Trace Id is missing

De gezondheid­szorg in de Verenigde Staten in gevaar: versterk de weerbaarheid tegen ransomware-aanvallen

Delen
Een groep medisch specialisten kijkt naar een tablet

De Gezond­heids­zorg heeft te maken met een snel toenemend bereik van cyberbeveiligingsdreigingen, waarvan aanvallen met ransomware tot de meest significante behoren. Een combinatie van waardevolle patiëntgegevens, onderling verbonden medische apparaten en weinig personeel op het gebied van IT en cyberbeveiliging, waardoor de hulpbronnen beperkt zijn, kan zorginstellingen de belangrijkste doelwitten maken voor bedreigingsactoren. Nu de Gezond­heids­zorg in toenemende mate wordt gedigitaliseerd, van elektrische patiëntendossiers (EPD) tot digitale platforms voor medicijnen en verbonden medische apparaten, wordt de kwetsbaarheid voor aanvallen van ziekenhuizen complexer, waardoor hun kwetsbaarheid voor aanvallen groeit.

De volgende gedeeltes bieden een overzicht van het actuele cyberbeveiligingslandschap in de gezondheid­szorg, waarin de nadrukt ligt op status van de branche als belangrijk doelwit, het groeiende aantal ransomware-aanvallen en de ernstige gevolgen op het gebied van financiën en patiëntenzorg die deze bedreigingen opleggen.

Een videodiscussie geleid door Sherrod DeGrippo, directeur bedreigingsinformatiestrategie bij Microsoft, verkent deze kritieke problemen verder en biedt inzicht van deskundigen op het gebied van bedreigingsactoren, herstelstrategieën en de kwetsbaarheden binnen de Gezond­heids­zorg.

De Microsoft Bedreigingsinformatie-briefing: Gezond­heids­zorg

Sherrod DeGrippo, directeur bedreigingsinformatiestrategie bij Microsoft Bedreigingsinformatie, leidt een levendig rondetafelgesprek met deskundigen op het gebied van bedreigingsactoren en Gezond­heids­zorg, die onder meer onderzoeken wat juist de Gezond­heids­zorg zo vatbaar maakt voor ransomware-aanvallen, welke tactieken groepen van bedreigingsactoren gebruiken en hoe je veerkrachtig kunt blijven.
  • Volgens Microsoft Bedreigingsinformatie behoort de Gezond­heids­zorg/publieke zorgbranche tot de 10 sterkst getroffen branches in het tweede kwartaal van 2024.1
  • Ransomware-as-a-service (RaaS) heeft de toegangsdrempels voor aanvallers met een gebrek aan technische expertise verlaagd, terwijl Rusland een veilige haven biedt voor ransomwaregroepen. Het gevolg daarvan is dat sinds 2015 het aantal ransomware-aanvallen met 300% is gestegen.2
  • In dit fiscale jaar werden in de VS 389 instellingen voor Gezond­heids­zorg getroffen door ransomware, wat heeft geleid tot stilval van netwerken, offline systemen, vertraging in kritieke medische procedures en verzette afspraken3. De aanvallen kosten veel geld: één brancherapport laat zien dat zorginstellingen alleen al aan uitvaltijd gezamenlijk tot USD$900.000 per dag verliezen.4
  • Van de 99 zorginstellingen die hebben toegegeven het losgeld te hebben betaald en het betaalde losgeld bekend hebben gemaakt,was de mediaanbetaling USD$1.500.000 en de gemiddelde betaling USD$4.400.000.5

Grote impact op de patiëntenzorg

De verstoring van activiteiten in de Gezond­heids­zorg veroorzaakt door een ransomware-aanval kan de mogelijkheid om patiënten effectief te behandelen ernstig beïnvloeden, niet alleen bij getroffen ziekenhuizen, maar ook bij die in de nabije omgeving, die verdrongen patiënten met behoefte aan spoedeisende hulp opvangen.6

Neem de bevindingen van een recent onderzoek, dat laat zien hoe een ransomware-aanval gericht op vier ziekenhuizen (twee aangevallen en twee niet getroffen) bij twee niet getroffen ziekenhuizen in de omgeving leidde tot een toegenomen aantal patiënten op de spoedeisende hulp, langere wachttijden en een extra druk op hulpbronnen, in het bijzonder als het gaat om tijdgevoelige zorg als behandeling van beroertes.7
Toegenomen aantal beroertes: De ransomwareaanval zette het algehele ecosysteem van de Gezond­heids­zorg significant onder druk, aangezien de niet getroffen ziekenhuizen patiënten van de getroffen ziekenhuizen moesten opnemen. Het aantal mogelijke beroertes bij de ziekenhuizen in de buurt verdubbelde bijna, van 59 tot 103, terwijl het aantal bevestigde beroertes steeg met 113,6%, een toename van 22 tot 47 gevallen.
Toegenomen aantal hartstilstanden: De aanval zorgde voor onrust binnen de Gezond­heids­zorg, doordat het aantal hartstilstanden bij de getroffen ziekenhuis steeg van 21 naar 38, een toename van 81%. Dit weerspiegelt de trapsgewijze invloed van het schaden van één ziekenhuis, waardoor ziekenhuizen in de omgeving de ernstigere gevallen moeten afhandelen.
Afname van aantal overlevenden met een gunstig neurologisch resultaat: De overlevingsratio voor hartstilstanden buiten het ziekenhuis met een gunstig neurologisch resultaat nam tijdens de aanval drastisch af voor de niet getroffen ziekenhuizen, van 40% voor de aanval tot 4,5% gedurende de aanval.
Toename van aantal ambulances: Het aantal ambulances dat aankwam bij de 'niet-getroffen' ziekenhuizen nam gedurende de aanval toe met 35,2%, wat wijst op een significante uitwijking van ambulanceverkeer vanwege de door ransomware veroorzaakte ontregeling bij de getroffen ziekenhuizen.
Pieken in patiëntvolumes: Omdat de aanval vier ziekenhuizen in de omgeving compromitteerde (twee aangevallen en twee niet getroffen), ervoeren de spoedafdelingen van niet-getroffen ziekenhuizen een significante instroom van patiënten. De patiëntenlast bij deze niet getroffen ziekenhuizen steeg met 15,1% gedurende de aanval in vergelijking met voorafgaand aan de aanval.
Verdere ontwrichtingen in de zorg: Tijdens de aanvallen hadden de niet getroffen ziekenhuizen te maken met merkbare stijgingen van het aantal patiënten dat vertrok zonder consult, de tijd doorgebracht in de wachtkamer en de totale verblijfsduur van opgenomen patiënten. Zo nam de mediaan van de tijd doorgebracht in de wachtruimte toe van 21 minuten voor de aanval tot 31 minuten tijdens de aanval.

Ransomware-casestudie

Ransomware-aanvallen in de Gezond­heids­zorg kunnen rampzalige gevolgen hebben, niet alleen voor de aangevallen instellingen, maar ook voor de patiëntenzorg en de operationele stabiliteit. De volgende casestudie illustreert de verstrekkende gevolgen van ransomware voor verschillende soorten zorginstellingen, van reusachtige ziekenhuizen tot kleine veldhospitalen, met de nadruk op de verschillende manieren waarop aanvallers netwerken infiltreren en de resulterende verstoringen van essentiële zorgverlening.
  • Aanvallers gebruikten gecompromitteerde inloggegevens om toegang tot het netwerk te krijgen via een kwetsbare gateway voor externe toegang zonder meervoudige verificatie. Ze versleutelden met hun plan voor een dubbele afpersing kritieke infrastructuur en verkregen gevoelige gegevens, waarvan ze dreigden deze vrij te geven tenzij er losgeld werd betaald.

    Impact:     De aanval veroorzaakte ontwrichtingen, waardoor 80% van de zorgverleners en apotheken niet kon controleren of iemand verzekerd was en geen claims kon verwerken. 
  • Aanvallers misbruikten een beveiligingsprobleem in de niet-gepatchte verouderde software van het ziekenhuis, waarna ze hun weg vonden naar de ingeplande afspraken en patiëntendossiers. Door middel van een dubbele afpersingstactiek verkregen ze gevoelige gegevens, die ze dreigen vrij te geven tenzij er losgeld werd betaald.

    Impact: De aanval verstoorde de activiteiten, wat leidde tot afgezegde afspraken, vertraagde operaties en een verschuiving naar handmatige processen, die het personeel overbelastte en de zorg vertraagde. 
  • Aanvallers gebruikten phishingmails om toegang te krijgen tot het ziekenhuisnetwerk en misbruikten niet-gepatchte kwetsbaarheden om ransomware te implementeren, waarna ze het EPD en systemen voor patiëntzorg versleutelden. Met een dubbele afpersingstechniek verkregen ze gevoelige patiëntgegevens en financiële gegevens, waarna ze dreigden deze te lekken als er geen losgeld werd betaald. 

    Impact:     De aanval ontwrichtte vier ziekenhuizen en meer dan 30 klinieken, waardoor behandelingen moesten worden uitgesteld en spoedpatiënten moesten uitwijken. Ook waren er zorgen over het lekken van de gegevens. 
  • In februari 2021 verlamde een ransomware-aanval de computersystemen van een streekziekenhuis met 44 bedden, waardoor activiteiten drie maanden lang handmatig moesten worden uitgevoerd en verzekeringsclaims ernstig werden vertraagd.

    Impact:     Het ziekenhuis was niet in staat om betalingen tijdig te innen, wat resulteerde in financiële problemen en ertoe leidde dat de lokale gemeenschap geen toegang had tot kritieke Gezond­heids­zorg. 

De Amerikaanse zorgbranche is een aantrekkelijk doelwit voor financieel gemotiveerde cybercriminelen vanwege de grote kwetsbaarheid voor aanvallen, verouderde systemen en inconsistente beveiligingsprotocollen. De combinatie van het vertrouwen op digitale technologieën in de zorgbranche, de gevoelige gegevens en de beperkte middelen bij veel instellingen, de winstmarges zijn vaak flinterdun, kan ervoor zorgen dat ze maar beperkt in cyberbeveiliging kunnen investeren, wat ze bijzonder kwetsbaar maakt. Bovendien geven zorginstellingen koste wat kost prioriteit aan de patiëntenzorg, wat ertoe kan leiden dat ze bereid zijn om losgeld te betalen om ontwrichtingen te voorkomen.

Een reputatie dat losgeld wordt betaald

Onderdeel van de reden waarom ransomware zo'n uitgesproken probleem is geworden voor de zorgbranche is de staat van dienst in het betalen van losgeld. De zorgbranche geeft boven alles prioriteit aan de patiëntenzorg. Al moeten ze miljoenen dollars betalen om ontwrichtingen te voorkomen, ze zijn hier vaak toe bereid.

Volgens een recent rapport op basis van een onderzoek onder 402 zorginstellingen heeft 67% afgelopen jaar te maken gekregen met een ransomware-aanval. Van deze instellingen geeft 53% in 2024 toe losgeld betalen te hebben, tegenover 42% in 2023. Het rapport benadrukt bovendien de financiële impact, want de gemiddelde toegegeven betaling van losgeld bedraagt USD$4.400.000.12

Beperkte middelen en investeringen in beveiliging

Een andere grote uitdaging zijn de beperkte budgetten en hulpbronnen voor cyberbeveiliging in de zorgbranche. Omdat, volgens het recente rapport Healthcare Cybersecurity Needs a Check-Up13 van CSC 2.0 (een groep die het werk van het door de overheid opgelegde Cyberspace Solarium Commission voortzet), "begrotingen krap zijn en zorgaanbieders prioriteit moeten geven aan het besteden van geld aan de belangrijkste dienstverlening voor patiënten, wordt er vaak te weinig geld besteed aan cyberbeveiliging, wat zorginstellingen kwetsbaarder maakt voor aanvallen."

Verder investeren zorgaanbieders, ondanks de ernst van het probleem, niet genoeg in cyberbeveiliging. Vanwege een reeks complexe factoren, waaronder een indirect betaalmodel dat vaak leidt tot het geven van prioriteit aan onmiddellijke klinische behoeften in plaats van aan minder zichtbare investeringen als cyberbeveiliging, heeft de zorgbranche de afgelopen twee decennia veel te weinig geïnvesteerd in cyberbeveiliging.10

Bovendien heeft de Health Insurance Portability and Accountability Act (HIPAA) geleid tot het geven van prioriteit aan investeringen in de vertrouwelijkheid van gegevens, waardoor de integriteit en -beschikbaarheid van gegevens vaak onderbelicht zijn. Deze aanpak kan resulteren in een beperkte focus op organisatorische weerbaarheid, met name in het verlagen van Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO).

Verouderde systemen en een kwetsbare infrastructuur

Een gevolg van het te weinig investeren in cyberbeveiliging is het afhankelijk zijn van verouderde, moeilijk bij te werken systemen, die het voornaamste doelwit voor uitbuiting zijn geworden. Bovendien creëert het gebruik van uiteenlopende technologieën een lappendeken van infrastructuur, met gaten in de beveiliging die het risico op aanvallen vergroten.

Deze kwetsbare infrastructuur wordt nog kwetsbaarder door een recente trend van consolidatie binnen de zorgbranche. Ziekenhuisfusies, die toenemen (23% meer in 2022 en op het hoogste niveau sinds 202014), leiden tot instellingen met een complexe infrastructuur verspreid over meerdere locaties. Zonder voldoende te investeren in cyberbeveiliging, wordt deze infrastructuur zeer kwetsbaar voor aanvallen.

Uitdijend aanvalsoppervlak

Hoewel klinisch geïntegreerde zorgnetwerken van verbonden apparaten en medische technologieën de resultaten bij patiënten ten goede komen en levens redden, hebben ze ook de kwetsbaarheid voor digitale aanvallen vergroot, iets waar bedreigingsactoren in toenemende mate misbruik van maken.

Ziekenhuizen zijn meer dan ooit online. Ze koppelen kritieke medische apparaten zoals CT-scanners, patiëntmonitorsystemen en infuuspompen aan netwerken maar hebben niet altijd het vereiste niveau van inzicht om kwetsbaarheden die van grote invloed kunnen zijn op de patiëntenzorg te herkennen en te ondervangen.

De artsen Christian Dameff en Jeff Tully, medebestuurders en medeoprichters van het University of California San Diego Center for Healthcare Cybersecurity, merken op dat gemiddeld 70% van de eindpunten in een ziekenhuis geen computers maar apparaten zijn.   
Een ziekenzaal met medische apparatuur, een witte ladekast en een blauw gordijn.

Zorginstellingen verzenden bovendien grote hoeveelheden gegevens. Volgens gegevens van het bureau van de Amerikaanse nationale coördinator voor informatietechnologie in de zorgbranche geeft meer dan 88% van de ziekenhuizen aan elektrisch informatie over de gezondheid van patiënten te versturen en ontvangen en geeft meer dan 60% aan deze informatie op te nemen in elektronische patiëntendossiers (EPD's).15

Kleine streekziekenhuizen hebben zo hun eigen problemen

Streekziekenhuizen met kritieke toegang zijn in het bijzonder kwetsbaar voor incidenten met ransomware, omdat ze vaak beperkte middelen hebben om beveiligingsproblemen te voorkomen en te herstellen. Dit kan desastreuze gevolgen hebben voor een gemeenschap, aangezien deze ziekenhuizen vaak de enige zorgoptie in de buurt zijn in de gemeenschappen waar ze zich bevinden.

Volgens Dameff en Tully beschikken streekziekenhuizen meestal niet over een infrastructuur voor of kennis van cyberbeveiliging van hetzelfde niveau als hun grotere, stedelijke tegenhangers. Bovendien merken ze op dat veel van de bedrijfscontinuïteitsplannen van deze ziekenhuizen verouderd of ontoereikend zijn als het gaat om de aanpak van moderne cyberdreigingen als ransomware.

Veel kleine of streekziekenhuizen hebben te maken met grote financiële beperkingen en gaan te werk met zeer kleine winstmarges. Deze financiële realiteit maakt het voor hen een uitdaging om te investeren in robuuste cyberbeveiligingsmaatregelen. Vaak vertrouwen deze faciliteiten op een enkele algemene IT'er, die vaardig is in het oplossen voor alledaagse technische problemen, maar geen specialistische kennis van cyberbeveiliging heeft.

Een rapport van de Department of Health and Human Services Health Care Industry Cybersecurity Task Force, dat onderdeel uitmaakt van de Cybersecurity Act van 2015, benadrukt dat een significant deel van de streekziekenhuizen met kritieke toegang niet iemand voltijds in dienst heeft die zich richt op cyberbeveiliging en onderstreept de bredere problemen met middelen waar kleinere zorgaanbieders mee te maken hebben.

“Deze algemene IT'ers, vaak gewoon mensen die goed zijn in netwerk- en computerbeheer, hebben normaal te maken met situaties als ‘Ik kan niet printen, ik kan niet inloggen, wat is mijn wachtwoord?',” legt Dameff uit. "Het zijn geen cyberbeveiligingsexperts. Ze hebben geen personeel, ze hebben geen budget en ze weten niet eens waar ze moeten beginnen."

Het aanvalsproces van een cybercrimineel bestaat normaal gesproken uit twee stappen: eerst verkrijgen ze toegang tot het netwerk, vaak door middel van phishing of het misbruiken van kwetsbaarheden, gevolgd door de implementatie van ransomware om kritieke systemen en gegevens te versleutelen. De evolutie van deze tactieken, met onder andere het gebruik van legitieme hulpprogramma's en de wildgroei van RaaS, heeft aanvallen toegankelijker en frequenter gemaakt.

De eerste fase van een ransomware-aanval: toegang krijgen tot het zorgnetwerk

Jack Mott, die bij Microsoft eerder een team leidde dat zich richtte op informatie over en detectie van cyberdreigingen via zakelijke e-mails, geeft aan dat "e-mail nog steeds een van de belangrijkste vectoren is voor het aanleveren van malware en phishingaanvallen voor ransomware-aanvallen.16

In een analyse van Microsoft Bedreigingsinformatie van 13 ziekenhuissystemen die verschillende bedrijfsvoeringen vertegenwoordigen, waaronder streekziekenhuizen, werd 93% van de opgemerkte kwaadaardige cyberactiviteit gelinkt aan phishingcampagnes en ransomware, waarbij de meeste activiteit werd vertegenwoordigd door op e-mail gebaseerde dreigingen.17
"E-mail is nog steeds een van de belangrijkste vectoren voor het aanleveren van malware en phishingaanvallen voor ransomware-aanvallen."
Jack Mott 
Microsoft Bedreigingsinformatie

Campagnes gericht op zorginstellingen gebruiken vaak zeer specifieke lokmiddelen. Mott benadrukt, bijvoorbeeld, hoe bedreigingsactoren e-mails samenstellen met specifiek jargon binnen de Gezond­heids­zorg, zoals referenties naar autopsierapporten, om hun geloofwaardigheid te vergroten en zorgprofessionals om de tuin te leiden. 

Dit soort technieken voor sociale engineering misbruiken, in het bijzonder in omgevingen waar de druk hoog is zoals de Gezond­heids­zorg, de urgentie die werknemers in de zorg vaak voelen, wat leidt tot potentiële beveiligingslekken. 

Mott merkt bovendien op dat aanvallers steeds vernuftiger worden in hun methodes en vaak "echte namen, legitieme services en regelmatig door IT-afdelingen gebruikte hulpprogramma's gebruiken (bijv. hulpprogramma's voor extern beheer)" om niet gedetecteerd te worden. Deze tactieken maken het lastig voor beveiligingssystemen om onderscheid te maken kwaadaardige en legitieme activiteit. 

Gegevens van Microsoft Bedreigingsinformatie laten bovendien zien dat aanvallers vaak misbruik maken van bekende kwetsbaarheden in de software of systemen van een instelling die eerder zijn gevonden. Deze veel voorkomende beveiligingslekken en blootstellingen (CVE's) zijn goed gedocumenteerd en er zijn patches en oplossingen beschikbaar. Aanvallers richten zich vaak op deze oudere kwetsbaarheden omdat ze weten dat veel instellingen deze tekortkomingen nog niet hebben opgelost.18 

Nadat ze toegang hebben gekregen, voeren aanvallers vaak een netwerkverkenning uit, die kan worden opgemerkt door indicaties als ongebruikelijke scanactiviteit. Deze acties helpen bedreigingsactoren het netwerk in kaart te brengen, kritieke systemen te identificeren en zich voor te bereiden op de volgende fase van de aanval, de inzet van ransomware.

De laatste fase van een ransomware-aanval: ransomware inzetten om kritieke systemen te versleutelen

Als eenmaal toegang is verkregen, normaal gesproken door middel van phishing of malware aangeboden via e-mail, gaan bedreigingsactoren over op de tweede fase: de inzet van ransomware.

Jack Mott legt uit dat de wildgroei van RaaS-modellen significant heeft bijgedragen aan de toegenomen frequentie van ransomware-aanvallen in de zorgbranche. "RaaS-platforms hebben de toegang tot geavanceerde hulpprogramma's voor ransomware gedemocratiseerd, waardoor zelfs mensen met beperkte technische vaardigheden zeer effectieve aanvallen kunnen uitvoeren," aldus Mott. Dit model verlaagt de toegangsbarrière voor aanvallers, wat ransomware-aanvallen toegankelijker en efficiënter maakt.
"RaaS-platforms hebben de toegang tot geavanceerde hulpprogramma's voor ransomware gedemocratiseerd, waardoor zelfs mensen met beperkte technische vaardigheden zeer effectieve aanvallen kunnen uitvoeren." 
Jack Mott 
Microsoft Bedreigingsinformatie

Mott gaat verder in op hoe RaaS werkt: "Deze platforms bevatten vaak een uitgebreid pakket hulpprogramma's, waaronder versleutelingssoftware, betalingsverwerking en zelfs een klantenservice om over de losgeldbetalingen te onderhandelen. Deze kant en klare aanpak stelt een groter aantal bedreigingsactoren in staat om ransomware-campagnes uit te voeren, wat leidt tot een stijging in het aantal aanvallen en de ernst ervan."

Verder wijst Mott op de gecoördineerde aard van deze aanvallen, waarbij hij benadrukt dat "als ransomware wordt ingezet, aanvallers normaal gesproken snel de kritieke systemen en gegevens versleutelen, meestal al binnen enkele uren. Ze richten zich op essentiële infrastructuur, zoals patiëntgegevens, diagnostische systemen en zelfs facturatiebewerkingen, om de impact en druk op de zorginstellingen om het losgeld te betalen te vergroten."

Ransomware-aanvallen in de zorgbranche: een profiel van grote groepen bedreigingsactoren

Ransomware-aanvallen in de zorgbranche worden vaak uitgevoerd door zeer georganiseerde en gespecialiseerde groepen van bedreigingsactoren. Deze groepen, die bestaan uit financieel gemotiveerde cybercriminelen en geavanceerde bedreigingsactoren van natiestaten, zetten geavanceerde hulpprogramma's en strategieën in om netwerken te infiltreren, gegevens te versleutelen en instellingen om losgeld te vragen.

Onder deze bedreigingsactoren vallen ook door overheden gesponsorde hackers uit autoritaire landen die naar verleid ransomware hebben gebruikt en zelfs hebben samengewerkt met ransomwaregroepen voor spionagedoeleinden. Bedreigingsactoren van de Chinese overheid worden er bijvoorbeeld van verdacht in toenemende mate ransomware te gebruiken als dekmantel voor spionage.19

Iraanse bedreigingsactoren lijken zich in 2024 het meest effectief te richten op zorginstellingen.20 In augustus 2024 waarschuwde de Amerikaanse overheid de zorgbranche over een bedreigingsactor uit Iran onder de noemer Lemon Sandstorm. Deze groep "gebruikte ongeautoriseerde toegang tot netwerken van Amerikaanse instellingen, waaronder zorginstellingen, zodat ransomware-bendes met naar het schijnt Russische banden in de toekomst ransomware-aanvallen zouden kunnen uitvoeren om hiervan te profiteren."21

De volgende profielen geven inzicht in enkele van de meest beruchte financieel gemotiveerde ransomwaregroepen die zich op de zorgbranche richten, met hun methodes, hun drijfveren en de impact van hun activiteiten op de branche.
  • Lace Tempest is een productieve ransomwaregroep die zicht richt op de zorgbranche. Met een RaaS-model maken ze het voor hun partners mogelijk om eenvoudig ransomware te implementeren. De groep wordt gelinkt aan invloedrijke aanvallen op ziekenhuizen, waarbij kritieke patiëntgegevens worden versleuteld en om losgeld wordt gevraagd. Ze staan bekend om hun dubbele afpersing, omdat ze gegevens niet alleen versleutelen, maar ook zelf in handen krijgen, waarna ze dreigen om de gevoelige gegevens te lekken als het losgeld niet wordt betaald.
  • Sangria Tempest is berucht vanwege de geavanceerde ransomware-aanvallen op zorginstellingen. Met een geavanceerde versleuteling maken ze gegevensherstel zonder het betalen van losgeld vrijwel onmogelijk. Ze maken bovendien gebruik van dubbele afpersing, waarbij ze patiëntgegevens in handen krijgen en dreigen deze te lekken. Hun aanvallen veroorzaken grootschalige operationele ontwrichtingen, waardoor zorgsystemen middelen moeten verleggen. Dit heeft een negatieve invloed op de patiëntzorg.
  • Cadenza Tempest, bekend om zijn DDoS-aanvallen (Distributed Denial-of-Service), richt zijn activiteiten in toenemende mate op ransomware in de zorgbranche. Het gaat om een   pro-Russische groep hacktivisten die zich richt op zorgsystemen in regio's die vijandig staan tegenover de Russische belangen. De aanvallen overrompelen ziekenhuissystemen, waardoor kritieke activiteiten worden verstoord en chaos ontstaat, zeker in combinatie met ransomwarecampagnes.
  • De financieel gemotiveerde groep Vanilla Tempest, die sinds juli 2022 actief is, richt zich sinds kort met INC-ransomware verkregen via RaaS-aanbieders op de Amerikaanse zorgbranche. Ze vallen kwetsbaarheden aan, gebruiken aangepaste scripts en gebruiken standaard hulpprogramma's in Windows om gegevens te stelen, deze zijdelings te verplaatsen en ransomware te implementeren. De groep maakt ook gebruik van dubbele afpersing, waarbij ze om losgeld vragen om systemen te ontgrendelen en te voorkomen dat gestolen gegevens worden vrijgegeven.

In het licht van de steeds geavanceerde ransomware-aanvallen moeten zorginstellingen een veelzijdige aanpak van cyberbeveiliging hanteren. Ze moeten bereid zijn om cyberincidenten te weerstaan, erop te reageren en ervan te herstellen, terwijl tegelijk de continuïteit van de patiëntenzorg behouden blijft.

Het volgende advies bevat een uitgebreid framework om de veerkracht te verbeteren, te zorgen voor een spoedig herstel, het personeel aan te moedigen veiligheid voorop te stellen en de samenwerking binnen de zorgbranche te bevorderen.

Governance: zorgen voor bereidheid en veerkracht

Een gebouw met veel ramen onder een blauwe lucht met wolken

Effectieve governance in de zorgbranche is essentieel ter voorbereiding op en om te reageren op ransomware-aanvallen. Dameff en Tully van het UC San Diego Center for Healthcare Cybersecurity raden aan om een robuust governanceframework met duidelijke rollen, regelmatige training en cross-disciplinaire samenwerking op te stellen. Dit helpt zorginstellingen hun veerkracht tegenover ransomware-aanvallen te verbeteren en te zorgen voor continuïteit in de patiëntenzorg, zelfs ten overstaan van significante ontwrichtingen.

Een belangrijk aspect van dit framework is het afbreken van het hokjesdenken van zorgpersoneel, IT-beveiligingsteams en professionals in het omgaan met noodsituaties om samenhangende plannen te ontwikkelen om op incidenten te reageren. Deze samenwerking tussen afdelingen is vitaal voor behouden van de patiëntveiligheid en zorgkwaliteit wanneer technologische systemen worden gecompromitteerd.

Darneff en Tully benadrukken ook de noodzaak van een speciale governanceorgaan of -raad die regelmatig bijeenkomt om de incidentreactieplannen na te lopen en bij te werken. Ze raden aan om deze governanceorganen in staat te stellen reactieplannen te testen door middel van realistische simulaties en oefeningen, om ervoor te zorgen dat al het personeel, inclusief jongere artsen die mogelijk niet bekend zijn met papieren dossiers, voorbereid zijn om effectief te handelen zonder digitale hulpmiddelen.

Bovendien benadrukken Dameff en Tully het belang van externe samenwerking. Ze pleiten voor regionale en nationale frameworks die ziekenhuizen in staat stellen elkaar te ondersteunen tijdens grootschalige incidenten, als reactie op de noodzaak voor een "strategische nationale voorraad" technologie die tijdelijk gecompromitteerde systemen kan vervangen.

Veerkracht en strategische reacties

Veerkracht in de cyberbeveiliging in de zorgbranche gaat verder dan het simpelweg beveiligen van gegevens: het moet ervoor zorgen dat hele systemen aanvallen kunnen weerstaan en ervan kunnen herstellen. Een uitgebreide aanpak voor veerkracht is essentieel en moet zich niet alleen richten op het veilig houden van patiëntgegevens, maar op het versterken van de infrastructuur die de zorgactiviteiten ondersteunt als geheel. Dit omvat het hele systeem: netwerk, toeleveringsketen, medische apparaten en meer.

Het aannemen van een verregaande verdedigende strategie is kritisch bij het creëren van een gelaagd beveiligingspostuur dat ransomware-aanvallen effectief kan verijdelen.

Het aannemen van een verregaande verdedigende strategie is kritisch bij het creëren van een gelaagd beveiligingspostuur dat ransomware-aanvallen effectief kan verijdelen. Deze strategie omvat het beveiligen van elke laag van de zorginfrastructuur, van het netwerk tot de eindpunten tot de cloud. Door te zorgen voor meerdere verdedigingslagen kunnen zorginstellingen de kans op een geslaagde ransomware-aanval beperken.

Als onderdeel van deze gelaagde aanpak monitoren Microsoft Bedreigingsinformatie-teams voor Microsoft-klanten actief vijandig gedrag. Als dergelijke activiteit wordt gedetecteerd, wordt een rechtstreekse melding verstrekt.

Dit is geen betaalde of gelaagde service, bedrijven van elk formaat ontvangen dezelfde aandacht. Het doel is om direct een melding te verstekken wanneer potentiële bedreigingen, waaronder ransomware, worden gedetecteerd, en te helpen stappen te zetten om de instellingen te beschermen.

Bovenop het implementeren van deze verdedigende lagen is het cruciaal om een effectief plan voor incidentreactie en -detectie te hebben. Een plan hebben is niet genoeg, zorginstellingen moeten erop voorbereid zijn om het efficiënt uit te voeren tijdens een daadwerkelijke aanval om de schade te beperken en te zorgen voor een snel herstel.

Als laatste zijn mogelijkheden voor continue monitoring en realtime detectie essentiële onderdelen van een robuust framework voor incidentreacties, om er voor te zorgen dat potentiële bedreigingen direct kunnen worden geïdentificeerd en geadresseerd.

Voor verdere informatie over cyberveerkracht in de zorgbranche heeft de Department of Health and Human Services (HHS) vrijwillige zorgspecifieke prestatiedoelen voor cyberbeveiliging (CPG's) gepubliceerd om zorginstellingen te helpen prioriteit te geven aan de implementatie van impactvolle cyberbeveiligingspraktijken.

Deze CPG's zijn tot stand gekomen via een publiek-private samenwerking en met veelgebruikte frameworks, richtlijnen, praktische tips en strategieën voor cyberbeveiliging binnen de branche. Ze bestaan uit een subset van cyberbeveiligingspraktijken die zorginstellingen kunnen gebruiken om de paraatheid te versterken, de cyberveerkracht te verbeteren en de informatie over de gezondheid van patiënten en veiligheid te verbeteren.

Stappen om de activiteiten snel te herstellen en de beveiliging na een aanval te verbeteren

Herstellen van een ransomware-aanval vereist een systematische aanpak om te zorgen voor een snelle terugkeer naar de normale bedrijfsvoering en tegelijk toekomstige incidenten te voorkomen. Hieronder staan bruikbare stappen om te helpen de schade in te schatten, getroffen systemen te herstellen en beveiligingsmaatregelen te verscherpen. Door deze richtlijnen te volgen kunnen zorginstellingen de impact van een aanval beperken en hun verdediging tegen toekomstige dreigingen te versterken.
Evalueer de impact en dam de aanval in

Isoleer getroffen systemen onmiddellijk om een verdere verspreiding te voorkomen.
Herstel vanuit back-ups waarvan bekend is dat ze in orde zijn

Zorg dat schone back-ups beschikbaar en geverifieerd zijn voordat de activiteiten worden hersteld. Behoud offline back-ups om versleuteling door ransomware te voorkomen.
Bouw de systemen opnieuw op

Overweeg gecompromitteerde systemen opnieuw op te bouwen in plaats van te patchen om achtergebleven malware te elimineren. Gebruik de begeleiding van het Microsoft Incidentreactie-team om de systemen weer veilig op te bouwen. 
Verbeter de beveiligingscontroles na de aanval

Verbeter het beveiligingspostuur na de aanval door kwetsbaarheden aan te pakken, systemen te patchen en de tool voor het detecteren van eindpunten te verbeteren.
Voer na het incident een controle uit

Analyseer in samenwerking met een externe leverancier van beveiligingsoplossingen de aanval om zwakke plekken te identificeren en de verdediging te verbeteren voor toekomstige incidenten.

Veiligheid vooropstellen bij je medewerkers

Een man en een vrouw die naar het gezicht van een vrouw kijken.

Veiligheid vooropstellen bij je medewerkers vereist een continue samenwerking tussen vakgebieden.

Veiligheid vooropstellen bij je medewerkers vereist een continue samenwerking tussen vakgebieden. Het is belangrijk om het hokjesdenken van IT-beveiligingsteams, professionals in het omgaan met noodsituaties en zorgpersoneel tegen te gaan om samenhangende plannen voor incidentreactie te ontwikkelen Zonder samenwerking is de rest van het ziekenhuis mogelijk niet adequaat voorbereid om te effectief te reageren tijdens een cyberincident.

Educatie en bewustzijn

Effectieve training en een sterke rapportagecultuur zijn essentiële onderdelen van de verdediging van een zorginstelling tegen ransomware. Aangezien zorgprofessionals vaak prioriteit geven aan de patiëntenzorg, denken ze niet altijd na over cyberbeveiliging, wat ze vatbaarder kan maken voor cyberdreigingen.

Om dit aan te pakken, moet een doorlopende training de basisbeginselen van cyberbeveiliging bevatten, zoals hoe je phishingmails herkent, klikken op verdachte links vermijdt en bekende tactieken voor social engineering herkent.

Microsofts Cybersecurity Awareness-hulpbronnen kunnen je hiermee helpen.

"Het belangrijkste is om personeel te stimuleren beveiligingsproblemen zonder angst of schuldgevoel te melden," legt Mott van Microsoft uit. "Het is belangrijk om dingen zo snel mogelijk te rapporteren. In het gunstigste geval is het onschuldig."

Regelmatige oefeningen en simulaties moeten ook daadwerkelijke aanvallen als phishing of ransomware simuleren, om personeel in een gecontroleerde omgeving te helpen met oefenen en rapporteren.

Delen van informatie, samenwerking en collectieve verdediging

Omdat ransomware-aanvallen over het algemeen steeds vaker voorkomen (Microsoft ziet van jaar naar jaar een stijging van 275% onder klanten16), wordt een collectieve verdedigingsstrategie essentieel. Samenwerking tussen interne teams, regionale partners en bredere nationale of wereldwijde netwerken is cruciaal om zorgactiviteiten en patiëntveiligheid te garanderen.

Deze groepen samenbrengen om uitgebreide incidentreactieplannen te ontwerpen en te implementeren kan operationele chaos tijdens aanvallen voorkomen.

Dameff en Tully onderstrepen hoe belangrijk het is om interne teams die vaak afgezonderd werken, zoals artsen, professionals in het omgaan met noodsituaties en IT-beveiligingspersoneel, samen te brengen. Deze groepen samenbrengen om uitgebreide incidentreactieplannen te ontwerpen en te implementeren kan operationele chaos tijdens aanvallen voorkomen.

Op regionaal niveau moeten zorginstellingen samenwerkingen aangaan waarmee faciliteiten capaciteit en hulpbronnen kunnen delen om de continuïteit in de patiëntzorg te garanderen, zelfs wanneer ziekenhuizen worden getroffen door ransomware. Deze vorm van collectieve verdediging kan ook helpen een overschot aan patiënten te beheersen en de last over de zorgaanbieders te verdelen.

Naast regionale samenwerking zijn netwerken voor het nationaal en wereldwijd delen van gegevens cruciaal. ISACs (centra voor het delen en analyseren van informatie), zoals Health-ISAC, dienen als platforms voor zorginstellingen om vitale informatie over dreigingen te delen. Errol Weiss, Chief Security Officer bij Health-ISAC, vergelijkt deze instellingen met "virtuele buurtwachtprogramma's," waarbij leden snel gegevens kunnen delen over aanvallen en bewezen bestrijdingstechnieken. Het delen van inlichtingen helpt anderen zich voor te bereiden op vergelijkbare dreiging of deze te elimineren, wat de collectieve verdediging op een grotere schaal versterkt.

  1. [1]
    Interne bedreigingsinformatie van Microsoft, Q2 2024
  2. [2]
    (Executive Summary for CISOs: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC and the American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls,” Tech Policy Press, 15 juni 2024
  4. [4]
    Gemiddeld verliezen zorginstellingen USD$900.000 per dag aan uitvaltijd door ransomware-aanvallen,” Comparitech, 6 maart 2024
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, september 2024
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery,” The HIPPA Journal, 20 september 2024
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health,” The HIPPA Journal, 13 maart 2024
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital,” The HIPPA Journal, 14 juni 2023
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, september 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    In 2023 fuseerden meer ziekenhuizen en financiële zorgen leiden tot meer deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    Microsoft Digital Defense Report 2024, Microsoft, pagina 27
  17. [17]
    Telemetrie van Microsoft Bedreigingsinformatie, 2024
  18. [18]
    Known Exploited Vulnerabilities Catalog,” CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Gegevens van Microsoft Bedreigingsinformatie over cyberdreigingen in de zorgbranche, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Cybercriminaliteit

Meer van Beveiliging

Cyber Resilience Hygiene Guide

Fundamentele cyberhygiëne blijft de beste manier om de identiteiten, apparaten, gegevens, apps, infrastructuur en netwerken van een instelling te beschermen tegen 98% van alle cyberbedreigingen. Ontdek handige tips in een uitgebreide gids.
Meer informatie

Een kijkje in de strijd tegen hackers die ziekenhuizen verstoorden en levens in gevaar brachten

Meer informatie over de nieuwste soorten bedreigingen uit gegevens en onderzoek van Microsoft. Analyses over trends en praktische richtlijnen om je verdediging te versterken.
Meer informatie

Misbruik maken van de vertrouwenseconomie: fraude via social engineering

Verken een zich ontwikkelend digitaal landschap waarin vertrouwen zowel een valuta als een beveiligingsprobleem is. Ontdek de fraudetactieken met social engineering die cyberaanvallers het meest gebruiken en bekijk strategieën die je kunnen helpen om bedreigingen met social engineering (ontworpen om personen te misleiden) te identificeren en te slim af te zijn.
Meer informatie

Volg Microsoft Beveiliging