Nieuws
Door de ogen van
'De vraag is niet óf je als zorgorganisatie te maken krijgt met een cyberaanval, maar wannéér'
Bestuurder Tamara Pieterse over cybersecurity in de zorg
'De vraag is niet óf je als zorgorganisatie te maken krijgt met een cyberaanval, maar wannéér' keyvisual
De zorg wordt door cybercriminelen niet ontzien. De zorg in Nederland digitaliseert en het risico op cyberaanvallen neemt toe. De Autoriteit Persoonsgegevens concludeerde eerder deze maand dat de zorg de meest gehackte sector van Nederland is. Dat dit de harde realiteit is, weet ook Tamara Pieterse, bestuurder bij Zorgbalans. In 2021 heeft haar organisatie te maken gehad met een poging tot afpersing met een deel van hun digitale cliëntgegevens als dwangmiddel. Dat dit goed is afgelopen, is geen vanzelfsprekendheid. Aan ActiZ vertelt ze haar verhaal.
Poging tot afpersing
‘Onze medewerkers van de zorgcentrale signaleerden een opvallend bericht in een van de contactformulieren op de website. Uit dit bericht bleek er een persoon te zijn die zou beschikken over onze cliëntgegevens. Dit kon hij ook aantonen. Als wij hem niet voor een bepaalde termijn zouden betalen, dan zouden onze cliëntgegevens beschikbaar komen op het
.'
‘Na gedegen onderzoek kwam er een verdachte in beeld. De data bleek afkomstig te zijn van een van onze IT-leveranciers. De verdachte heeft misbruik proberen te maken van zijn positie bij zijn werkgever en heeft op deze manier een poging tot afpersing gedaan bij Zorgbalans.’
Zorgbalans schreef in 2021 een persbericht over de poging tot afpersing.
Intensieve periode
‘Wat het voor je organisatie betekent, maar ook voor jezelf als bestuurder en als mens, kan je bijna niet uitleggen. Je komt terecht in een crisis die volledig je agenda beheerst. Wat ik vooral intens vond, is dat je in het begin geen idee hebt met wie je te maken hebt. Je weet niet of je te maken hebt met een criminele organisatie of bijvoorbeeld een vijftienjarige jongen op zijn zolderkamer. Dit deed niet alleen iets met mijn gevoel van veiligheid, maar vooral ook voor mijn collega’s en organisatie.’
‘In deze periode hebben we met een klein team heel intensief samengewerkt. Binnen de organisatie, maar ook met cybersecurity-experts, een jurist, politie en het Openbaar Ministerie (OM). We hebben ervoor gekozen om dit intern klein te houden, om onrust te voorkomen. De politie heeft de persoon in kwestie uiteindelijk aangehouden. Dat is heel uniek. In de meeste gevallen komt de politie er nooit achter wie er achter het misdrijf zat.’
Risico voor alle zorgorganisaties
‘Bij ons bleek dat er geen data is gelekt. Het is dus goed afgelopen voor Zorgbalans. Wat ik het meest leerzaam vond aan onze casus, is dat ik nu nog meer besef dat alle zorgorganisaties continu een risico lopen op cybercriminaliteit. In welke vorm dan ook. Het is dus essentieel dat je je daar als organisatie goed op voorbereid. Wij doen bijvoorbeeld altijd trouw onze systeemupdates en zijn bewust bezig met het vergroten van bewustwording bij medewerkers, door het versturen van test
mails. Maar helaas blijft ook dan het risico aanwezig.’
'Wat ik het meest leerzaam vond aan onze casus, is dat ik nu nog meer besef dat alle zorgorganisaties continu een risico lopen op cybercriminaliteit.'
Bestuurder Zorgbalans
Goede voorbereiding is essentieel
‘Ik denk dat een aantal dingen heel belangrijk zijn om je als zorgorganisatie zo goed mogelijk voor te bereiden op een cyberaanval. De vraag is namelijk niet óf je hier mee te maken gaat hebben, maar wannéér. Iedere bestuurder moet bewust zijn van dit risico.’
‘Daarnaast moet je als bestuurder zelf inzicht hebben in het ICT-landschap van je organisatie. Je moet weten met hoeveel systemen en applicaties je werkt. Ook moet je weten welke systemen inactief zijn. Want als je systemen niet meer gebruikt en daarom niet meer onderhoudt, kan dat zomaar een groot risico vormen.’
‘Data en het delen ervan met andere partijen, wordt steeds belangrijker voor het organiseren van een goede zorgverlening voor de cliënt. Hoewel dit een hele mooie ontwikkeling is, brengt dit ook een nieuw risico mee voor een organisatie. Probeer hier als bestuurder samen met je ICT-manager grip op te krijgen.’
Bewustwording, houding en gedrag
‘Bewustwording, houding en gedrag zijn wat mij betreft dé sleutelwoorden als het gaat om cybersecurity en informatieveiligheid. Het gaat hierbij om gedragsverandering. En dat is geen makkelijke opgave. Voor zorgmedewerkers resulteert dit vaak in maatregelen die het werk in de dagelijkse praktijk belemmeren. Zoals het steeds opnieuw inloggen in verschillende applicaties of juist goed uitloggen wanneer je een computer hebt gebruikt. Maar het is juist belangrijk om dit te doen, om online gevaar te voorkomen. Daarom moet je als organisatie investeren in de bewustwording van medewerkers op dit onderwerp. Cyberaanvallen zijn helaas een risico waar we als zorgorganisaties continu alert op moeten zijn.’
Op 6 juni 2023 vond de zitting van de strafzaak plaats. De strafeis van de officier van justitie was 24 maanden gevangenisstraf, waarvan 12 maanden voorwaardelijk. Op 20 juni heeft de verdachte de uitspraak vernomen. De rechtbank weegt ‘gelet op de persoon van de verdachte ook de nadelige gevolgen mee van een nog uit te zitten gevangenisstraf’. Hij heeft zijn leven goed op de rit, is kostwinner en jonge vader zonder eerdere veroordeling. Hij krijgt een celstraf van 180 dagen, waarvan 132 dagen voorwaardelijk. Daarnaast krijgt hij een taakstraf. Het Financieele dagblad schreef er ook een artikel over.
Mijn ActiZ
Routekaart implementatie informatieveiligheid
ActiZ ondersteunt haar leden om aan de slag te gaan met de informatiebeveiliging in de organisatie. Binnen het traject 'routekaart implementatie informatiebeveiliging' wordt kennis gedeeld via webinars, templates en hulpmiddelen.
Door de ogen van
Nieuws
Vernieuwers
