Twee weken geleden hadden we het over de kwetsbaarheden bij overheidswebsites, maar hoe zit het eigenlijk bij ziekenhuizen?

Een kwart van alle ziekenhuizen en GGD-afdelingen in Nederland heeft de beveiliging niet op orde. Websites en e-mailservers zijn niet goed beveiligd en zorginstellingen gebruiken verouderde technieken om bestanden te versturen en ontvangen. Ziekenhuizen en andere zorginstanties zijn hiervan op de hoogte gebracht.

De beste en slechtste, organisaties met de meeste risico's

The Internet Cleanup Foundation

De stichting deed onderzoek naar alle domeinnamen en e-mailservers van zorginstellingen in Nederland. Daarvoor maakte het gebruik van open source data en deelde het de instellingen in op basis van een kleurcode: groen als de beveiligingsmaatregelen goed waren, oranje als er ruimte voor verbetering was en rood als ontbrekende beveiligingsmaatregelen een hoog veiligheidsrisico met zich meebrachten.

In totaal ging het om 5.896 domeinen van 116 ziekenhuizen en GGD-afdelingen. Bij driekwart van de onderzochte zorginstellingen trof The Internet Cleanup Foundation geen kwetsbaarheden aan in de basisbeveiliging. Bij een kwart daarentegen was de beveiliging niet op orde. Daar ontbrak het aan security headers, werd geen gebruik gemaakt van DNSSEC of was de e-mailserver verkeerd ingesteld (SPF, DKIM en DMARC). De resultaten per zorginstelling zijn te vinden op Basisbeveiliging.nl.

Ethisch hacker en voorzitter van The Internet Cleanup Foundation Elger Jonker maakt zich zorgen over de uitkomst van het onderzoek. Het gaat naar eigen zeggen om basale beveiligingsmaatregelen die ziekenhuizen en GGD-afdelingen niet (goed) implementeren. “Er is veel aandacht voor cybersecurity. Maar ondanks coalities in de zorg, alle normen die worden gesteld en afspraken die worden gemaakt, blijkt de basis vaak niet op orde”, zo zegt hij tegenover de Volkskrant.

Voordat The Internet Cleanup Foundation de resultaten van haar onderzoek publiceerde, speelde ze de resultaten door aan Z-CERT. Dat is het Computer Emergency Response Team dat de Nederlandse zorgsector adviseert en bijstaat om hun cybersecurity en digitale weerbaarheid te versterken. Een woordvoerder bevestigt tegenover de Volkskrant dat de onderzoeksresultaten met alle betrokken instellingen zijn gedeeld, waarna sommige kwetsbaarheden zijn verholpen.

Z-CERT

Steven van Baardewijk, securityspecialist bij Z-CERT, zegt blij te zijn met initiatieven als The Internet Cleanup Foundation. “Basisbeveiliging geeft inzicht in de stand van zaken omtrent een set van basismaatregelen. Het is mooi om te zien dat een groot deel van de zorg al zo goed op weg is. Maar deze website helpt ook inzichtelijk te maken waar verbeteringen mogelijk zijn. En hoewel het ontbreken van sommige basismaatregelen niet altijd een hoog risico is, dragen alle steentjes bij aan een meer digitaal weerbare zorgsector.”

Van Baardewijk benadrukt dat de stichting slechts een deel van de cybersecuritymaatregelen van zorginstellingen onder de loep heeft genomen. Desondanks zegt hij blij te zijn met de bevindingen. “We zijn blij dat bij driekwart van de onderzochte instellingen geen problemen zijn gevonden, maar er blijft werk aan de winkel”, vertelt hij tegenover de Volkskrant.

NCTV

Deze week publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het rapport Cybersecuritybeeld Nederland 2021. Daarin benadrukte de instantie dat ransomware-aanvallen, die vandaag de dag steeds vaker worden uitgevoerd, grote maatschappelijke en economische gevolgen kunnen hebben. Zeker als nutsvoorzieningen, financiële instituten of zorginstellingen vleugellam worden gemaakt door hackers en cybercriminelen. Nationaal Coördinator Pieter-Jaap Aalbersberg noemt gijzelsoftware dan ook ‘een plaag voor het MKB’ en ‘een risico voor onze nationale veiligheid’.

Vanwege de permanente dreiging van cyberaanvallen is het noodzakelijk dat de overheid continu aandacht blijft besteden aan het onderwerp cybersecurity. Informatiebeveiliging en digitale weerbaarheid zijn niet alleen de verantwoordelijkheid voor de overheid: ook particulieren, bedrijven en organisaties moeten dit serieus nemen. Om hen te helpen hun digitale weerbaarheid te vergroten, heeft het Nationaal Cyber Security Centrum (NCSC) de Handreiking Cybersecuritymaatregelen geschreven. Daarin somt de organisatie acht maatregelen op om doeltreffend op te treden tegen hackers en bedrijfsgevoelige informatie beter te beschermen.

CSR

De Cyber Security Raad (CSR) adviseerde het kabinet in april om tussen nu en 2024 een bedrag van 833 miljoen euro te investeren in cybersecurity, bovenop de huidige uitgaven en budgetten. Alleen door extra in te zetten op het vergroten van onze digitale weerbaarheid, kunnen we volgens de CSR ‘onze digitale veiligheid en digitale autonomie’ beschermen.