| cybersecurity Wat gebeurt er bij een ransomware-aanval? Bij aanvallen stellen gespecialiseerde hackers alles in het werk om toegang tot systemen te krijgen, bijvoorbeeld door gebruikersnamen en wachtwoorden uit te proberen of phishingmails rond te sturen. Vervolgens wordt binnen het netwerk de rol van systeembeheerder overgenomen om de gijzelsoftware overal te verspreiden. Data worden gestolen en versleuteld en back-ups eveneens onleesbaar gemaakt. De ‘onderhandelingen’ over het losgeld kunnen beginnen. Wat is de impact van cyberaanvallen? Wat is de impact van cyberaanvallen? • 34 procent van zorginstellingen wereldwijd werd direct of indirect geraakt door een ransomware-aanval in 2020. • Bij tweederde van die aanvallen werden data geblokkeerd en gestolen. • Het gemiddeld aantal dagen downtime per incident was 23 (voor allerlei sectoren bekeken). • 93 procent van de zorginstellingen kregen uiteindelijk hun data terug. • Bij 34 procent van de getroff en organisatie werd losgeld betaald. Ze kregen daarna gemiddeld maar 69 procent van de versleutelde data terug. • Het gemiddelde losprijsbedrag bij zorgorganisaties (1.000-5.000 medewerkers) was vorig jaar wereldwijd 195.000 euro. Dat is relatief laag vergeleken met het bedrijfsleven. • De gemiddelde herstelkosten na een ransomware-aanval zijn in de zorg ruim een miljoen euro (inclusief eventueel losgeld). • 89 procent van de zorgorganisaties hebben een draaiboek klaarliggen voor een malware- incident. Bron: ‘The State of Ransomware in Healthcare 2021’ van cybersecurity-expert Sophos. Die liet onderzoek doen onder 5.400 IT-managers in 30 landen, onder wie 328 respondenten uit de zorg. en VWS betaalt een deel. Z-CERT draagt informatie over via onder meer webinars en publicaties. Het communiceert continu met het Nationaal Cyber Security Centrum (NCSC) in Den Haag, onderdeel van het ministerie van Justitie en Veiligheid, en informeert de deelnemers meteen over kwetsbare situaties. “Er zijn diverse dreigingsgradaties: soms zijn lekken in systemen best moeilijk te misbruiken en is de kans dat je geraakt wordt niet zo groot. Dat noemen we dan medium-medium. Het loopt op tot high-high: een bedreiging met een grote kans en een grote impact.” Als Z-CERT actief misbruik signaleert, gaat er een operational alert naar de deelnemers, die precies weten wat ze moeten doen. Zo werd dit jaar tot twee keer toe de hoogste waarschuwing uitgegeven voor problemen met Microsoft Exchange, de groupwareserver om te e-mailen, contacten bij te houden en agenda's te beheren. Let op: er zijn nú cybercriminelen bezig om in te breken. Vergaarbak met digitale sporen Bij een nieuwe ‘high-high’ kwetsbaarheid gaan de Z-CERT-medewerkers actief op zoek naar wie zo’n toepassing op dat moment online hebben draaien en bellen de deelnemers ook nog eens extra op of ze in de gaten hebben wat er aan de hand is. “We bedienen grote en kleine zorginstellingen, met een enorme of een beperktere IT-capaciteit. Dat maakt niet uit. Als er een operationeel alert is, moeten ze ander werk uit handen laten vallen en bijvoorbeeld meteen spoed-updates uitvoeren. Soms bellen we zelfs niet-deelnemende zorginstellingen dat er ernstige gevaren dreigen, al is dat vaak wat lastiger. Daar hebben we geen vertrouwensband mee. Mensen die we aan de lijn krijgen, zijn af en toe bang dat je ze iets probeert te verkopen en hangen op.” Atrium met dakraam Ook is er het ZorgDetectieNetwerk, een up-to-date vergaarbak met allerlei digitale sporen van bekende cybercriminelen en statelijke actoren. Die zogeheten indicators of compromise komen van overal, van het NCSC, Z-CERT, van de zorginstellingen zelf. Een zorginstelling kan checken of die digitale sporen ook voorkomen in haar netwerk en er dus opgetreden moet worden tegen deze infecties. Drie hoofdmethoden “Kijk”, doceert Hanstede. “Eigenlijk zijn er drie hoofdmethoden die cybercriminelen gebruiken bij ransomware-incidenten. Als je daar als zorginstelling op inzoomt, zijn veel problemen te verkomen.” Zo’n 35 procent komt door de genoemde malware, kwaadaardige software die hackers naar binnen weten te krijgen. Eveneens 35 procent gebeurt door RDP, Remote Desktop Protocol-verbindingen waarmee systeembeheerders normaliter op afstand inloggen op Windows: cybercriminelen proberen allerlei wachtwoorden en gebruiksnamen uit en soms is Een ziekenhuis kan rechtstreeks aangevallen worden, maar net zo goed indirect via zijn vele leveranciers 15
16 Online Touch Home