Cybersecurity in zorginstellingen in 2016

Zorginstellingen ervaren maandelijkse cyberaanvallen.

 

Belangrijkste bevindingen uit het onderzoek:

Uit een onderzoek van Ponemon in de VS blijkt dat organisaties in de gezondheidszorg, gemiddeld een maal per maand, een cyberaanval te verwerken krijgen (11.4 aanvallen gemiddeld per jaar. Daarbij treed verlies of blootstelling van gevoelige en vertrouwelijke patiëntgegevens op. Opvallend is dat 13% van de instellingen niet zeker weet hoeveel cyberaanvallen ze werkelijk hebben doorstaan.

Zorginstellingen ervaren maandelijkse cyberaanvallen.

Achtentachtig procent van de organisaties vertegenwoordigd in dit onderzoek die Ponemon ondervroeg hebben een personeelsbestand van tussen 100 en 500 medewerkers.

Bijna de helft van de respondenten (48%) zegt dat hun organisatie in de afgelopen 12 maanden door een security incident getroffen zijn, waarbij het verlies of de blootstelling van de patiënt informatie betrof.

Bijgevolg zijn er veel cliënten of patiënten die risico lopen op medische identiteitsdiefstal.

Volgens 78% van de respondenten is het meest voorkomende beveiligingsincident de misbruik via bestaande software kwetsbaarheden, zoals niet uitgevoerde patches  van meer dan drie maanden oud. Een goede tweede, volgens 75% van de respondenten, zijn malware aanvallen. Dit wordt gevolgd door de niet uitgevoerde patches  in  bestaande software van minder dan drie maanden oud (70% van de respondenten), spear phishing (69%t van de respondenten) en verloren of gestolen apparaten (61% van de respondenten), zie de details in onderstaande grafiek.

Zorginstellingen ervaren maandelijkse cyberaanvallen.

Drieënzestig (63%) procent van de respondenten zegt dat de primaire gevolgen van een Advanced Persistent Threats en Zero-day-aanval IT-downtime waren, gevolgd door het onvermogen om services  te verlenen die ernstige risico’s bij de behandeling van patiënten creëren (46% van de respondenten). Vierenveertig procent (44%) van de respondenten zeggen dat deze incidenten leidde tot de diefstal van persoonlijke gegevens. En nog eens 27% zegt dat er persoonlijke gegevens gestolen zijn.

Zorginstellingen ervaren maandelijkse cyberaanvallen.

 

De respondenten zijn ook bezorgd over de gevolgen van werknemer nalatigheid (46% van de respondenten) en de ineffectiviteit van businesspartner afspraken om de veiligheid van de patiënt informatie te verzekeren (45% van de respondenten).

De respondenten zijn pessimistisch over hun vermogen om risico’s, kwetsbaarheden en aanvallen in de hele onderneming te beperken. Slechts 33% van de respondenten waardeert de cybersecurity houding in hun organisatie als zeer effectief. De primaire uitdagingen om meer effectief te worden, zijn een gebrek aan samenwerking met andere functies (76% van de respondenten), onvoldoende personeelsbezetting (73% van de respondenten), niet genoeg geld ter beschikking hebben en cybersecurity niet als een prioriteit beschouwen (beide 65% van de respondenten).

 

Conclusies

Welke conclusies kun je nu trekken aan de hand van dit onderzoek?

Allereerst dat er in de zorg sector, net zo als in andere sectoren van de samenleving een grote kans bestaat om het slachtoffer te worden van een cybersecurity aanval. Dat deze in grote maat te voorkomen zijn door het goed bijhouden van de het release management van de gebruikte software applicaties en een security beleid dat er op gericht is management en gebruikers bewust te maken van de mogelijke bedreigingen. Want Malware en Phishing aanvallen blijken het meest voor te komen, en deze worden in grote mate veroorzaakt door dat de mens de zwakke schakel is in de keten van de  IT beveiliging. Cybersecurity training creëert het bewustzijn bij de gebruiker dat veilig werken met IT systemen een must is voor het goed kunnen functioneren van een organisatie.