De Covid-19-pandemie en daaropvolgende lockdown hebben de transitie naar zorg op afstand en telehealth in een stroomversnelling doen belanden. En daarmee de adoptie van iot-apparaten voor behandelingen en online-analyse. Maar de stappen om deze apparaten op grote schaal in te zetten, brengen ook onbekende digitale dreigingen met zich mee.
Het advies van de overheid om alleen persoonlijk contact in de meest urgente gevallen toe te staan, heeft de drempel om hulp te zoeken voor niet urgente gevallen enorm vergroot. Technologie vult dat gat op. Zo vond een onderzoek van McKinsey dat zorgmedewerkers 65 procent vaker telehealth-opties bieden dan voorheen. Dit gebeurt bijvoorbeeld in de vorm van virtuele consultaties en/of verbonden apparaten. Het lijkt zelfs waarschijnlijk dat deze technologieën een permanent onderdeel worden van de zorg.
Het gebruik van verbonden internet of things (iot)-apparaten in de zorg is al enige tijd aan het toenemen. Uit een onderzoek door Ipsos Mori blijkt dat net geen kwart van de patiënten momenteel een iot-apparaat gebruikt of deze in het verleden gebruikt heeft. Zorgverleners investeren steeds meer in verbonden apparaten, van geïmplanteerde insulinepompen tot draagbare technologie voor hartslagmetingen. Deloitte voorspelt dat de markt voor verbonden medische apparaten in 2022 meer dan 158 miljard dollar waard is, vergeleken met ‘slechts’ 41 miljard dollar in 2017.
Goud
Op het eerste gezicht lijkt dit een succesverhaal voor technologie. Maar het is niet alles goud wat er blinkt. De beveiliging van veel iot-apparaten laat soms te wensen over. Persoonlijke informatie is te stelen en te misbruiken door kwaadaardige actoren die gecompromitteerde en kwetsbare apparaten gebruiken voor spionage of als onderdeel van een botnet. De verspreiding van deze technologie in de gezondheidszorg heeft de fysieke veiligheid van gebruikers onder hetzelfde vergrootglas gelegd.
Entrusts 2020 PKI en iot-trendsonderzoek, uitgevoerd onder meer dan tweeduizend it-security-professionals wereldwijd, laat zien dat bijna twee derde de veranderende functie van apparaten als grootste bedreiging ziet voor iot-apparaten. Daarnaast gaf meer dan de helft van de ondervraagden aan zich zorgen te maken over gecompromitteerde apparaten die op afstand zijn te bedienen door kwaadwillenden. Voor de medische wereld zou dat kunnen resulteren in het kapen van insulinepompen of de disruptie van zorglocaties. De effecten van dergelijke cyberaanvallen hebben serieuze consequenties voor nationale medische faciliteiten en brengen de gezondheid van de bevolking in gevaar.
Mismatch
Het overgrote deel van de respondenten in het Entrust-onderzoek benoemde maatregelen tegen deze beveiligingsrisico’s als het minst belangrijk voor iot-security. Een mismatch van prioriteiten zoals deze, dragen bij aan de security-zorgen over het enorme tempo waarin iot-apparaten worden ingezet. Zo kunnen er bijvoorbeeld gaten in de beveiliging ontstaan die veroorzaakt worden door de ongelijkheid tussen bedreiging en tegenmaatregelen.
De zorgsector is vaak doelwit van cyberaanvallen omdat er nog te vaak met verouderde apparatuur wordt gewerkt en de mensen in deze sector onder continue operationele stress staan. Aanvallen kunnen een organisatie binnen uren volledig ontmantelen, wat vaak enorme kosten tot gevolg heeft om de meest kwetsbare afdelingen zo snel mogelijk weer up and running te krijgen. Een recente studie naar de beveiligingsmogelijkheden van de zorgsector toont verschillende kwetsbaarheden aan waarmee zorgverleners momenteel worden geconfronteerd. Van terminals en apparatuur die draaien op niet-ondersteunde versies van Windows tot een gebrek aan mobiele security, hebben de afgelopen jaren geleid tot verschillende security-incidenten met mobiele apparaten. Een grotere zorg is dat 0.4 procent van de apparaten volledig onbeschermd is dankzij OS dat niet meer ondersteund wordt of omdat ze zijn gebouwd in een tijd waarin providers cybersecurity-uitdagingen niet goed begrepen. Hoewel een klein percentage zijn deze apparaten wel vaak de belangrijkste voor medici.
Naar verwachting zal dit percentage niet veranderen zonder grote financiële investeringen. Elk apparaat waarvan de software niet is te updaten, vormt een risico. Kwetsbaarheden worden aan de lopende band ontdekt en het vermogen om patches te installeren is essentieel voor de lifecycle-security van het apparaat en de veiligheid van patiënten.
Halt
Wanneer de gezondheid van de bevolking risico loopt, zoals vandaag de dag, moeten zorgverleners snel actie ondernemen om cybersecurity-gevaren te bestrijden. Het lijkt er echter op dat de it-security-community bezorgd blijft en actief bijdraagt aan de duidelijke discrepantie tussen de waargenomen digitale dreigingen en wat er is te doen om deze een halt toe te roepen. Terwijl technologie in een post-pandemische wereld een geaccepteerd onderdeel van geneeskunde en behandeling wordt, moeten de zorgsector en de security-community samenwerken om de meest kwetsbare mensen te beschermen.
Auteur: John Grimm, vicepresident Strategy & Business Development bij Entrust