Ook in de zorgsector slaan hackers toe

Maria Genova Onderzoeksjournalist, schrijver en spreker. Verdiepte zich als onderzoeksjournalist in het thema cybersecurity. Is auteur van het boek: ‘Komt een vrouw bij de h@cker’.

Het is de snelst groeiende vorm van misdaad: identiteitsfraude. Elke dag worden honderden Nederlanders hier slachtoffer van. Ook in de zorgsector slaan hackers toe. Zo konden operaties in de ziekenhuizen in Engeland niet doorgaan, omdat ze afhankelijk waren van computers en monitoren die niet meer werkten. In Amerika werden de patiëntgegevens gegijzeld totdat het ziekenhuis losgeld betaalde. Ook in Nederland worden er bijna elke dag datalekken vanuit de zorgsector gemeld. 

Hacken is heel simpel geworden

En de tools die hackers hiervoor gebruiken? Die zijn gewoon gratis op het internet te vinden. Als je kijkt naar de onwetendheid van de gemiddelde medewerker in de zorg, dan begrijp je waarom er zo veel datalekken zijn. Tijdens de research voor mijn boek Komt een vrouw bij de h@cker kwam ik ongelofelijke voorbeelden tegen. Bijvoorbeeld van medewerkers die de meest privacygevoelige gegevens doorgeven, omdat ze veronderstellen dat ze een collega aan de lijn hebben en niet een oplichter. Als een medewerker een e-mail met een 'onbetaalde factuur' of 'details over uw zending' opent, dan kan de hacker toegang krijgen tot gevoelige patiëntgegevens. Maar ook gestolen laptops en verloren usb-sticks leiden in de praktijk geregeld tot datalekken.

Eén mail en hackers hebben vrij spel

Niet alle datalekken worden bij de Autoriteit Persoonsgegevens gemeld, ook al behoort de zorgsector tot de topscoorders. Soms uit angst voor boetes, een andere keer omdat een organisatie niet eens weet dat een medewerker een verkeerde mail heeft geopend en hackers toegang hebben tot het systeem. Tijdens de interactieve workshops en lezingen die ik in de zorgsector geef, ben ik elke keer weer verbaasd hoe weinig mensen een melding maken als ze een phishingmail hebben geopend. Vaak denken ze dat de ICT-afdeling dat vanzelf ziet en alle virussen kan tegenhouden. Helaas is dat zelden het geval. Ze weten vaak ook niet waar ze het moeten melden als ze iets verdachts zien. Ik geef voorbeelden waar bijna iedereen intrapt; en waarbij ze zo hun gebruikersnaam en wachtwoord invoeren. En dan hebben de hackers vrij spel.

De oplossing ligt bij de medewerkers

Maar gelukkig is er een oplossing: het is een kwestie van training en voorlichting. Want zo moeilijk is het ook weer niet om phishingmails te herkennen. Dat kun je in een uurtje leren. Intrakoop organiseerde onlangs een aantal van die trainingen. De deelnemers vonden het "een eyeopener". De patiëntgegevens beschermen gaat niet lukken met alleen een oplettende ICT-afdeling en dure software. De zwakste schakel blijft de gewone medewerker. En die zwakke schakel? Die weten de hackers moeiteloos te vinden.