Amerika kampt met grote medische hacks. Op de zwarte markt zijn medische gegevens al vijftig keer meer waard dan een gestolen creditcardnummer. Maar ook Nederlandse zorginstellingen hebben vermoedelijk al op grote schaal te maken met digitale inbraken.

    Een indringend virus dat alle computers onbruikbaar maakt en medische gegevens op slot zet. Alles moet opeens met pen, papier en de fax. Het gebeurde afgelopen week in een ziekenhuis in Californië, het Hollywood Presbyterian Medical Center. Een week lang konden zij niet met de computers werken omdat hackers, via een virus, de gegevens gijzelden. De eis: 40 bitcoins, ongeveer 15.000 euro. De losprijs werd betaald. Een nieuwe lucratieve criminele business, zo lijkt het. Niet alleen Amerikaanse zorginstellingen zijn slachtoffer, afgelopen week zijn ook Duitse ziekenhuizen aangevallen met hetzelfde virus en ook in Nederland blijken zorginstellingen doelwit te zijn; het bedrijf Dearbytes bracht onlangs naar buiten dat ruim honderd zorginstellingen vorig jaar een verdachte virusmelding kregen. 

    FBI voorspelling komt uit: toename hacks in gezondheidszorg

    Kamerlid Renske Leijten (SP) is iemand die zich zorgen maakt over de digitale inbraken. Leijten wil openheid en eist een overzicht van alle zorginstellingen die de afgelopen vijf jaar problemen hebben ondervonden op dit gebied. Daarmee doelt ze op problemen in de beveiliging van hun elektronische datasystemen en apparaten, waardoor de privacy en de persoonlijke gegevens van cliënten en patiënten in gevaar kunnen zijn geweest. Ze vreest dat het niet best gesteld is met het algemene niveau van de informatiebeveiliging van de zorginstellingen en diende begin februari Kamervragen in voor minister Schippers en minister Van der Steur.

    Leijten verwijst in haar Kamervragen naar een rapport uit 2014 waarin de FBI haar overheid waarschuwt voor een toename van hacks in de gezondheidszorg. In het rapport staat onder andere dat een deel van een medisch patiëntendossier voor 50 dollar wordt verkocht op de zwarte markt, in vergelijking met één dollar voor een creditcardnummer. Het onderzoek van RSA — de beveiligingsdevisie van het Amerikaanse data-opslagbedrijf EMC — waar de FBI naar verwijst, meent dat een ‘gewone’ identiteit 2.000 dollar oplevert op de zwarte markt en een medische identiteit 20.000 dollar.

    Iets minder dan een jaar na de waarschuwing van de FBI kopte de Financial Times dat zorginstellingen het doelwit zijn van kwaadwillige hacks. Drie van negen grootste hacks van de afgelopen jaren in de VS vielen in deze sector. Een van de meest recente aanvallen was ook een van de grootste in deze sector: de aanval op de zorgverzekeraar Excellus BlueCross BlueChield. De medische gegevens van 10 miljoen mensen lagen op straat. Hoewel de inbraak afgelopen augustus werd ontdekt, bleek de kraak al in december 2013 te zijn ingezet.

    De medische gegevens van 10 miljoen mensen lagen op straat

    Ethisch hacker Jeroen van Beek kan vertellen waarom juist de zorgsector zo interessant is voor digitale criminelen. ‘Er zit een hele markt achter verzamelde data met de simpele regel: hoe meer je over iemand weet, hoe waardevoller het wordt. Een medisch dossier bevat gedetailleerde informatie.  Een partij met toegang tot medische gegevens heeft vaak toegang tot heel veel dossiers. De mix van het type: de gevoelige informatie, en de schaalgrootte: de vele dossiers, is explosief en zal interesse wekken bij criminelen. Slechts met één succesvolle hack bij een lokale instelling kun je mogelijk toegang krijgen tot interessante gegevens van honderdduizenden mensen.’

    Aandacht hackers verschuift naar Europa

    In het rapport van Nationaal Cyber Security Nederland, van het ministerie van veiligheid en justitie, staat deze dreiging in de zorgsector benoemd: ‘Een nieuwe ontwikkeling in de afgelopen periode was de sterke stijging van het aantal datadiefstallen gericht op patiëntinformatie. Vooral in de Verenigde Staten waren ziektekostenverzekeraars en medische instellingen een gewild doelwit. Gezien de hoeveelheid geld die ook in Nederland in deze sector wordt omgezet, worden dergelijke gegevens mogelijk een aantrekkelijk doelwit. Desondanks is in Nederland geen grote diefstal van medische gegevens ontdekt.’ Volgens dit rapport is ransomware het cybercriminele businessmodel bij uitstek. Ransomware is een chantagemethode door middel van zogenaamde malware. Malware is een verzamelwoord van elk soort software dat computersystemen probeert te verstoren. Het woord 'ransomware' is dus een vervoeging van het Engelse woord ransom — dat 'losgeld' betekent — en het woord 'malware'.


    Informatiebeveiliger Erik Remmelzwaal

    "Hacken gebeurt in Nederland ook op grote schaal, het wordt alleen onder de pet gehouden"

    Volgens het Nationaal Cyber Security Rapport zijn er dus nog geen grote diefstallen ontdekt; maar dat ze hebben plaatsgevonden blijkt een gegeven. Dat bevestigt Erik Remmelzwaal, directeur informatiebeveiliging DearBytes: ‘Hacken met criminele doeleinden gebeurt ook in Nederland op grote schaal. Er is alleen geen volledig inzicht in de schaal omdat ieder bedrijf die dit overkomt het graag onder de pet houdt. Meerdere malen per week bellen weer nieuwe organisaties die besmet zijn geraakt met een virus.’ Dat een virus onschuldig lijkt maar grote gevolgen kan hebben legt Remmelzwaal uit: ‘In veel gevallen gaat het om ransomware. Dit is een soort computervirus dat bijvoorbeeld bestanden als patiëntendossiers, röntgenfoto’s, excelbestanden met afspraken of andere gevoelige data op slot kan zetten. Het begint bij een e-mail of kwaadaardige website op een computer maar het kan effect hebben op het gehele netwerk. Vervolgens krijgt de getroffen organisatie een melding van de hacker zelf. Deze geeft aan losgeld te willen, vaak in Bitcoins, in ruil voor de digitale sleutel.’ Precies deze tactiek gebruikten de hackers vorige week bij de aanval op het ziekenhuis in Californië.

    ‘Van de 421 virusmeldingen waren er 106 binnen zorginstellingen’

    Dat zorginstellingen worden geteisterd door Ransomware gebeurt niet alleen in Amerika, het gebeurt ook volop in Nederland. Remmelzwaal: ‘Het lijkt erop dat de zorg een bovengemiddeld doelwit is wat betreft ransomware. Van de 421 virusmeldingen die wij binnen kregen om te verhelpen afgelopen jaar, zijn er 106 van zorginstellingen geweest. Een melding telt natuurlijk al wanneer er ransomware bij één computer is geconstateerd, maar ransomware breidt zich altijd snel uit wanneer er netwerkmappen op die computer staan. Er zijn ook zeker meldingen geweest die zich al hadden uitgebreid. Opvallend is dat getroffen instellingen vaak meerdere malen achter elkaar doelwit zijn. Net als een inbreker die terugkeert bij een huis waar hij al slag heeft geslagen. Als er bitcoins worden gevraagd, adviseren wij altijd niet te betalen. We proberen het virus tegen te gaan door versleutelde bestanden te ontsleutelen of uit een backup te herstellen. Naast chantage met ransomware kan het ook zijn dat de hacker de intentie heeft tot identiteitsdiefstal. Een hacker steelt dan persoonsgegevens om deze door te verkopen of om deze zelf te gebruiken voor bijvoorbeeld bij het plaatsen van bestellingen. Dat soort aanvallen lijkt minder voor te komen, maar het kan ook zijn dat deze gewoon niet worden gezien.’

    Rode loper voor de hacker

    Dat het eventuele criminele hackers gemakkelijk wordt gemaakt, blijkt al wel uit de vele nieuwsberichten afgelopen jaren over het falen van de informatiebeveiliging. Bij het Groene Hart ziekenhuis in Gouda zijn medische dossiers van honderdduizenden patiënten jarenlang via internet toegankelijk geweest op een nauwelijks beveiligde computer. Een simpel wachtwoord? Fractievoorzitter Henk Krol van 50Plus — die naar eigen zeggen nauwelijks zijn Facebookaccount kan beheren — wist met vijf identieke cijfers in te loggen op het systeem van GGZ Eindhoven. Een onbeveiligde link? Vorige week werd door het programma Meldpunt bekend dat ruim 200.000 patiëntbestanden uit Nederlandse en Belgische ziekenhuizen op straat hebben gelegen door een fout van een scanbedrijf dat de dossiers digitaliseert. Ditzelfde scanbedrijf iGuana liet de patiëntendossiers scanklaar maken door gedetineerden in de Leuvense gevangenis. De Nederlandse ziekenhuizen die dit hadden uitbesteed, waren van deze praktijken niet op de hoogte, aldus het programma Meldpunt.

    Grootste gevaar? ‘De gedachte: dit overkomt mij toch niet’

    Toevalligheden van nalatigheid? De Autoriteit Persoonsgegevens onderzocht in 2013 negen zorginstellingen. Alle onderzochte zorginstellingen hadden de zaken niet op orde wat betreft de beveiliging van persoonsgegevens. Alleen bekende Nederlanders en bestuursleden kregen voldoende bescherming. Stichting Bits of Freedom, een onafhankelijke belangenorganisatie die opkomt voor digitale burgerrechten, hield tot en met het jaar 2013 een 'Zwartboek Datalekken' bij. Datalekken in de zorg kwamen regelmatig langs. Medewerker Rejo Zenger: ‘Wat mij schokte is dat er in verloop van tijd geen afname te zien was in het soort stommiteiten, daar is weinig verbetering in te zien. Bedrijven en organisaties weten niet welk risico ze lopen en denken vaak te lichtzinnig met: dit overkomt mij toch niet. Over het aantal valt niet veel te zeggen. Wij hielden datalekken bij die of door het nieuws of door een melding bekend werden gemaakt. Het is mogelijk dat heel veel lekken niet aan het licht zijn gekomen.’


    IT-beveiligingsexpert Pim Volkers

    "Dit zijn geen jochies van dertien, het zijn georganiseerde groepen criminelen die succesvolle zakenmannen zouden kunnen zijn"

    Pim Volkers werkzaam bij beveiligingsbedrijf Fox-IT én directeur van The European Cyber Security Group: ‘Vaak denken mensen bij hackers dat het kleine jochies van dertien jaar zijn die alleen en zelfstandig opereren. Maar daar waar geld valt te verdienen ontstaan misdaadnetwerken. Achter de taferelen in Amerika zitten georganiseerde groepen van hele slimme, volwassen jongens die, als ze niet in het criminele circuit zouden zitten, succesvolle zakenmannen zouden zijn. Wanneer Amerika zich beter gaat beveiligen tegen deze grootschalige aanvallen verschuift de aandacht naar Europa. Sommige Nederlandse zorginstellingen werken echt nog met heel oude apparatuur en hangen vast aan Windows XP systemen; dat moet echt heel snel gaan veranderen. Aan een elektronisch patiëntendossier zal ik zelf niet mee willen werken, dat is op dit moment veel te kwetsbaar.’

    Zorgsector is niet voorbereid 

    Voorbeelden van wat hackers met onze medische gegevens kunnen doen laat het FBI rapport ook zien: Een patiëntendossier kan worden gebruikt voor het indienen van valse schadeclaims, het krijgen van voorgeschreven medicatie en identiteitsdiefstal. Een gestolen medisch dossier is bovendien moeilijker te detecteren en kost twee keer zoveel tijd om op te sporen als een ‘gewone’ identiteitsdiefstal. Volgens het rapport is de gezondheidszorg als sector technisch niet voorbereid op dit soort aanvallen.

    Wie is verantwoordelijk voor de bescherming voor onze gegevens? Annemarie Smilde specialist gezondheidsrecht bij VvAA, dienstverlener in de zorg, vertelt:  ‘De bescherming van privacy van patiënten is de gezamenlijke verantwoordelijkheid van instellingen in de zorg, zoals ziekenhuizen, én van de artsen in de instellingen zelf. Dit staat beschreven in de Wet Bescherming Persoonsgegevens (WBP) en  de Wet op de Geneeskundige Behandelovereenkomst (WGBO). De regels over geheimhouding van gegevens zijn bekend, maar door de digitalisering in de zorg kan het beroepsgeheim wel onder druk komen te staan. Zo is bijvoorbeeld Whatsapp duidelijk geen veilig communicatiemiddel, maar wat nou als 'een appje' een leven kan redden?

    Medisch beroepsgeheim in geding

    Artsen zijn zich er vaak niet van bewust dat een patiënt hen persoonlijk ter verantwoording kan roepen door een klacht in te dienen bij het Tuchtcollege voor de gezondheidszorg, als zij onveilig omgaan met medische gegevens. Al hoeft een succesvolle aanval van een hacker niet meteen te betekenen dat je je als arts schuldig hebt gemaakt aan schending van het medisch beroepsgeheim. Geen enkel systeem is immers volledig veilig. Maar een verkeerde adressering van een mail of inzage door een schoonmaker in een medisch dossier kan een arts wel in de problemen brengen. Ook kan een arts of een zorginstelling in zo’n geval te maken krijgen met een aansprakelijkstelling voor de schade die een patiënt lijdt ten gevolge van nalatigheid. Er bestaan zogenoemde cyberverzekeringen voor dit risico.’  

    ‘juist met het openbaar maken van datalekken creëer je bewustwording’

    Per 1 januari 2016 zijn instellingen en praktijkhouders in de zorg verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. Onder de zogeheten 'meldplicht datalekken' vallen niet alleen hacks, maar alle incidenten waardoor patiëntengegevens verloren zijn gegaan of waardoor het risico bestaat op wijzigingen en kennisneming door onbevoegden of ander onbedoeld gebruik. De Autoriteit Persoonsgegevens kan maatregelen nemen zoals het opleggen van boetes als blijkt dat de beveiliging niet op de orde is of als de patiënt niet op de hoogte is gebracht van een datalek. Daarbij kan de boete oplopen tot 820.000 euro of 10 procent van de jaaromzet. De Autoriteit kan tevens maatregelen bekend maken op haar site. Rejo Zenger is blij met deze wet die Bits of Freedom tot stand hielp komen. Hij pleit voor openheid. ‘Juist bij bekendmaking, creëer je bewustwording en kunnen anderen leren van de problemen die daarbij ten grondslag lagen.’

    Of de meldplicht effect heeft moet nog blijken. Bernold Nieuwesteeg, wijdde zijn scriptie aan de Technische Universiteit Delft en Universiteit Utrecht aan dit onderwerp. Aan de hand van onderzoek naar het effect van de Amerikaanse versie van deze wet, voorspelt hij dat de meldplicht zijn doel voorbij gaat schieten. ‘Lang niet alle organisaties gaan de datalekken melden,' aldus Nieuwesteeg. Met name een kleine pakkans en het risico op imagoschade van openbaarmaking spelen daarbij volgens hem een rol. 'Een organisatie denkt wel twee keer na om een datalek op te geven. De Autoriteit Persoonsgegevens heeft al aangegeven weinig mankracht te hebben.’

    Veiligheid bungelt onderaan de lijst

    Kamerlid Leijten heeft genoeg van het aantal incidenten dat zich al heeft voorgedaan, Leijten: ‘Ziekenhuizen moeten zich bezighouden met tal van vraagstukken. Ik vermoed dat de veiligheid van digitale opslag ergens onderaan het lijstje bungelt.  Dat verwijt ik de ziekenhuizen niet; het is een heel gecompliceerd vraagstuk. Maar hier moet snel iets aan gebeuren. Het zou niet misstaan dat je als overheid zegt: we gaan jullie helpen en nemen de coördinatie in handen.'

    Op de vraag van Follow the Money of de lijst met zorginstellingen die problemen hebben ondervonden bekend wordt gemaakt, antwoord Leijten het volgende: ‘Ik houd niet van geheime documenten. Je maakt het niet openbaar om daarmee zorginstellingen aan te klagen, maar je maakt het openbaar om te kunnen helpen. Dat hoeft niet direct na een inventarisatie maar als blijkt dat er binnen een jaar geen werk van gemaakt is, ja dan wil ik graag weten welke organisatie dat is. Als gegevens niet veilig zijn moet dat op een korte termijn opgelost worden. Hoe langer we het op zijn beloop laten hoe meer we dit soort situaties van nalatigheid krijgen.’

     

    De Kamervragen over de staat van beveiliging liggen nog bij minister Schippers en minister Van der Steur. De Autoriteit Persoonsgegevens heeft afgelopen week een open brief gepubliceerd met een oproep aan alle zorginstellingen meer aandacht te geven aan de beveiliging van elektronische patiëntendossiers.

    Deel dit artikel, je vrienden lezen het dan gratis

    Over de auteur

    Marjolein Bakker

    Volg Marjolein Bakker
    Verbeteringen of aanvullingen?   Stuur een tip
    Annuleren
    Dit artikel zit in het dossier

    Hoe kwetsbaar zijn we online?

    Gevolgd door 979 leden

    Het internet heeft ons kwetsbaar gemaakt. Mal- en ransomware, hackers, cyberspionnen en zwarte markten bedreigen de online én...

    Volg dossier