Gerichte ransomware-aanvallen, zogenaamde ‘living off the land’-aanvallen en het ontbreken van netwerk-segmentatie zijn de drie voornaamste cyberdreigingen binnen de zorgsector. Bovenop het in gevaar brengen van mensenlevens kost het herstellen van een beveiligingsincident dat veroorzaakt wordt door één van deze dreigingen een zorginstelling gemiddeld 1,2 miljoen euro.
Dit meldt cyberbeveiliger Fortinet in zijn Threat Landscape Report. Ziekenhuizen zijn volgens het bedrijf een aantrekkelijk doelwit van ransomware-aanvallen. ‘Deze zijn steeds gerichter en beter gepland. Zo is er de variant LockerGoga die aanmeldingsgegevens voor accounts met speciale toegangsrechten bemachtigt. Dit wijst erop dat cybercriminelen de beveiligingsmechanismen van het netwerk van hun slachtoffer uitvoerig bestuderen en vervolgens passende tegenmaatregelen ontwikkelen.
Ook Anatova steekt de kop op. Deze malware versleutelt zoveel mogelijk bestanden en beperkt de kans op gegevensherstel tot een minimum’, aldus de onderzoekers. Zorginstellingen moeten volgens Fortinet dus minstens over up-to-date back-ups beschikken. Ook stelt de cyberbeveiliger dat ziekenhuizen te vaak bereid zijn om losgeld te betalen. Deze toegeeflijkheid is volgens Fortinet het gevolg van ‘een gebrekkige strategie en planning op het gebied van gegevensherstel en bedrijfscontinuïteit’. Na betaling van het losgeld is bovendien het mogelijk dat sommige herwonnen data ontbreken of beschadigd blijken te zijn, met alle gevolgen van dien voor de patiëntveiligheid.
‘Living off the land’-aanvallen
Bij ‘living off the land’-aanvallen maken cybercriminelen misbruik van vooraf geïnstalleerde tools op de systemen van hun doelwit. Detectie wordt voorkomen omdat de geïnjecteerde kwaadaardige code deel uit lijkt te maken van een goedgekeurd proces. PowerShell, deel van Windows, is volgens de analisten bijzonder in trek bij cybercriminelen. Zij gebruiken deze beheer- en scripttool om ransomware en andere kwaadaardige code te verspreiden, om data te versleutelen en om zich een weg door het netwerk van hun slachtoffer te banen.
Aangezien er een steeds groter aantal IoT-apparaten worden verbonden met het netwerk zouden it-teams volgens Fortinet daarom alle apparatuur regelmatig moeten inspecteren. Zo voorkomen ze dat vooraf geïnstalleerde tools door hackers als springplank naar het netwerk worden gebruikt.
Netwerksegmentatie essentieel
‘In de gezondheidszorg is uptime van levensbelang. Zo moet het netwerk van de spoeddienst te allen tijde beschikbaar zijn terwijl in andere afdelingen de activiteit na de kantooruren wel stilvalt. Apparaten die zich dan buiten de gangbare werktijden aanmelden, kunnen wijzen op een cyberaanval’, zo stellen de analisten. Op deze manier kunnen bedrijfskritische netwerken zoals dat van de spoeddienst kwetsbaar worden. Zorginstellingen zouden daarom een extra beveiligingslaag moeten aanbrengen door dergelijke netwerken te segmenteren. Daarnaast is het volgens de onderzoekers essentieel dat ze apparaten die afwijkend gedrag vertonen in quarantaine zetten totdat de reden voor dit gedrag is achterhaald.
Hackers slaan toe tijdens optimaal tijdstip
Uit het onderzoek van Fortinet blijkt ook dat cybercriminelen altijd op zoek zijn naar het tijdstip dat hen optimale kansen biedt. Zo vinden activiteiten in aanloop naar hacks ruwweg drie keer waarschijnlijker plaats tijdens werkdagen. De belangrijkste reden hiervoor is dat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker nodig is, zoals het klikken op een link in een phishingmail. Cybercriminelen willen optimaal gebruikmaken van deze momenten, wanneer er sprake is van intensief internetgebruik. Daarom is het volgens de onderneming belangrijk om een onderscheid te maken tussen werkdagen en weekends bij het filteren van het internetverkeer om inzicht te verwerven in de ´killchain´ van uiteenlopende cyberaanvallen.