Waarom zijn ziekenhuizen zo kwetsbaar?

Ziekenhuizen zijn een aantrekkelijk doel voor hackers met ransomware. Ze lijken geneigd eerder te betalen en gebruiken veel oude software.

Illustratie Peter Lipton, bewerking iStock.

Vorig jaar kregen 65.000 medewerkers van Nederlandse ziekenhuizen een mailtje van de niet-bestaande Stichting Zorgtaart. Als ze op een link in de mail klikten, konden ze een taart winnen. Meer dan 11.000 medewerkers hapten toe. Maar er viel niets te winnen. Het was een truc, deel van een campagne over informatiebeveiliging van de Nederlandse Vereniging van Ziekenhuizen.

Zo’n ‘phishing-mail’ is de makkelijkste manier voor cybercriminelen om binnen te dringen in een computernetwerk. Als iemand met toegang tot zo’n netwerk op een link in een phishingmail klikt, geeft hij nietsvermoedend toegang – alsof je het voordeurslot opendraait.

Cybercriminelen gebruiken deze truc graag om ransomware te installeren. Daarmee versleutelen ze bestanden op je computer, waardoor ze ontoegankelijk worden. Wie betaalt krijgt zijn gegevens terug.

Ziekenhuizen kunnen sluiting niet permitteren

Vrijdag werden tienduizenden computers wereldwijd getroffen, waaronder veel van ziekenhuizen in het Verenigd Koninkrijk. Ze stelden operaties uit en sloten soms zelf helemaal. In dit geval waren ziekenhuizen geen specifiek doelwit. Maar ze zijn wel meer dan gemiddeld aantrekkelijk voor cybercriminelen, en kunnen ook bijzonder kwetsbaar zijn.

Allereerst de aantrekkelijkheid: ziekenhuizen zouden sneller bereid zijn losgeld te betalen. Ze kunnen het zich immers niet permitteren langdurig te sluiten terwijl ze hun computersystemen van malafide software ontdoen. Dat levert levensbedreigende situaties op. Ze hebben er ook belang bij een geslaagd gijzeling in stilte af te werken – dat is beter voor het imago.

De kwetsbaarheid van ziekenhuizen is cultureel en historisch bepaald. Net als bijvoorbeeld universiteiten zijn het kennisinstellingen, waardoor er een cultuur bestaat van vrije informatie-uitwisselingen, met zo min mogelijk beperkingen. Die cultuur werkt ook door in de inrichting van de digitale systemen die ziekenhuizen gebruiken, zegt Eward Driehuis. Hij werkt bij Securelink, dat bedrijven helpt te beschermen tegen digitale aanvallen, en ook zorginstellingen als klant heeft.

Medische apparatuur is verbonden aan internet

Maar de kwetsbaarheid heeft ook technische oorzaken, volgens Driehuis. Ziekenhuizen gebruiken steeds vaker apparatuur die digitaal contact zoekt met de buitenwereld. CT-scanners, röntgenapparatuur, camera’s: alles hangt aan het internet. Ze zoeken ze naar updates of houden contact met externe beheerders die vaak het onderhoudswerk voor ziekenhuizen doen. „Alles is aan elkaar geknoopt, en veel van die apparaten zijn notoir kwetsbaar.” Vooral de hele dure machines met een lange levensduur worden niet goed beschermd tegen aanvallen. De software is na een aantal jaren ernstig verouderd, maar wordt niet gerepareerd uit angst dat er iets misgaat en de machine een tijdje niet werkt. Dan kunnen patiënten immers niet worden geholpen.

Pepijn Janssen werkt bij Redsocks, een ander bedrijf dat onder meer ziekenhuizen beschermt tegen digitale aanvallen. Hij legt uit dat systeembeheerders weten dat zo’n apparaat kwetsbaar is, en het vaak proberen te beschermen tegen aanvallen: „Bij de pc die zo’n MRI-scanner aanstuurt, halen ze de browser er bijvoorbeeld uit, zodat je daar niet je mail kunt ophalen, of ze schakelen de usb-poorten uit.” Maar bij een aanval als afgelopen weekend helpt dat niet: WannaCry maakte gebruik van een beveiligingsgat in de protocollen waarmee computers bínnen een beschermd netwerk met elkaar praten. Nadat het eenmaal op het interne netwerk binnen was, kon het zich ook verspreiden naar systemen die niet direct met het internet communiceerde.

Onoverzichtelijk

Een ziekenhuisnetwerk is vaak groot en onoverzichtelijk. Janssen noemt als voorbeeld een relatief kleine klant in de zorgsector met zo’n 30.000 systemen – niet alleen computers, maar ook iPads, tv-schermen, camera’s in operatiekamers, MRI-scanners of zorgrobots. Zesduizend van die systemen vertoonden „onwenselijk verkeer” met de buitenwereld, en verstuurden of ontvingen dus digitale informatie buiten de beveiligingssystemen van de instelling om.

Volgens een woordvoerder van de Nederlandse Vereniging van Ziekenhuizen zijn Nederlandse ziekenhuizen vorig jaar tien keer getroffen door ransomware. Voor zover de NVZ weet, is in geen van die gevallen losgeld betaald. Vooral fusieziekenhuizen zijn volgens Janssen kwetsbaar. Vaak bestaan hun netwerken uit ad hoc aan elkaar geplakte computersystemen, allemaal met een ander veiligheidsbeleid. Dat maakt het monitoren van het verkeer met de buitenwereld lastig.

Die onoverzichtelijkheid zal alleen maar groeien, denkt Janssen: „Neem een app waarmee je als patiënt samen met je diëtist je de dieet kunt controleren. Die diëtist communiceert vanuit de beveiligde netwerkomgeving via internet met de patiënt, die weer met zijn iPad in zijn keuken noteert wat hij eet, en op zijn mobieltje via de bewegingssensor bijhoudt hoeveel hij beweegt. Allemaal ingangen, allemaal nieuwe kwetsbaarheden.”