Ai-content is de nieuwste cyberdreiging
Valse stemmen bedreigen de zorg
De Autoriteit Persoonsgegevens telde in 2023 ‘minimaal 178’ ransomware-aanvallen in Nederland, naast DDoS-aanvallen, phishing, digitale bekladding en supply chain-aanvallen. Geen enkele branche ontkomt eraan, en dus blijft ook de zorg niet gevrijwaard van problemen. De afgelopen maanden werden GGNet, Radboudumc, Maxima Medisch Centrum en andere organisaties getroffen. Michael Teichmann en Roy Ikink van Accenture waarschuwen voor de nieuwste cyberdreiging: ai-gegenereerde content.
Tekst: Ton Verheijen Beeld: BRIAN GUNTHER
Een lege wachtkamer in een ziekenhuis, dat willen we niet zien. Toch gebeurde dat op 19 juli 2024 in het Scheper Ziekenhuis in Emmen. De spoedeisende hulp werd gesloten en operaties moesten worden geannuleerd vanwege een wereldwijde computerstoring, die 8,5 miljoen Windows-computers raakte. Dat het ging om een foutieve update van de testsoftware van cybersecuritybedrijf CrowdStrike maakte het incident extra zuur. De cybersecuritybranche is nu zelf aanstichter van problemen en dat zal CIO’s en CISO’s van ziekenhuizen en zorginstellingen des te wantrouwender maken.
Recent werden onder meer Radboudumc en Maxima Medisch Centrum getroffen door DDoS-aanvallen. Opmerkelijk was ook de interne ‘hack’ bij de Gelderse ggz-instelling GGNet, waar tien medewerkers het psychiatrisch dossier bekeken van een oud-profvoetballer (die eind vorig jaar op de crisisafdeling was beland). De betreffende medewerkers hadden niets met zijn behandeltraject te maken en wisten dat ze het dossier niet mochten inzien. Ze konden hun nieuwsgierigheid echter niet bedwingen. Ethisch gezien uiterst verwijtbaar, vond hun werkgever, die enkelen van hen op staande voet ontsloeg.
Schaamte
Cybercriminelen hebben de zorgsector op de korrel met nieuwe technieken. IT-dienstverlener Accenture waarschuwt voor ai-gegenereerde content. ‘Deepfake omzeilt bijna alles’, zegt cybersecurity-expert Michael Teichmann, verantwoordelijk voor de Benelux en Frankrijk. Wat te denken van voice spoofing, deepfake-video’s en door ai gegenereerde desinformatie? Vanwege de opkomst van ai-criminaliteit is Accenture onlangs een samenwerking aangegaan met het Amerikaanse bedrijf Reality Defender, gespecialiseerd in technologie die realtime verdachte stemmen en gezichten identificeert, waardoor bedrijven zich beter kunnen beschermen tegen stemfraude, valse identiteit en allerhande manipulatie bij callcenters, nieuwsplatforms en zorgorganisaties.
Technology Lead Roy Ikink kent de praktijkcases en benoemt het taboe op getroffen worden: ‘Het wordt vaak niet bekend gemaakt, door schaamte of andere gevoeligheden, maar denk bijvoorbeeld aan verzekeringsfraude. Een ‘behandelend arts’ die een overboeking vraagt aan een zorginstelling en een deepfake blijkt te zijn. Of deepfakes die zich bij een ziekenhuis voordoen als ‘arts’ en vragen om patiëntgegevens van bekende personen.’
‘Een ‘behandelend arts’ die een overboeking vraagt blijkt een deepfake te zijn’
Teichmann: ‘We moeten constateren dat ai steeds meer ondersteunend is bij het vinden van gaten in de verdediging en het planten van malware. Ai geeft sneller inzicht in kwetsbaarheden, niet alleen op onderdelen maar in de hele supply chain, inclusief halffabrikaten en toeleveranciers. Vroeger moesten mensen dat allemaal handmatig uitzoeken. Nu gaat bijna alles geautomatiseerd. Cyberweerbaarheid zou een onderdeel van iedere bedrijfsstrategie moeten zijn. Iedere medewerker, in iedere organisatie, zou ervan doordrongen moeten zijn wat cybercriminelen met ai kunnen.’
Accenture beschikt over onderzoeksresultaten van hoe (on)voorbereid organisaties zijn op het gebied van cybersecurity. Daaruit blijkt dat meer dan de helft van de Europese organisaties de komende jaren meer in generatieve ai verwacht te gaan investeren, mede om zich te beschermen tegen cybersecurityrisico’s. Ikink: ‘Hierbij investeren de gezondheidssector en de financiële dienstverlening naar verwachting het meest.’ Anders gezegd: bijna de helft gaat dus niet meer investeren.
IP-adressen delen
Uit gegevens van het CyberSecurity Beeld Nederland (CBSN) blijkt dat 40 procent van de Nederlandse bedrijven in 2024 met cybercrime te maken heeft gehad, van datalekken tot telefoonstoringen, van laaghartige afpersing tot hoogmoedige spionage. Ook het CSBN ziet een speciale positie voor de zorgsector, die samen met de financiële dienstverlening het meest kwetsbaar zou zijn. Ironisch genoeg is het antwoord op ai-criminaliteit gelegen in de inzet van responsible ai. ‘Om sneller te begrijpen hoe de infectie is binnengekomen en waarop moet worden gereageerd’, stelt Michael Teichmann.
'Een huisartsenpraktijk had oude computers met medische gegevens op Marktplaats gezet. Daar helpt geen beveiligingsstrategie tegen’
Risico’s in de zorgsector zijn niet over één kam te scheren. In de farmaceutische industrie kan intellectueel eigendom worden gestolen, bij apotheken zijn patiëntendossiers interessant, in ziekenhuizen kan vitale medische apparatuur worden uitgeschakeld. En soms zijn het domme menselijke fouten die leiden tot risico’s. Ikink: ‘Een huisartsenpraktijk had oude computers inclusief harde schijven met medische gegevens op Marktplaats gezet. Tja, daar helpt geen beveiligingsstrategie tegen. Er is gewoon minder bewustzijn bij kleine organisaties.’
Bij de Brabantse zorginstelling Joris Zorg stalen cybercriminelen gegevens van cliënten en medewerkers. Ze eisten losgeld en publiceerden de gegevens toen er niet betaald werd. En wat te denken van de aanval van de ransomware-groep Qilin op Attent Zorg? Qilin stal persoonlijke gegevens van werknemers. Kopieën van paspoorten, salarisstroken, geheimhoudingsverklaringen en vertrouwelijke interne communicatie werden gelekt.
De lijst met recente hacks is bijna eindeloos. Volgens Teichmann is het ‘in ieders belang’ dat we meer informatie gaan uitwisselen om incidenten beter te begrijpen. Maar de praktijk is weerbarstig. Teichmann: ‘De NCTV wil meer openheid maar wij hebben met privacy te maken. Vaak is de informatie die kan worden gedeeld zo abstract dat we er weinig mee kunnen. Als ip-adressen kunnen worden gedeeld, wordt het voor ons al concreter en kunnen we de juiste filters instellen. Verder is onze boodschap: be brilliant at the basics. Wees goed in basale dingen, haal updates meteen binnen en niet na twee maanden. Wees er ook van bewust in welk deel van je bedrijf de meeste waarde zit. Zoek naar individuele use-cases waarin responsible ai waarde kan toevoegen.’
