Zorginstellingen in Europa moeten de informatie-uitwisseling over cyberaanvallen verbeteren. Ook moeten zij vaker cyberoefeningen uitvoeren om weerbaar te zijn tegen de alsmaar groeiende digitale aanvallen. Dat stelt stichting Z-Cert in het rapport ‘Cybersecurity Dreigingsbeeld voor de Zorg 2024‘.
In de vijfde editie van dat rapport ziet het expertisecentrum voor cybersecurity in de zorg opnieuw een toename in het aantal digitale aanvallen tegen zorgorganisaties. ‘Criminele hackers, digitale spionnen en hacktivisten zien zorgorganisaties als legitiem doelwit om af te persen en gegevens van te stelen; ongeacht de gevolgen, zoals het verstoren van zorgprocessen.’
In 2024 hebben meerdere digitale aanvallen plaatsgevonden tegen zorginstellingen in Nederland én in Europa, schrijft de organisatie die concludeert dat er meer Europese samenwerking nodig is om cyberdreigingen in de zorgsector het hoofd te bieden. ‘De geopolitieke situatie stelt ons voor nieuwe uitdagingen’, meldt Z-Cert. ‘Terwijl criminelen profiteren van zwakke plekken in de digitale infrastructuur, blijven belangrijke spelers in de zorgsector onvoldoende samenwerken en aarzelen om gevoelige informatie te delen.’
Volgens Wim Hafkamp, directeur Z-Cert, is een stap vooruit betere communicatie tussen internationale en nationale computer security incident response teams (csirts) zoals vereist in de nieuwe NIS2-richtlijn. Ook het actieplan vanuit de Europese Commissie is volgens hem ‘een mooie vervolgstap hierop’. Verder is het belangrijk dat er binnen sectoren, zoals de zorg, meer mechanismen nodig zijn om kennis en ervaring te delen over dreigingsinformatie. ‘Zonder deze uitwisseling blijven organisaties kwetsbaar voor herhaalde aanvallen.’
Meer oefeningen
Ook pleit Z-Cert voor realistische oefeningen, tests en simulaties binnen de zorgsector die vergelijkbaar zijn met de praktijk in het bankwezen. Hafkamp: ‘In sectoren als onderwijs en wetenschap zien we instellingen soms dagenlang uitvallen. Recent was DigiD slachtoffer van een grootschalige ddos-aanval. Dit soort aanvallen heeft ook impact op de zorg, omdat bij veel ziekenhuizen patiënten via DigiD inloggen op hun dossier.’
Z-Cert gaat specifiek in op dreigingen die via de leveranciersketen op de zorg afkomen. ‘Testen en simuleren is van belang om klaar te zijn voor wat gaat komen. Doe dit binnen je eigen organisatie, maar betrek ook ketenpartners’, aldus Hafkamp. Zorginstellingen, overheden en andere betrokken partijen moeten nu de handen ineen slaan en gezamenlijk actie ondernemen, vindt de stichting.
Genoemd rapport wordt vandaag in Brussel gepresenteerd.
