Ransomwarerisico in de gezondheidszorg brengt patiënten in gevaar

Ryan Witt, Proofpoint’s Healthcare Cybersecurity Leader, onderzoekt de impact van ransomware op de patiëntenzorg.

In de afgelopen twee jaar heeft COVID-19 de geest van zorgaanbieders beziggehouden – terecht, gezien de enorme tol van de pandemie op patiënten. Maar een andere dreiging die enorme schade aanricht krijgt minder aandacht: ransomware. Hoewel ransomware-aanvallen veel krantenkoppen halen, ontbreekt de onherstelbare schade die deze dreiging bij patiënten kan veroorzaken vaak in de discussie.

Cyberaanvallen zijn een ander soort pandemie die de afgelopen jaren aanzienlijk is toegenomen. Voor de zorg zijn ze dagelijkse realiteit geworden. Leiders in de gezondheidszorg begrijpen dat cyberdreigingen een ‘nieuwe norm’ zijn. Maar het gesprek over cyberrisico’s draait meestal om de bottom line, zoals de kosten van mitigatie, niet-naleving of rechtszaken.

Voor een sector wiens missie het is om onze kwaliteit van leven te verbeteren, is het verrassend dat de grootste zorgen op het gebied van cyberbeveiliging draaien om financiële verliezen. Leiders in de gezondheidszorg, artsen en andere zorgverleners moeten cyberbeveiligingsrisico’s door een nieuwe lens bekijken: de gezondheid en veiligheid van patiënten.

Ransomware en gezondheidswerkers beloven ‘geen kwaad te doen’

Beroepsbeoefenaars in de gezondheidszorg besteden hun aandacht aan het beschermen van patiënten tegen schade. In de digitale wereld van vandaag is dit mandaat niet langer beperkt tot directe zorgverlening. Een ransomware-aanval brengt patiënten fysiek in gevaar en kan net zo verwoestend zijn als een levensbedreigende ziekte.

Denk aan de aanval die de operaties van het University of Vermont Medical Center (UVMC) in de herfst van 2020 verlamde. Nadat ransomware bijna een maand lang de toegang tot systemen zoals elektronische medische dossiers had afgesloten, moest het kankercentrum van UVMC honderden chemotherapiepatiënten weigeren.

De kankerkliniek bediende grotendeels landelijke gebieden, dus de cyberaanval liet niet alleen veel van die patiënten met angst en tranen achter, maar ook zonder behandelingsalternatieven. De New York Times citeerde een verpleegster die zei: “Iemand in de ogen kijken en zeggen dat ze geen levensverlengende of levensreddende behandeling kunnen krijgen, was verschrikkelijk en hartverscheurend.”

Verhalen zoals die van de UVMC-patiënten worden zelden in het openbaar ontrafeld, maar ze zijn verre van uniek. Uit een recent rapport van het Ponemon Institute (PDF) bleek dat een ransomware-aanval de afgelopen twee jaar 43% van de ondervraagde zorgaanbieders trof. De gevolgen waren onder meer slechte resultaten als gevolg van vertragingen in procedures of tests (ervaren door 70% van de ziekenhuizen die getroffen zijn door ransomware), meer complicaties door medische procedures (36%) en een stijging van het sterftecijfer (22%).

Het belang van cyberbeveiliging heroverwegen

ECRI, een non-profitorganisatie die zich richt op patiëntveiligheid, noemde cyberbeveiligingsaanvallen het grootste gevaar voor gezondheidstechnologie (pdf) voor 2022. De factoren die van invloed waren op de ranglijst waren onder meer ernst, frequentie, omvang en vermijdbaarheid. Het ECRI-rapport bracht het punt naar voren dat cyberbeveiligingsincidenten “niet alleen de bedrijfsvoering verstoren – ze kunnen de patiëntenzorg verstoren en een reële dreiging van fysiek letsel vormen.”

Verwacht dat dit risico groot zal worden, aangezien dreigingsactoren zich in een alarmerend tempo op de sector richten. UVMC is daar een goed voorbeeld van: slechts enkele dagen nadat Amerikaanse regeringsfunctionarissen hadden gewaarschuwd voor dreigende cyberaanvallen door Russische hackers op Amerikaanse ziekenhuizen, troffen ze het medisch centrum. Het was niet het eerste alarm.

Cybersecurity is natuurlijk geen nieuw probleem voor de sector. IT- en cyberbeveiligingsprofessionals luiden al lang de sirene dat de gezondheidszorg achter veel andere industrieën staat bij het implementeren van robuuste verdedigingen. Maar ransomware-bedreigingen werpen een nieuw licht op de tekortkomingen van de cyberbeveiliging, omdat de impact op patiënten onmiddellijk is en de schade veel groter is dan zoiets als een datalek.

Het is tijd voor zowel besluitvormers als professionals in de gezondheidszorg om de menselijke voordelen van cyberbeveiliging te begrijpen en het menselijke verlies wanneer deze afwezig is of faalt. Patiënten komen naar ziekenhuizen of klinieken in afwachting van behandeling, vaak met spoed. Als de zorgverleners die diensten niet kunnen leveren omdat cybercriminelen hun systemen hebben gekaapt, schenden ze het vertrouwen van de patiënt en brengen ze levens in gevaar. Gezien de snelle groei van cyberaanvallen in de sector, zullen levensveranderende scenario’s zoals die we bij UVMC zagen gemeengoed worden.

Investeren in wat ertoe doet

Cybersecurity is niet in elke sector een eenvoudig op te lossen probleem, maar zeker niet in de zorg. De complexiteit van de omgeving, met verbonden medische apparaten, meerdere locaties en legacy-systemen, zorgt voor veel uitdagingen. En het helpt ook niet dat een typische zorgorganisatie een minimaal IT-budget heeft dat verre van toereikend is voor het implementeren van effectieve cyberbeveiligingsoplossingen.

IT-teams met weinig middelen achterlaten om zich tegen cyberaanvallen te verdedigen, is niet langer een optie. Hoewel zorgorganisaties het grootste deel van hun geld besteden aan het verlenen van zorg, moeten ze zich ook realiseren dat de zorgverlening in de huidige omgeving niet alleen afhankelijk is van medische apparatuur en personeel, maar ook van sterke cyberbeveiliging. Als cybersecurity een lage prioriteit heeft, zal de zorgverlening daaronder lijden.

Hoe kun je besluitvormers dwingen om door een nieuwe lens naar hun verantwoordelijkheid te kijken? Begin met hen de verhalen te vertellen die ze moeten horen. Het verhaal over de moeder van twee aan wie haar levensreddende behandeling werd geweigerd. Of de verpleegster die werkte in een medisch centrum in de greep van ransomware vergeleek met werken op een brandwondenafdeling na de bomaanslag op de Boston Marathon. Of de moeder die een ransomware-aanval de schuld geeft van de dood van haar baby.

Dit zijn geen schriktactieken. Het zijn het soort berichten dat helpt om cyberbeveiligingsrisico’s om te zetten in menselijke effecten. Als dat de raad van bestuur of andere besluitvormers niet dwingt om te investeren in cybersecurity, wat dan wel?

Ryan Witt is de leider op het gebied van cyberbeveiliging in de gezondheidszorg bij Proofpoint.