Het Threat Landscape Report van Fortinet wijst IT-teams in de zorgsector op de voornaamste cyberbedreigingen die hun sector teisteren. Bovenop het in gevaar brengen van mensenlevens kost het herstellen van een beveiligingsincident een zorginstelling gemiddeld 1,2 miljoen euro. Bedrijven in de zorgsector hebben er dus alle belang bij op de hoogte te blijven van populaire aanvalskanalen en -strategieën van cybercriminelen. Het rapport van Fortinet laat drie voornaamste en actuele bedreigingen zien:
1. Gerichte ransomware-aanvallen
Bedrijven in de zorgsector, zoals ziekenhuizen, zijn een aantrekkelijk doelwit van ransomware-aanvallen. Deze zijn steeds gerichter en beter gepland. Zo is er de variant LockerGoga die aanmeldingsgegevens voor accounts met speciale toegangsrechten bemachtigt. Dit wijst erop dat cybercriminelen de beveiligingsmechanismen van het netwerk van hun slachtoffer uitvoerig bestuderen en vervolgens passende tegenmaatregelen ontwikkelen. Ook Anatova steekt de kop op. Deze malware versleutelt zoveel mogelijk bestanden en beperkt de kans op gegevensherstel tot een minimum.
Instellingen in de zorgsector moeten dus minstens over up-to-date back-ups beschikken. Ze zijn nu vaak bereid om losgeld te betalen en deze toegeeflijkheid is het gevolg van een gebrekkige strategie en planning op het gebied van gegevensherstel en bedrijfscontinuïteit. Na betaling van het losgeld is het mogelijk dat sommige herwonnen data ontbreken of beschadigd blijken te zijn, met alle gevolgen van dien voor de patiëntveiligheid.
2. ‘Living off the land’-aanvallen
Bij ‘living off the land’-aanvallen maken cybercriminelen misbruik van vooraf geïnstalleerde tools op de systemen van hun doelwit. Detectie wordt voorkomen omdat de geïnjecteerde kwaadaardige code deel uit lijkt te maken van een goedgekeurd proces in de zorgsector. PowerShell, deel van Windows, is bijzonder in trek bij cybercriminelen. Zij gebruiken deze beheer- en scripttool om ransomware en andere kwaadaardige code te verspreiden, om data te versleutelen en om zich een weg door het netwerk van hun slachtoffer te banen.
Aangezien er ook in de zorgsector een steeds groter aantal IoT-apparaten worden verbonden met het netwerk zouden IT-teams daarom alle apparatuur regelmatig moeten inspecteren. Zo voorkomen ze dat vooraf geïnstalleerde tools door hackers als springplank naar het netwerk worden gebruikt.
3. Activiteiten voor en na een beveiligingsincident
In de zorgsector is uptime van levensbelang. Zo moet het netwerk van de spoeddienst te allen tijde beschikbaar zijn terwijl in andere afdelingen de activiteit na de kantooruren wel stilvalt. Apparaten die zich dan buiten de gangbare werktijden aanmelden, kunnen wijzen op een cyberaanval. Zo kunnen bedrijfskritische netwerken zoals dat van de spoeddienst kwetsbaar worden. Instellingen in de zorgsector moeten daarom een extra beveiligingslaag aanbrengen door dergelijke netwerken te segmenteren. Daarnaast moeten ze apparaten die afwijkend gedrag vertonen in quarantaine zetten totdat de reden voor dit gedrag is achterhaald.
Uit het onderzoek van Fortinet blijkt ook dat cybercriminelen altijd op zoek zijn naar het tijdstip dat hen optimale kansen biedt. Zo vinden activiteiten in aanloop naar hacks ruwweg drie keer waarschijnlijker plaats tijdens werkdagen. De belangrijkste reden hiervoor is dat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker nodig is, zoals het klikken op een link in een phishingmail. Cybercriminelen willen optimaal gebruikmaken van deze momenten in de zorgsector, wanneer er sprake is van intensief internetgebruik. Daarom is het belangrijk om een onderscheid te maken tussen werkdagen en weekends bij het filteren van het internetverkeer om inzicht te verwerven in de killchain van uiteenlopende cyberaanvallen.