Elke minuut downtime door cyberaanvallen kan mensenlevens kosten
7 augustus 2019 -
Het Threat Landscape Report van Fortinet wijst IT-teams in de zorgsector op de voornaamste cyberbedreigingen die hun sector teisteren. Bovenop het in gevaar brengen van mensenlevens kost het herstellen van een beveiligingsincident een zorginstelling gemiddeld 1,2 miljoen euro.
Bedrijven in de zorgsector hebben er dus alle belang bij op de hoogte te blijven van populaire aanvalskanalen en -strategieën van cybercriminelen. Het rapport van Fortinet laat drie voornaamste en actuele bedreigingen zien:
1. Gerichte ransomware-aanvallen
Ziekenhuizen zijn een aantrekkelijk doelwit van ransomware-aanvallen. Deze zijn steeds gerichter en beter gepland. Zo is er de variant LockerGoga die aanmeldingsgegevens voor accounts met speciale toegangsrechten bemachtigt. Dit wijst erop dat cybercriminelen de beveiligingsmechanismen van het netwerk van hun slachtoffer uitvoerig bestuderen en vervolgens passende tegenmaatregelen ontwikkelen. Ook Anatova steekt de kop op. Deze malware versleutelt zoveel mogelijk bestanden en beperkt de kans op gegevensherstel tot een minimum.
Zorginstellingen moeten dus minstens over up-to-date back-ups beschikken. Ze zijn nu vaak bereid om losgeld te betalen en deze toegeeflijkheid is het gevolg van een gebrekkige strategie en planning op het gebied van gegevensherstel en bedrijfscontinuïteit. Na betaling van het losgeld is het mogelijk dat sommige herwonnen data ontbreken of beschadigd blijken te zijn, met alle gevolgen van dien voor de patiëntveiligheid.
2. ‘Living off the land’-aanvallen
Bij ‘living off the land’-aanvallen maken cybercriminelen misbruik van vooraf geïnstalleerde tools op de systemen van hun doelwit. Detectie wordt voorkomen omdat de geïnjecteerde kwaadaardige code deel uit lijkt te maken van een goedgekeurd proces. PowerShell, deel van Windows, is bijzonder in trek bij cybercriminelen. Zij gebruiken deze beheer- en scripttool om ransomware en andere kwaadaardige code te verspreiden, om data te versleutelen en om zich een weg door het netwerk van hun slachtoffer te banen.
Aangezien er een steeds groter aantal IoT-apparaten worden verbonden met het netwerk zouden IT-teams daarom alle apparatuur regelmatig moeten inspecteren. Zo voorkomen ze dat vooraf geïnstalleerde tools door hackers als springplank naar het netwerk worden gebruikt.
3. Activiteiten voor en na een beveiligingsincident
In de gezondheidszorg is uptime van levensbelang. Zo moet het netwerk van de spoeddienst te allen tijde beschikbaar zijn terwijl in andere afdelingen de activiteit na de kantooruren wel stilvalt. Apparaten die zich dan buiten de gangbare werktijden aanmelden, kunnen wijzen op een cyberaanval. Zo kunnen bedrijfskritische netwerken zoals dat van de spoeddienst kwetsbaar worden. Zorginstellingen moeten daarom een extra beveiligingslaag aanbrengen door dergelijke netwerken te segmenteren. Daarnaast moeten ze apparaten die afwijkend gedrag vertonen in quarantaine zetten totdat de reden voor dit gedrag is achterhaald.
Optimale kansen
Uit het onderzoek van Fortinet blijkt ook dat cybercriminelen altijd op zoek zijn naar het tijdstip dat hen optimale kansen biedt. Zo vinden activiteiten in aanloop naar hacks ruwweg drie keer waarschijnlijker plaats tijdens werkdagen. De belangrijkste reden hiervoor is dat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker nodig is, zoals het klikken op een link in een phishingmail. Cybercriminelen willen optimaal gebruikmaken van deze momenten, wanneer er sprake is van intensief internetgebruik. Daarom is het belangrijk om een onderscheid te maken tussen werkdagen en weekends bij het filteren van het internetverkeer om inzicht te verwerven in de killchain van uiteenlopende cyberaanvallen.