Studiogesprek Lex Pater & Jort Kollerie

De impact van COVID-19 op de zorg & cybersecurity.

In de podcastserie ‘De Cyberstelling’ van Orange Cyberdefense discussiëren de slimste cyberheads over de grootste bedreigingen van dit moment op het gebied van cybersecurity.

Aflevering 2:

We zijn geprogrammeerd om elkaar te helpen, maar dat is ook wat ons zwak maakt. Wie leert ons te wantrouwen?

Een podcast met Rion Rijker, onafhankelijk IT-jurist, en Jort Kollerie van Orange Cyberdefense. Deze aflevering is te beluisteren via:

In de podcastserie ‘De Cyberstelling’ van Orange Cyberdefense discussiëren de slimste cyberheads over de grootste bedreigingen van dit moment op het gebied van cybersecurity.

Aflevering 1:

Oh nee! Je bedrijfsnetwerk is gegijzeld via ransomware. Betalen of niet?

Een podcast met Marijn Schuurbiers van Team High Tech Crime van de Nationale Politie en Jort Kollerie van Orange Cyberdefense. Deze aflevering is te beluisteren via:

Vandaag was ik te gast in de uitzending BNR Digitaal met Herbert Blankesteijn want de alarmbellen zijn aangezet door de AIVD, MIVD én de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Onlangs meldde het Het Financieele Dagblad dat hackers uit China en Rusland dagelijks aanvallen uitvoeren op onze vitale infrastructuur. Er zou meer geld en vooral meer samenwerking nodig zijn om dat te bestrijden.

Luister hieronder naar het fragment:

Ziekenhuizen en zorginstellingen blijven ook in deze coronapandemie een populair doelwit van cybercriminelen. Van de stilzwijgende afspraak dat ze in het begin van de crisis de zorg met rust zouden laten, is niets meer over. In de uitzending de Ochtendspits op BNR, sprak ik hier over met Bas van Werven.

Luister hieronder naar het fragment:

Vanmorgen vroeg op BNR Nieuwsradio in de uitzending van de Ochtendspits met Meindert Schut, heb ik een reactie gegeven op het laatste onderzoeksrapport van Orange Cyberdefense: “Organisaties zien imagoschade als het grootste mogelijke gevolg van een hack”. Maar waarom?

Luister hieronder naar het fragment:

Data is de nieuwe currency. Dat wordt nadrukkelijk geïllustreerd door de Fortune 500. Waren het eerder vooral oliemaatschappijen die de lijst van machtigste bedrijven ter wereld bevolkten, tegenwoordig zijn het de Tech-bedrijven die de lijst domineren. ‘Datarijkdom vraagt om verhoogde waakzaamheid, want bedrijven die veel data opslaan worden ongewenst aantrekkelijk voor kwaadwillenden.’ Dat zegt cybersecurity adviseur Jort Kollerie van SecureLink, onderdeel van Orange Cyberdefense.

‘Cyberaanvallen worden steeds gerichter en geraffineerder.’- Jort Kollerie

Elke organisatie die met data werkt is een potentieel doelwit, zo stelt de expert. Als een kwaadwillende veel moeite moet doen om data te stelen bij een bepaalde organisatie, dan gaat hij voor een makkelijker prooi. ‘De inbreker kiest toch ook de woning die het slechtste is beveiligd. Laaghangend fruit is aantrekkelijk. In het verleden werd vaak gezegd: we zijn geen grote organisatie, dus we zijn niet aantrekkelijk voor hackers. Die gedachte is nooit realistisch geweest.’

Organisaties zijn vooral bezig om het kasteel zo hoog mogelijk te bouwen met de dikste muren, maar ze vergeten dat de indringer ook een tunnel kan graven en zo kan binnenkomen, zo vervolgt hij. ‘De indringer heeft meer tools en resources en geduld dan ooit. Een aantal jaren geleden was malware een soort clusterbom, die ongericht en willekeurig schade aanbracht bij slachtoffers. Maar cyberaanvallen worden steeds gerichter en geraffineerder om bij hun doelwit te komen.’ Kollerie doelt hiermee op social engineering. Dat betekent dat mensen zo worden bespeeld dat zij een handeling uitvoeren die niet in hun voordeel is. ‘Er wordt ingespeeld op de emotie van de gebruiker. Emoties als nieuwsgierigheid, angst, urgentie, gierigheid en behulpzaamheid. Vaak gebruiken de aanvallers een combinatie van die emoties om het slachtoffer te bespelen. Denk aan het verzoek om je wachtwoord te wijzigen omdat je account verloopt. Dat lijkt attent en behulpzaam, maar het is bovenal inspelen op de angst om je account kwijt te raken. Het is een kwestie van vertrouwen winnen en dan toeslaan.’

Geen overbodige luxe

Hoe kun je je tegen deze ongewenste bezoekers wapenen? Kollerie: ‘Bijvoorbeeld door technische en fysieke trainingen te faciliteren. Met IT-beveiliging maken we een inhaalslag. We realiseren ons nu dat het gebruik van IT minder vanzelfsprekend is dan aanvankelijk werd gedacht. We gingen met de computer om alsof we nooit anders hadden gedaan. Vroeger werd er bij sollicitatiegesprekken nog wel eens gevraagd of iemand met Word en Excel uit de voeten kon. Dat is passé. Een overbodige vraag, want iedereen kan met een computer omgaan…. De werkelijke vraag is: kan iedereen zich veilig gedragen met een device en op het internet? Nee dus. Daarom is het geen overbodige luxe om medewerkers te trainen en te testen. Hoe herken je een phishing aanval? Hoe voorkom je ransomware?’ Dat laatste is ontwikkeld om systemen te infecteren en vervolgens de data te gijzelen door middel van encryptie. ‘Het is uiterst kwaadaardig omdat de data pas weer vrijgeven wordt wanneer losgeld in de vorm van bitcoins is betaald. Dit is overigens geen garantie, want je hebt te maken met criminelen.’ Belangrijk is dat je je bewust bent van de risico’s als internetgebruiker, stelt hij. Niet alleen in de werksfeer, maar ook privé. ‘En bij privé moet je onder andere denken aan de informatie die je deelt op het internet.

Allerlei mensen kunnen meelezen. Daar hoeft er maar een tussen te zitten met minder nobele bedoelingen, die met jouw informatie aan de haal gaat. Wees je ervan bewust dat zakelijk gebruik en privégebruik van IT steeds sterker met elkaar zijn verweven.’ Ondanks de digitale voordelen zoals beschikbaarheid in de cloud, adviseert Kollerie om altijd een off-line back up van data te maken. Een ander advies: zorgt dat je weet wat je moet doen in een total down situatie. ‘Als de boel platligt, moet je snel en adequaat kunnen handelen om de doorlooptijd en schade te beperken.’

Het stelen van medische gegevens via hacken van zorginstellingen en universiteiten is voor cybercriminelen een lucratievere handel dan diefstal van creditkaartgegevens. Dat blijkt uit onderzoek van cybersecurity-specialist SecureLink in de VS. ‘Het is een kwestie van tijd voordat ook Nederlandse zorginstellingen doelwit worden van deze praktijken,’ zegt Jort Kollerie van SecureLink tegen BNR Nieuwsradio.

‘Het is een kwestie van tijd voordat ook Nederlandse zorginstellingen doelwit worden van deze praktijken.’- Jort Kollerie

Dat deze criminaliteit is verschoven van creditkaarten naar medische dossiers komt omdat medische data veel meer informatie bevatten dan financiële gegevens. Denk aan burgerservicenummers, burgerlijke staat, geslacht, verzekeringsgegevens en adressen waarmee identiteitsfraude of fraude bij zorgverzekeraars gepleegd kan worden.

Bovendien zijn eenmaal gehackte patiëntgegevens niet te blokkeren zoals creditkaarten. Naast persoonskenmerken zijn ook aandoeningen en medische ingrepen verhandelbaar. Criminelen gebruiken die gegevens om slachtoffers af te persen.

Zorg is makkelijk doelwit

De waarde van een medisch dossier ligt tussen de $100 en $1000, zo ontdekte het Amerikaanse zakenblad Forbes. Creditkaartinformatie wordt voor $1.50 verhandeld. Volgens cyberspecalist Kollerie van SecureLink zal deze praktijk overslaan op andere continenten, zoals eerder ook gebeurde met cyberaanvallen op de financiële sector.
Ook Nederlandse ziekenhuizen en andere zorginstellingen zullen doelwit worden. Kollerie: ‘De zorg is een makkelijk doelwit. De sector kent een open cultuur en zit midden in een digitale transformatie die de financiële sector al met veel pijn en moeite achter de rug heeft.’
Niet alleen criminelen houden zich bezig met diefstal van medische dossiers. Zo hebben cyberexperts sterke vermoedens dat bij de hack van 1,5 miljoen patiëntendossiers bij de grootste zorggroep in Singapore SingHealth, het de hackers te doen was om maar één medisch dossier; die van minister-president Lee Hsien Loong. De manier waarop de hack gepleegd werd zou er op wijzen dat er een natiestaat achter zou zitten.

Meeste datalekken van ziekenhuizen

In ons land is de zorg al enige tijd koploper datalekken, ook dit jaar weer zo blijkt uit de rapportage datalekmeldingen van de Autoriteit Persoonsgegevens. In de eerste helft van 2019 ontving de deze toezichthouder bijna 12.000 meldingen van datalekken. Het gaat om ongeveer 2.000 meldingen per maand. Als deze trend zich voortzet verwacht de Autoriteit Persoonsgegevens voor heel 2019 een stijging van 14 procent ten opzichte van 2018.
Het grootste aantal datalekmeldingen binnen de zorgsector komt van ziekenhuizen (23%) en apotheken (22%). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen, zoals gezondheids- en welzijnsorganisaties (24%), maatschappelijke dienstverlening (15%) en tandartsen (6%), melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen. Bij meer dan de helft van de incidenten betrof het gegevens van een persoon.

Je ziet het pas als je het door hebt. In een wereld vol digitale technologie is beveiliging en privacy wel degelijk veranderd. Maar ondanks alle oplossingen om ons te beveiligen, nemen de security incidenten alsmaar toe. Zien de gebruikers het echte gevaar (op de lange termijn) nog niet in of beschouwen zij dit als complex en beperkend? Zijn wij uit het oog verloren wat wij nu écht moeten beschermen?

Op 13 maart 2019 in de Van Nelle Fabriek te Rotterdam heb ik een presentatie verzorgd op de Security Bootcamp van SecureLink. ​“Ik heb niets te verbergen” wordt veelvuldig gezegd door menig persoon. Ook voorafgaand van mijn presentatie heb ik dit gehoord, maar na mijn presentatie waren de meningen zeer verdeeld. Trots om voor zo’n groot publiek te mogen inspireren en informeren over bewustzijn van beveiliging en privacy met behulp van moderne technologie. Het is gewoon een kwestie van tijd…

Het Bertrand Russell College in Krommenie heeft mij uitgenodigd om tijdens de informaticalessen van de 1e klassen een gastles te geven. Tijdens deze lessen heb ik de leerlingen van deze leuke school inzage gegeven over het belang van security & privacy. Het was al snel duidelijk hoeveel informatie er online over hun (mogelijk) beschikbaar is en hoe makkelijk we geneigd zijn onze privacy prijs te geven, bijvoorbeeld om ‘gratis’ gebruik te kunnen maken van apps als Snapchat, Facebook enz. Met behulp van concrete voorbeelden heeft dit de leerlingen toch enigszins doen nadenken over hun eigen online activiteiten.