwerk naar de cloud kan bewegen of andersom. Een lokaal account met veel rechten moet bijvoorbeeld niet gebruikt kunnen worden in de cloud.
• Overweeg in uw cloudomgeving functionaliteit te gebruiken om data-exfiltratie te detecteren en te voorkomen.
• Onderzoek of uw cloudomgeving bestand is tegen ransomware-aanvallen en of uw cloudomgeving in staat is ransomware-activiteit te detecteren.
• Overweeg back-ups van uw cloudomgeving regelmatig te maken en deze offline en versleuteld te bewaren.
• Besteed bij leveranciersmanagment aandacht aan leveranciers die nog geen gebruik maken van principes van moderne authenticatie zoals MFA, tijdelijke toegang op aanvraag (just in time adminstration) en rechten op maat (least privileges).
• Overweeg voor toegang met verhoogde rechten alternatieven voor VPN-oplossingen, zoals ‘zero trust network access’ (ZTNA) oplossingen. Ook bieden Privileged Access Management oplossingen een betere controle over toegang met verhoogde rechten en zorgen dat toegang alleen binnen het afgesproken tijdsframe kan plaatsvinden.

Algemene aanbevelingen:
• Raadpleeg de nieuwe publicatie van het NCSC over het beheersen van risico’s van edge devices (zoals VPN-oplossingen).
• Raadpleeg de publicatie van het NCSC voor gedetailleerde informatie over ransomware en incident response.
• Om structureel en concreet te werken aan weerbaarheid tegen ransomware raden wij de implementatie van NEN 7510 en CIS Controls aan. De CIS Controls bieden verschillende volwassenheidsniveaus, zodat elk type organisatie ermee aan de slag kan.
• Overweeg om voor het ‘hardenen’ van software en systemen security baselines te gebruiken zoals de CIS benchmarks of de Microsoft Security baselines.
• Voor specifieke informatie over maatregelen tegen veel hackingtechnieken is een gedetailleerde gids online beschikbaar.

Dit deel van het dreigingsbeeld zoomt in op phishing om authenticatiegegevens te verkrijgen. Z-CERT schat het dreigingsniveau voor deze vorm van phishing binnen de zorg in als ‘medium’. Pogingen tot phishing vinden constant plaats en slagen ook geregeld. De dreiging die van phishing uitgaat lijkt op zichzelf niet hoog, maar een gecompromitteerde mailbox kan het begin zijn van een serieus incident, zeker als toegang tot de mailbox gelijk staat aan toegang tot het platform (OneDrive, SharePoint, etc.). Als er eenmaal toegang is verkregen, kan dat een opstapje zijn naar bijvoorbeeld een ransomware-incident of financiële fraude. Z-CERT verwacht in 2025 op maandelijkse basis phishingincidenten waarbij met succes toegang wordt verkregen tot online werkplekken.

Incidenten en impact

Phishing als techniek is constant in ontwikkeling. Elke dag wordt er een continue stroom van phishingmail verstuurd. 16 procent van de respondenten in de survey voor dit dreigingsbeeld, meldde dit jaar een geslaagde phishingaanval. In 69 procent van de gevallen betrof het credential phishing. Hoewel phishing met QRcodes nog steeds werd gezien, komt phishing door middel met malafide links het meest voor.

AiTM phishing

In het najaar van 2024 was er een aantal zeer succesvolle Adversary-in-The-Middle (AiTM) phishingcampagnes actief in de zorgsector. Bij dit type aanval plaatst de aanvaller zich tussen het slachtoffer en een platform waarop wordt geauthenticeerd (vaak Microsoft 365). De aanvaller lift mee op het hele inlogproces van de gebruiker zodat MFA geen barrière vormt voor toegang. Z-CERT heeft in die periode veel meer meldingen ontvangen van gecompromitteerde accounts dan gebruikelijk. In oktober en november heeft Z-CERT elf gevallen geregistreerd. Daarnaast vernamen wij het lekken van inloggegevens van vijftig accounts, voortkomend uit onder andere AiTM-aanvallen.

Opmerkelijk is dat een deel deze gevallen niet bekend was bij die zorginstellingen. Ook werd in sommige gevallen pas na vervolgonderzoek duidelijk dat er meer accounts waren geraakt dan eerder was gedetecteerd.

Trends, methoden en technieken

Social enigineering, vertrouwd overkomen: In veel door Z-CERT waargenomen phishingcampagnes proberen kwaadwillenden zo vertrouwd mogelijk over te komen. Dat doen ze op verschillende manieren:
• In de phishingmails linken aanvallers vaak naar sites die gehost worden op vertrouwde platforms (Dropbox, SharePoint, e.d.).
• De phishingmails worden vaak verzonden vanuit accounts van vertrouwde partijen die eerder gehackt zijn door de aanvaller.

Teams-phishing: In maart en april 2024 zijn er nog veel gevallen van Teams-phishing waargenomen. Hierbij deelt een kwaadwillende links via een Teams-chat vanuit een gecompromitteerd account of een voor dat doel ingerichte tenant.

Phishingkits: Z-CERT ziet veel campagnes waarbij gebruik wordt gemaakt van phishingkits, die worden aangeboden op Phishing-as-a-Service (PaaS) platforms. Zonder technische kennis kan een kwaadwillende voor een vast bedrag per maand gebruikmaken van een online omgeving om sterk geautomatiseerde phishingcampagnes op te zetten. Er zijn diverse zelfs gratis varianten beschikbaar. Dit verlaagt de drempel voor cybercriminelen om
phishincampagnes op te zetten. Z-CERT verwacht komende jaren daarom dat de stroom van phishingmails alleen maar zal toenemen.

Generatieve AI: Z-CERT ziet dat phishing taalkundig beter wordt en vaker in het Nederlands is geschreven. Het is aannemelijk dat de inzet van AI hierbij een rol speelt. De mate waarop AI wordt ingezet, wordt door partijen verschillend beoordeeld. Z-CERT verwacht dat generatieve AI steeds meer ingezet
zal worden om realistischere en specifiekere phishingmails te genereren. Op dit moment zijn AI-modellen net zo goed in het genereren van spearphishing mails als menselijke experts. Dit zal alleen maar beter worden. In de praktijk worden dergelijke aanvallen op leden van het hogere management inmiddels ook waargenomen.

Specifieke aanbevelingen voor 2025

Gegeven de laatste ontwikkelingen in het dreigingslandschap willen we graag de volgende aanbevelingen extra onder de aandacht brengen:
• Voorzie accounts met toegang tot gevoelige data van phishing resistente MFA. Zie de factsheet van het NCSC ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’.
• Gebruik toegangsbeleid waarbij ook context wordt meegenomen (in Microsoft-omgevingen ‘conditional access policies’ genoemd). Verleen bijvoorbeeld alleen toegang vanaf geregistreerde of compliant apparaten.
• Zorg dat medewerkers MFA niet kunnen uitzetten.
• Stel in dat wanneer gebruikers beveiligingsgegevens wijzigen (zoals een nieuwe MFA-methode), zij opnieuw moeten inloggen. Of dat zij deze wijzigingen überhaupt niet zelf kunnen maken.
• Maak een incident response-plan specifiek voor AiTM-phishing.
• Optimaliseer AiTM-phishing detectie.
• Zorg ook dat er opvolging wordt gegeven aan eventuele detectie.
• Overweeg detectie van het klonen van inlogpagina’s om AiTM-aanvallen in een vroeg stadium te detecteren.

Aanbevelingen rondom andere vormen van phishing:
• Voorkom Teams-phishing door te managen vanaf welke domeinen contact gelegd mag worden met medewerkers.
• Ga na of je e-mailbeveiliging ook voorziet in de detectie van malafide QRcodes.

In dit hoofdstuk gaat het om malware (kwaadaardige software) waarbij een gebruiker wordt verleid om malware op te starten. Z-CERT schat het dreigingsniveau voor incidenten met malware bij zorginstellingen in als ‘medium’. In veel gevallen is de impact van malware-incidenten waarbij de gebruiker de malware onbewust opstart, beperkt en wordt de infectie snel opgeruimd. Echter, een malware-infectie kan escaleren en een ransomware- of datalekincident tot gevolg hebben. Z-CERT verwacht in 2025 op maandelijkse basis malware-infectieswaarbij in enkele gevallen de malware-infectie zal escaleren.

Incidenten en impact

Vier procent van de ondervraagden heeft in 2024 een incident met malware gehad. Daarnaast ontvingen we tientallen meldingen van gestolen wachtwoorden die via ‘infostealer malware’ waren verkregen. Deze wachtwoorden werden soms ook verkocht op het darkweb.
Z-CERT ziet in de Nederlandse zorg de volgende scenario’s:
• Phishingmails met links naar malware of met malware als bijlage.
• Legitieme websites die zijn gehackt, waarbij nietsvermoedende bezoekers worden verleid malware te downloaden, bijvoorbeeld in de vorm van een malafide browserupdate. Ook kunnen malafide advertenties op (legitieme) websites worden geplaatst die doorverwijzen naar malware.
• Systemen worden besmet via een geïnfecteerde USB-stick. Vaak wordt de infectie snel opgemerkt en beperkt de schade zich tot het opnieuw moeten opbouwen van de systemen. Het is belangrijk om je te realiseren dat mogelijk ook data, wachtwoorden en websessiecookies zijn gestolen. Dergelijke gegevens kunnen ook na systeemherstel worden misbruikt om de aanval te continueren.
Een malware-incident kan ook een voorloper zijn van een ransomware-incident. Bij enkele zorginstellingen werd malware aangetroffen die gebruikt wordt door ransomware-actoren. Sporen van actieve malware-infecties geassocieerd met ransomware-actoren werden gevonden, maar de infecties werden tijdig gemitigeerd.

Infostealers

Een populaire vorm van malware waarbij gevoelige data wordt gestolen, is de infostealer. Kwaadwillenden kunnen met infostealers bijvoorbeeld wachtwoorden, creditcardinformatie en websessiecookies stelen om met die gegevens in te loggen op afstandswerkoplossingen. Dit kan leiden tot ransomware-aanvallen of datalekken. Als websessiecookies worden gestolen, kan een aanvaller tijdelijk toegang krijgen tot de webapplicatie waarop de gebruiker was ingelogd. Een voorbeeld van een incident met veel impact vond plaats bij de politie, waar de contactgegevens van veel agenten werden gestolen. De politie vermoedt dat er een websessiecookie gestolen is via malware, waardoor de aanvaller toegang tot de applicatie kreeg zonder wachtwoord of MFA in te voeren. Omdat het systeem op basis van de cookie ervan uitging dat de gebruiker het login-proces al had doorlopen.

Trends, methoden en technieken

In 2024 waren infostealers een veel voorkomend type malware. Veel infostealers worden als een ‘service’ zeer goedkoop aangeboden zodat de drempel voor cybercriminaliteit wordt verlaagd. Ook worden er veel zogenaamde ‘remote access trojans’ gezien die een aanvaller toegang geven tot een computer. Deze toegang wordt soms ook verkocht op het darkweb. Wat betreft malware is er een ‘race’ gaande tussen de hackers en de antivirusleveranciers. Daarbij wordt door hackers continue gewerkt aan malware die niet gedetecteerd wordt door antivirussoftware. Generatieve AI helpt cybercriminelen om dergelijke malware sneller te ontwikkelen.

Legitieme ‘externe toegangssoftware’ wordt ook ingezet als malware. Hierbij kan een aanvaller de computer overnemen om vervolgens een aanval uit te voeren. Een aanvaller lift mee op autorisaties van de gebruiker en krijgt toegang tot alle applicaties waar ‘single sign-on’ is ingeschakeld.

Specifieke aanbevelingen voor 2025

In het kader van het huidige dreigingslandschap zijn er een paar aanbevelingen extra actueel:
• Beperk de sessieduur bij webapplicaties, bijvoorbeeld tot één dag, en stel strengere limieten in voor beheeraccounts en sessies vanaf onbeheerde devices.
• In de cloud van Microsoft bestaan policies die vereisen dat sommige websessiecookies alleen gehonoreerd worden als ze op managed devices gebruikt worden.
• Optimaliseer incident response-plannen, logging en detectieoplossingen voor websessiecookie-diefstal.
• Houd wachtwoordmanagers en browsers up-to-date om kwetsbaarheden te vermijden die infostealers kunnen misbruiken.
• Overweeg het gebruik van een adblocker-oplossing om malafide advertenties te blokkeren.

Financiële fraude in de Nederlandse zorg is regelmatig in het nieuws geweest. Het gaat bijvoorbeeld om fraude met diploma’s, declaraties voor niet geleverde zorg en andere criminaliteit. Deze voorbeelden vallen buiten de scope van dit dreigingsbeeld. In dit hoofdstuk gaat het om financiële fraude waarbij digitale media zoals e-mail en chatapplicaties ingezet worden.

Z-CERT schat het dreigingsniveau van digitale financiële fraude in op ‘medium’. De impact van financiële fraude was in 2024 beperkt. Z-CERT verwacht in 2025 op wekelijkse basis pogingen tot digitale financiële fraude.

Incidenten en impact

De helft van de respondenten van het onderzoek van Z-CERT gaf aan dat er pogingen zijn geweest tot financiële fraude. In een aantal gevallen heeft dit geleid tot enige schade in de vorm van het versturen van cadeaubonnen naar de kwaadwillende. Eén op de vijf respondenten geeft aan nepfacturen te hebben ontvangen of pogingen te hebben gezien om bankrekeningen te laten aanpassen.

Bij één ziekenhuis en één organisatie in de eerstelijnszorg heeft dit geleid tot een salarisbetaling op een ‘foute’ bankrekening. De impact kan ook groter zijn: een Nederlandse gemeente betaalde bijvoorbeeld een nepfactuur van een ton.

Trends, methoden en technieken

Voor deze vorm van fraude worden diverse communicatiemiddelen ingezet zoals e-mail, WhatsApp, sms, telefoon enzovoorts. Z-CERT merkt dat de pogingen zich ook richten op medewerkers die nog maar net in dienst zijn. In de eerste werkweek krijgen ze direct een spoedverzoek, zogenaamd van de directeur. We vermoeden dat dit gebeurt op basis van informatie die geautomatiseerd van LinkedIn wordt afgehaald. Het is dus nuttig om nieuwe medewerkers hier op hun eerste werkdag expliciet voor te waarschuwen. Een voorbeeld van financiële fraude buiten de zorgsector is de Bunq-bank die in 2024 last heeft gehad van deze vorm van fraude via een videogesprek waarin in beeld en geluid de directeur
werd nagebootst.
Ook internationaal zijn er steeds meer voorbeelden van dit type fraude. Z-CERT verwacht dat de frequentie van dit type incident zal toenemen en ook in de nabije toekomst zich zal voordoen in de Nederlandse zorg.

Algemene aanbevelingen

• Het handelingsperspectief uit het dreigingsbeeld van vorig jaar is nog steeds actueel. Zie de factsheet van Z-CERT zelf over dit onderwerp.
• Deelnemers van Z-CERT benutten de chatkanalen van Z-CERT steeds vaker om elkaar over dit soort campagnes te informeren. Zo helpen zorgaanbieders elkaar bij het voorkomen van fraude.

Z-CERT schat het dreigingsniveau voor incidenten door ransomware en/of afpersen met datalekken bij leveranciers van zorginstellingen in als ‘hoog’. Dit kunnen IT-leveranciers zijn, maar net zo goed leveranciers buiten het IT-domein. Hoe groter de afhankelijkheid, hoe groter de mogelijke impact. In 2025 verwacht Z-CERT enkele incidenten met impact op de zorgsector.

Incidenten en impact

Op datalekwebsites van ransomware-actoren ontdekte Z-CERT twee incidenten bij leveranciers van zorginstellingen waarbij gegevens van deelnemers waren gelekt. In één geval ging het om gegevens van drie deelnemers, en in het andere incident betrof het gegevens van vijftien ziekenhuizen. Ook waren er drie leveranciers geraakt waardoor meerdere zorginstellingen hun remote toegang van deze bedrijven preventief dichtzetten. Daarnaast lekte een wachtwoord uit van een zorginstelling bij een leverancier die geraakt was door ransomware.

Er zijn in 2024 geen incidenten waargenomen waarbij de impact groot was op Nederlandse zorginstellingen. Toch stelt Z-CERT de dreiging niet naar beneden bij. In Europa blijken de IT-dienstverleners nog een gewild doelwit. De hoeveelheid incidenten in deze categorie nam wel met 16% af. De farmaceutische industrie had een vergelijkbare hoeveelheid incidenten als vorig jaar en in de sector van medische apparaten en hulpmiddelen was de hoeveelheid incidenten zelfs meer dan twee keer zo hoog.

Dit jaar (2024) legde een aantal incidenten pijnlijk bloot hoe afhankelijk de zorgsector soms is van leveranciers. Het ging om leveranciers van fysieke en digitale producten en diensten.

Ransomware in de bloedvoorzieningsketen

In 2024 vielen wereldwijd drie ransomware-incidenten op bij dienstverleners in de bloedvoorzieningsketen. We belichten hier één casus om de potentiële impact van dergelijke aanvallen te illustreren.
Op 2 juni 2024 werd Synnovis, een pathologische dienstverlener in Engeland, geraakt door ransomware. Dit had grote impact op zeven ziekenhuizen en de huisartsenzorg in Zuidoost-Londen. In mindere mate was er impact op GGZ, omliggende ziekenhuizen en andere lokale zorgverleners. Het incident had gevolgen voor:
• Patiëntveiligheid: het ransomware-incident leidde tot 498 incidenten met impact op de patiënt veiligheid; 114 van deze incidenten werden ingeschaald als ‘low harm’ en vijf als ‘moderate harm’. Nog 91 incidenten zijn in onderzoek.
• Zorgverlening: Door het incident moesten 10.152 acute poliklinische afspraken en 1.710 geplande ingrepen worden uitgesteld.
• Datalek: Van naar schatting 900.000 patiënten lekten persoonsgegevens, waaronder gevoelige medische gegevens, naar het darkweb.
• Huisartsenzorg: Tientallen huisartspraktijken in het zuidoosten van Londen konden geen bloedtesten uitvoeren of moesten zich beperken tot urgente gevallen.
• Logistieke uitdagingen: Bloedtestresultaten moesten handmatig worden afgedrukt en fysiek worden bezorgd, wat leidde tot vertragingen in behandelbeslissingen.
• Nationale bloedvoorraad: Er volgde een dringende oproep voor bloeddonaties voor bloedgroep O. De nationale bloedvoorraden bevonden zich in een ‘zeer fragiele positie’, waarbij overwogen werd om bloed alleen voor bepaalde gevallen beschikbaar te stellen.

Aanval op EPD-leverancier

In de nacht van 11 op 12 februari vond er in Roemenië een ransomware-aanval plaats op een leverancier van een EPD-oplossing. Bij 26 ziekenhuizen werd er data versleuteld door ransomware. 79 andere zorginstellingen moesten hun systemen preventief offline halen en hun netwerk controleren op ransomware. De meeste zorginstellingen konden back-ups terugzetten die één tot drie dagen oud waren. In één geval was er alleen een back-up beschikbaar die twaalf dagen oud was.

Aanval op betalingsverwerker voor de zorgsector

In februari 2024 werd Change Healthcare uit de VS geraakt door een ransomware-incident. Change Healthcare vervult een belangrijke rol in de Amerikaanse gezondheidszorg als intermediair voor financiële transacties en verzekeringsverificatie. Het incident had daarom grote gevolgen voor ziekenhuizen, klinieken, apotheken en tandartspraktijken. Ook ondervonden zorgorganisaties bijvoorbeeld problemen bij het indienen en verwerken van declaraties, het controleren van verzekeringen van patiënten en het ontvangen van betalingen. Dit leidde tot cashflow-problemen en operationele uitdagingen voor veel zorgverleners, waarbij sommige organisaties zelfs nieuwe patiënten moesten weigeren. Uiteindelijk heeft Change Healthcare de ransomware-eis van de aanvallers betaald. Dit was een bedrag van 22 miljoen dollar (ongeveer 21 miljoen euro).

Specifieke aanbevelingen voor 2025

In het kader van het huidige dreigingslandschap zijn er een paar aanbevelingen extra actueel:
• Identificeer, classificeer en prioriteer leveranciers of andere derde partijen die van belang zijn voor het uitoefenen van kritieke functies. Ook niet IT-leveranciers kunnen van belang zijn! Zie het document van het NCSC “Hoe breng ik mijn rechtstreekse leveranciers in kaart?”.
• Ontwikkel continuïteitsprocedures om in geval van ransomware-incidenten bij deze partijen toch de kritieke functies te kunnen blijven uitoefenen. Houd daarbij rekening met de hersteltijd van ransomware-incidenten. Bijna tweederde van de leveranciers herstelt binnen een maand, bij de overige incidenten duurt het langer.
• Zorg dat er een incident response plan is voor incidenten bij leveranciers. In sommige gevallen moet bijvoorbeeld besloten worden de externe toegang dicht te zetten.
• Zorg waar mogelijk dat in geval van nood gebruik gemaakt kan worden van alternatieve leveranciers of inkoop-/goederenstromen.
• Test en actualiseer met enige regelmaat de continuïteitsplannen en downtime procedures.

Z-CERT schat het dreigingsniveau voor DDoS-aanvallen op zorginstellingen in op ‘medium’. Hoewel DDoS-aanvallen wereldwijd zijn toegenomen, stond de zorgsector dit jaar niet in de top 10 van meest aangevallen sectoren. In 2024 had de Nederlandse zorgsector minder last van DDoS-aanvallen dan in 2023. Geopolitieke ontwikkelingen hebben niet geleid tot een toename van het aantal incidenten. Z-CERT verwacht dit jaar enkele DDoS-incidenten met geringe impact op Nederlandse zorginstellingen. Het jaar 2023 heeft laten zien dat dit plotseling kan omslaan.

Incidenten en impact

In 2024 had de Nederlandse zorgsector minder last van DDoS-incidenten dan in 2023. De meeste door Z-CERT waargenomen aanvallen vonden buiten Europa plaats (zie onderstaande afbeelding). Slechts twee zorginstellingen hebben in 2024 DDoS-incidenten gemeld die gericht waren op hun eigen infrastructuur.

In 2024 was er maar één melding door een ziekenhuis van een DDoS-aanval. In 2023 werd er nog door vijftien ziekenhuizen overlast door DDoS-aanvallen gemeld.

De in 2024 gemelde aanval op een ziekenhuis bestond uit twee korte DDoSaanvallen met een hoog volume die kort op elkaar volgden. De internetprovider van het ziekenhuis constateerde dat de aanval uit het buitenland kwam. Na overleg met Z-CERT heeft het ziekenhuis de door de provider geadviseerde maatregelen getroffen om de aanval af te slaan.

Bij een grote GGZ-instelling was er een aanval op het werknemersportaal. Deze had als impact dat de GGZ-instelling gedurende 1,5 uur inlogvertraging ondervond op het portaal. De aanval is uiteindelijk verholpen door het inzetten van een DDoS-wasstraat. Een dag later volgde een nieuwe DDoS-aanval, ook gericht op een IP-adres van de GGZ-instelling. Deze aanval is succesvol gemitigeerd. Bij beide DDoS-incidenten is de motivatie van de aanvaller onbekend.

Geo-locatie van aanvallende servers

In 2024 zijn DDoS-aanvallen op Nederland vanuit meer verschillende landen gekomen. In de onderstaande afbeelding is te zien dat tijdens de meting van 1 januari 2025 China op de eerste plek staat met 13,16 procent, maar de Verenigde Staten volgt niet ver daarachter met 12,89 procent. Nederlandse servers stonden nog net in de top 10 met 2,72 procent van het verkeer.

Een reden dat Nederlandse servers afgelopen jaar gebruikt konden worden voor DDoS-aanvallen was doordat wereldwijd TP-Link and Netgear routers zijn overgenomen door middel van bekende kwetsbaarheden. Het is bij Z-CERT onbekend of routers uit de Nederlandse zorg het afgelopen jaar zijn gebruikt bij het uitvoeren van DDoS-aanvallen, maar we sluiten deze mogelijkheid niet uit.

Trends, methoden en technieken

Volgens Cloudflare is het aantal DDoS-aanvallen wereldwijd met ongeveer 50 procent gestegen ten opzichte van 2023, maar aanvallen van een hoog volume waren meestal kortdurend. Slechts 3 procent van de aanvallen duurde langer dan een uur. De meeste aanvallen kwamen van servers uit Indonesië, gevolgd door Nederland. De zorgsector stond niet in de top 10 van meest aangevallen sectoren.

Microsoft meldt een viervoudige toename van DDoS-aanvallen ten opzichte van 2023. DDoS-aanvallen worden volgens Microsoft ook moeilijker te detecteren, doordat ze steeds meer lijken op legitieme webverzoeken.

Specifieke aanbevelingen voor 2025

In het kader van het huidige dreigingslandschap zijn er een paar aanbevelingen extra actueel:
• Werk samen met cloud- en internetproviders voor betere DDoS-afweer. Cloud- en internetproviders zijn beter in staat om grote DDoS-aanvallen te verwerken dan individuele zorginstellingen.
• Maak een incidentresponse-plan, continuïteitsprocedures en overweeg simulaties van aanvallen om zwakke plekken te identificeren en effectief te reageren. Inventariseer de afhankelijkheden van externe diensten, bepaal per dienst de maximale uitvaltijd en zorg ervoor dat dit overzicht actueel blijft.
• Patch bekende kwetsbaarheden: DDoS-aanvallen worden steeds vaker gelanceerd vanuit een wereldwijd verspreid netwerk van servers, inclusief servers in Nederland. Voorkom dat uw routers en servers onderdeel worden van zo’n netwerk en patch bekende kwetsbaarheden zo snel mogelijk.

Z-CERT schat het dreigingsniveau voor DDoS-aanvallen op leveranciers van zorginstellingen in op ’medium’. Verschillende sectoren die aan de zorg leveren waren doelwit, zoals telecom- en serviceproviders en informatietechnologie & diensten. Door de verdere ver-‘SaaS’-ing van de zorgsector verwacht Z-CERT in 2025 meerdere DDoS-incidenten met impact op Nederlandse zorginstellingen.

Incidenten en impact

In 2023 gaf 17 procent van de mensen aan last te hebben gehad van DDoS-aanvallen op de infrastructuur van een leverancier. In 2024 is dit gedaald naar 10 procent. Ondanks deze daling, was er wel degelijk impact op de zorg:
• Bij de helft van de incidenten was er beperkte toegang tot de cloudomgeving.
• Enkele websites van zorginstellingen waren niet toegankelijk door DDoSaanvallen op de hostingprovider van de website.
• Eén zorginstelling kon niet meer werken in het Elektronisch Patiënten Dossier (EPD), omdat de hostingprovider van het EPD te maken had met een DDoS-aanval.
• De Azure-diensten van Microsoft waren in juli negen uur niet beschikbaar door een grootschalige DDoS-aanval. Dit had ook impact op de Nederlandse zorg.
• Tot slot was er een zorginstelling die aangaf impact te hebben gehad door een DDoS-incident bij een grote leverancier van een systeem voor het uitwisselen van gegevens tussen huisartsen.

Specifieke aanbevelingen voor 2025

In het kader van het huidige dreigingslandschap zijn er een paar aanbevelingen extra actueel:
• Samenwerken voor bescherming: Bespreek met uw leverancier hoe zij samenwerken met hun cloud- en internetproviders voor betere DDoS-bescherming.
• Ga uit van incidentele onderbrekingen! De door u aangeschafte SaaS-oplossing zal enkele keren in het jaar kortstondig niet beschikbaar zijn. Dit hoeft niet altijd aan de leverancier te liggen, maar kan ook komen door een DDoS-aanval op de hostingprovider van de leverancier. Zorg dat u een alternatief proces op orde hebt om de continuïteit van zorgprocessen te kunnen waarborgen.

Z-CERT schat het dreigingsniveau voor cyberspionage door statelijke actoren voor de verschillende typen zorgorganisaties anders in. Voor statelijke cyberactoren is de Nederlandse zorgsector vooral relevant vanwege het stelen van wetenschappelijke onderzoek, intellectuele eigendommen en grote datasets aan medische- en persoonsgegevens. Voor zorgorganisaties die beschikken over dergelijke gegevens, schat Z-CERT de dreiging van cyberspionage door statelijke actoren in als ‘hoog’. Voor andere type zorgorganisaties schat Z-CERT de dreiging van cyberspionage door statelijke actoren in als ‘laag’. Z-CERT verwacht dat cyberspionage in 2025 actueel zal blijven.

Naast de genoemde intentie wordt de hoge dreiging ook veroorzaakt doordat statelijke aanvallers goed georganiseerd zijn en over veel technische vaardigheden beschikken om hun opdrachten heimelijk uit te voeren.

Incidenten en impact

Bij Z-CERT zijn geen incidenten bekend van cyberspionage door statelijke actoren in de Nederlandse en Europese zorgsector. In de Verenigde Staten is dit jaar een cybercampagne bekendgemaakt waarbij onder andere Amerikaanse gezondheidsorganisaties zijn aangevallen door een Iraanse statelijke actor. Deze Iraanse statelijke actor heeft voor spionagedoeleinden toegang verkregen tot de Amerikaanse slachtoffers. Vervolgens zijn hackers uit deze groep, waarschijnlijk zonder mandaat van de Iraanse overheid en voor eigen persoonlijk financieel gewin, ransomware gaan inzetten bij de Amerikaanse slachtoffers. Daarbij is samengewerkt met twee bekende Russische ransomware-groepen.
Deze cybercampagne laat zien dat technologisch hoogwaardige cybercapaciteiten van statelijke actoren en de expertise van ransomware-groepen samen kunnen gaan.

Landen met een offensief cyberprogramma

Z-CERT is dit jaar meermaals om advies gevraagd hoe zorgorganisaties moeten omgaan met hard- en software van leveranciers uit landen met een offensief cyberprogramma. Dit betreft landen die door de Nederlandse inlichtingendiensten worden onderzocht op ongewenste en heimelijke cyberoperaties gericht tegen Nederlandse belangen.
Per land verschilt de mate van dreiging van spionage (en sabotage) voor de Nederlandse zorgsector. Met name vanuit China is de spionagedreiging zorgelijk omdat veel innovatieve (zorg)producten in dit land worden geproduceerd en doorontwikkeld. Daarbij bestaat het risico dat buitgemaakte (zorg)data via een in China ontwikkeld en/of beheerd product wordt gebruikt voor ‘data-analyse’ doeleinden, anders dan voor de gebruikelijke productondersteuning- en ontwikkeling. De AIVD schrijft hierover in zijn jaarverslag het volgende: “China heeft inmiddels een vooraanstaande positie op het gebied van kunstmatige intelligentie (AI). Om die te houden en uit te breiden, hongert het land naar meer data. China probeert op reguliere manieren aan technologie, kennis en data te komen, bijvoorbeeld door samenwerking met westerse technologiebedrijven, universiteiten en onderzoeksinstituten. Maar het land gebruikt evengoed (cyber) spionage. China probeert in het Westen ook gevoelige bedrijfsinformatie te stelen om zijn eigen economische positie sterker te maken”.
Chinese bedrijven en personen zijn bovendien bij wet verplicht om vergaarde data, zoals data gegenereerd door medische IoT-apparatuur, te delen met de Chinese inlichtingendiensten.

Trends, methoden en technieken

Digitale spionagegroepen zijn technologische voorlopers. In onderstaande tekst worden enkele voorbeelden genoemd die in 2024 niet direct de zorgsector hebben geraakt, maar indirect en/of op termijn dit wel kunnen gaan doen.
• Een Russische digitale spionagegroep, zeer waarschijnlijk onderdeel van de Russische inlichtingendienst, heeft deels zijn aandacht verlegd naar het verkrijgen van toegang tot de cloudomgevingen van zijn doelwitten. Dit deden de Russische cyberspionnen onder meer via bruteforce- en password spray-aanvallen gericht tegen serviceaccounts.

Dit soort accounts worden veelal gebruikt voor het geautomatiseerd beheren van één of meerdere applicaties en diensten en hebben vaak veel toegangsrechten. Dit soort serviceaccounts werken dus zonder menselijke gebruiker, waardoor MFA niet is ingeschakeld. Daarmee zijn dit soort accounts extra kwetsbaar. En serviceaccounts worden vaak uitgesloten van policies, zoals het periodiek wijzigen van het wachtwoord. Als dat zo is en de cyberspion weet onder de radar te blijven, heeft hij langdurig netwerktoegang met verhoogde toegangsrechten. De Russische spionagegroep in kwestie heeft voornamelijk Westerse overheidspartijen, denktanks, gezondheidsorganisaties en energiebedrijven als doelwit gehad, en richt zijn pijlen recent ook op onderwijsinstellingen en andere sectoren.

• Hybride-oorlogsvoering is ook in 2024 een belangrijk thema geweest. Behalve het Rusland-Oekraïne conflict zijn is ook het Israël-Hamas conflict een belangrijke katalysator geweest voor hybride- oorlogsvoering. Zo heeft de Iraanse CyberAv3ngers groep, gelieerd aan de Iraanse Republikeinse garde, succesvolle aanvallen uitgevoerd op operationele technologie (OT) van Unitronics (een Israëlisch bedrijf) bij waterbedrijven in de Verenigde Staten en Europa. Deze OT wordt ook gebruikt in medische apparaten. De intentie van deze Iraanse groep was zeer waarschijnlijk het verstoren van operationele processen bij de waterbedrijven. Hybride oorlogsvoering is dus niet alleen spionage, maar
vooral ook het verspreiden van desinformatie en het plegen van, vooralsnog, beperkte sabotage.
• Kunstmatige intelligentie wordt ook door statelijke cyberactoren gebruikt, bijvoorbeeld als kennisbron om informatie over een doelwit te verzamelen, eenvoudige scripts te schrijven en inhoud te verzamelen of te generen voor phishingaanvallen. Op deze manieren is onder andere het OpenAI platform misbruikt door Chinese, Iraanse, Russische en Noord-Koreaanse hackers.

Specifiek aanbevelingen

De risico’s van statelijke cyberspionage uit dit hoofdstuk kunnen beperkt worden door het nemen van diverse maatregelen:
• Veel van de gebruikte tactieken en technieken zoals beschreven in de hoofdstukken over ransomware, phishing en malware, worden ook gebruikt door cyberspionnen. Voor aanbevelingen verwijzen we naar deze hoofdstukken.
• Z-CERT vindt het aan de organisaties zelf om een risicoanalyse te maken en de risico’s af te wegen tegen de noodzaak van het gebruik van de betreffende hard- en/of software. Met name de noodzaak om iets te gebruiken kan van organisatie tot organisatie verschillen. Het is praktisch vrijwel onuitvoerbaar om elk component van alle hardware en software, inclusief medische apparaten en domotica in kaart te brengen. Ontwikkelingen zoals een Software Bill Of Materials kunnen hier in de toekomst steeds beter bij helpen.
• De beste en meest recente adviezen over hoe cloudservice-accounts het best beveiligd kunnen worden zijn te lezen op de website van de cloudprovider.
• Voor specifieke technieken gebruikt voor aanvallen op OT-apparatuur verwijzen we naar een advies van CISA.

De categorie ‘insider threats’ is omvangrijk. In dit dreigingsbeeld is een selectie gemaakt van incidenten die dit jaar zijn gemeld bij Z-CERT. Het gaat om datalekken die het gevolg waren van onopzettelijkheid, nalatigheid, nieuwsgierigheid en kwaadwillend handelen door insiders. Waarbij insiders worden gedefinieerd als interne medewerkers, voormalige medewerkers, ingehuurd personeel, leveranciers of andere derde partijen. Z-CERT schat deze dreiging in op ‘medium’ en de frequentie varieert sterk per type. Z-CERT verwacht voor 2025 een vergelijkbaar beeld als in 2024.

AI chatbots

Uit de tabel blijkt dat er regelmatig datalekken ontstaan door het gebruik van AIchatbots. De Autoriteit Persoonsgegevens (AP) heeft in 2024 meerdere meldingen ontvangen van datalekken waarbij medewerkers gevoelige informatie van patiënten of cliënten in AI-chatbots hebben ingevoerd. Zorginstellingen geven aan dat ze moeite hebben om zicht te houden op de gegevens die met chatbots
worden gedeeld. Tegelijkertijd zijn er ook positieve voorbeelden in de zorg waar deze chatbots een meerwaarde hebben. Het is belangrijk dat zorginstellingen en medewerkers de risico’s van het delen van data met chatbots kennen.
• Het delen van (bijzondere) persoonsgegevens met AI-chatbots kan ertoe leiden dat aanbieders van deze chatbots ongeoorloofde toegang krijgen tot deze data.
• Het delen van (bijzondere) persoonsgegevens met AI-chatbots kan in strijd zijn met de Algemene Verordening Gegevensbescherming (AVG), zelfs als interne beleidsregels dit toestaan.
• Gevoelige gegevens kunnen in handen van cybercriminelen vallen door gecompromitteerde chatbot-accounts, vaak via malware gestolen en op het darkweb verkocht.
• Patiënten en cliënten moeten geïnformeerd worden over het gebruik van AI-chatbots en de doeleinden waarvoor hun gegevens worden verwerkt.

Aanbevelingen:
• De AI Act verplicht organisaties om te zorgen voor ‘AI-geletterdheid’ bij medewerkers die gebruik maken van AI-oplossingen. In februari 2025 zal de website Informatieveilig gedrag in de zorg een kennisproduct uitbrengen dat dieper ingaat op hoe zorgmedewerkers kunnen omgaan met AI.
• Overweeg het implementeren van Data Loss Prevention (DLP)-oplossingen om te detecteren of te voorkomen dat persoonsgegevens worden gedeeld met AI-chatbots.
• Bied een goedgekeurde AI-chatbotoplossing aan waarop een DPIA is uitgevoerd, en waarvan is vastgesteld dat die voldoet aan de AVG en de privacy- en veiligheidsnormen van de organisatie.

Ongeoorloofde inzage

Ongeoorloofde inzage kwam het afgelopen jaar regelmatig voor en is meestal het gevolg van nieuwsgierigheid, vaak gericht op het eigen dossier of dat van bekenden. Dit gebeurt meestal uit persoonlijke interesse.
Kwaadwillende inzage was zeldzaam in 2024. Een bekend voorbeeld betreft een GGD-geval waarin iemand zich zonder BIG-registratie voordeed als arts en toegang kreeg tot dossiers. In een ander geval had een medewerker binnen korte tijd ongewoon veel cliëntendossiers ingezien zonder geldige reden.
Organisaties hebben moeite om de volledige impact van deze dreiging in kaart te brengen. Dit komt omdat ze afhankelijk zijn van de meldingsbereidheid van zorgmedewerkers en omdat de loggingdata te omvangrijk is om volledig te controleren. Tegelijkertijd komen er steeds meer oplossingen die mogelijke
onterechte inzagen signaleren. Denk hierbij aan controles die waarschuwen wanneer een medewerker zonder behandelrelatie inzage heeft in een dossier van een patiënt of cliënt die in de buurt woont. Z-CERT ziet dat ECD’s en EPD’s steeds meer functies hebben om deze ongewenste inzagen te detecteren.

Aanbevelingen:

• Loggingcontrole ligt gevoelig. Betrek daarom medewerkers, de Ondernemingsraad, bestuur en andere stakeholders bij het opzetten van loggingcontrole.
• Bewustwording eerst: informeer medewerkers dat patiëntgegevens alleen voor functiegerelateerd gebruik zijn en dat logging wettelijk verplicht is en opvraagbaar door patiënten en cliënten.
• Logging is een controlemiddel; voorkom onrechtmatige inzagen ook op andere manieren door bijvoorbeeld rechten te beperken en noodinzagefunctionaliteit te gebruiken.
• Ontwerp een autorisatiematrix gebaseerd op zorgprocessen. Deze matrix kan dienen als basis voor het automatiseren van loggingcontroles.
• Pas voor automatische loggingcontrole ‘business rules’ toe die ongeoorloofde inzage van gegevens detecteren. Regels die kijken naar uitzonderingen op normaal gedrag van werknemers zijn krachtig. Bijvoorbeeld een client waarvoor vandaag 50 procent meer dossier-inzagen zijn geweest dan
gebruikelijk.
• Bespreek potentiële onterechte inzagen met de betrokken medewerker(s).

Datalek door toedoen ontevreden (ex-) medewerker of een (ex-)medewerker van een leverancier

Uit het onderzoek van Z-CERT blijkt dat er onder ondervraagden weinig incidenten voorkomen die het gevolg zijn van ontevreden (ex-) medewerkers. Wel werden er een aantal incidenten bij Z-CERT gemeld dit jaar. Bij één incident werd een dienstverband beëindigd van een medewerker met beheeraccounts. Een event in de persoonlijke sfeer triggerde naderhand dat deze persoon dreigde misbruik te maken van opgedane kennis voor een aanval op de IT-infrastructuur van de organisatie.
Bij een ander geval vertrok een medewerker bij een organisatie en downloadde een grote hoeveelheid data. De twee casussen hadden uiteindelijk geen grote impact, maar het kan ook anders uitpakken. Ook uitdiensttreding van personeel bij een leverancier kan gevolgen hebben voor een zorgorganisatie. Bij één geval dit jaar was er een medewerker uit dienst bij een leverancier, maar was het account niet tijdig gedeactiveerd. Twee dagen nadat de medewerker uit dienst ging, kon hij inloggen en patiëntengegevens van ongeveer één miljoen patiënten buitmaken.

Het conflict tussen Oekraïne en Rusland blijft een bron van onzekerheid. Volgens de AIVD is de dreiging richting Nederland significant. In dit artikel delen we een aantal dreigingsscenario’s op cybergebied die in Oekraïne (en soms daarbuiten) zijn waargenomen. Op het moment van schrijven acht Z-CERT alleen het eerste scenario actueel. De andere scenario’s zijn momenteel onwaarschijnlijk, maar het is belangrijk om deze dreigingen te kennen voor risicoanalyses, business continuity plannen en om de weerbaarheid te verhogen.

DDoS-aanvallen op thuiswerk- en domotica-omgevingen

Doelgerichte DDoS-aanvallen van hacktivisten op zorginstellingen waren vaak gericht op de website. De impact van dit soort aanvallen is beperkt. Echter er zijn ook enkele aanvallen bij Z-CERT bekend op de thuiswerk- of domoticaomgevingen. Veel van deze aanvallen zijn niet doelgericht, maar gericht op een cloudprovider of internetprovider.

Verstoring van het GPS-signaal

Tijdens de oorlog in Oekraïne werd vaak het GPS-signaal verstoord voor oorlogsdoeleinden. Ook buiten het oorlogsgebied werd hier overlast van ondervonden. In de zorg worden GPS-signalen gebruikt voor diverse toepassingen zoals dwaaldetectie en persoonsalarmering. Verstoringen kunnen impact hebben op het functioneren van deze oplossingen/diensten.

Uitval van internetconnectiviteit

In Oekraïne waren er regelmatig aanvallen op internetproviders. De impact van de aanvallen was beperkt omdat het land een groot aantal internetproviders heeft. Ook het gebruik van satellietinternetverbindingen speelde een rol bij het opvangen van verstoringen.

Misbruik van kwetsbaarheden

Tijdens de oorlog hadden Oekraïense organisaties soms last van 'hack en lek'-operaties of werden websites gehackt om propaganda te verspreiden. Pro-Russische actoren hebben ingezet op het misbruik van kwetsbaarheden in internet-ontsloten apparaten, zoals firewalls en VPN-oplossingen.

Wiperware
In Oekraïne werd veelvuldig wiperware ingezet. Dat is malware die eropuit is zoveel mogelijk data te vernietigen.

Voor meer informatie en input voor uw risicoanalyses verwijzen we door naar het document “Vier cybersecurity-lessen uit één jaar oorlog Conflict in Oekraïne” van het NCSC.