Cyberaanvallen op artsenpraktijken en beroepen in de gezondheidszorg zijn vaak bijzonder relevant. Het gaat hier immers om bijzonder gevoelige informatie: de gezondheidsgegevens van patiënten en klanten. Cyberbeveiliging heeft daarom een hoge prioriteit bij werknemers in de gezondheidszorg, zo blijkt uit de cyberstudie van HDI Versicherung. De verzekeraar ziet echter nog ruimte voor verbetering bij bepaalde preventieve maatregelen.
Cyberaanvallen op bedrijven zijn aan de orde van de dag. Kleine en middelgrote ondernemingen vormen daarop geen uitzondering, evenmin als zelfstandigen. Dat blijkt uit de HDI-cyberstudie 2024. Ambachtelijke bedrijven worden net zo goed aangevallen als advocaten, architecten of IT-bedrijven. Artsen en andere beroepen in de gezondheidszorg spelen daarbij een bijzondere rol.
Patiëntgegevens bijzonder interessant voor cybercriminelen
Gezondheidsgegevens zijn bijzonder gevoelige informatie. Sören Brokamp, Hoofd Productmanagement en Underwriting Cyber bij HDI Versicherung, weet: “Dat maakt deze gegevens ook bijzonder interessant voor cybercriminelen. Het hoeft niet eens zo te zijn dat de hackers geïnteresseerd zijn in de gegevens zelf.” Er is namelijk altijd een partij die er bijzonder belang bij heeft dat de gegevens niet openbaar worden: de bestolen arts, natuurgeneeskundige of fysiotherapeut zelf.
In het kader van het laatste HDI-cyberonderzoek heeft HDI Versicherung daarom ook meer dan 130 vertegenwoordigers uit de groep van beroepen in de gezondheidszorg specifiek gevraagd welk cyberrisico zij voor hun bedrijf zien. 36% van de ondervraagden schatte het risico om binnen twee jaar het slachtoffer te worden van een cyberaanval als hoog in. En 38% van hen gaf aan dat hun bedrijf al was aangevallen. Dat is weliswaar iets lager dan het totaal van de voor het onderzoek ondervraagde bedrijven en zelfstandigen – het percentage ligt hier op 53% – maar toch geen reden om het alarm af te blazen.
Gegevensbeveiliging is van groot belang
De gegevens van hun klanten zijn bijzonder belangrijk voor de ondervraagde artsen en zorgverleners. 46% van de ondervraagden uit deze groep hecht dan ook veel belang aan het risico van diefstal of verlies van klant- en patiëntgegevens. Voor alle respondenten van het HDI-cyberonderzoek lag dit percentage op 38%. “Ook het onderwerp verlies van geheime of vertrouwelijke documenten heeft met 25% van de respondenten die dit als ‘zeer relevant’ beschouwen een hogere prioriteit bij de zorgberoepen dan bij de totale groep (21%)”, voegt Sören Brokamp toe.
Het belang van het onderwerp gegevensbeveiliging komt tot uiting in het iets lagere aantal schadegevallen. Zo ligt het aantal gevallen van diefstal of verlies van klantgegevens bij artsen en andere beroepen in de gezondheidszorg met 30% van de reeds aangevallen gevallen onder het totale gemiddelde van 34%. Kritisch in de gezondheidszorg is daarentegen het onderwerp bedrijfsonderbreking. Zo ligt de gemiddelde duur van een bedrijfsonderbreking als gevolg van een cyberaanval bij artsen en andere beroepen in de gezondheidszorg met 5,3 dagen duidelijk boven het gemiddelde van alle deelnemers aan het onderzoek (4,2 dagen).
Aanvallen en preventieve maatregelen
De onderzochte groep werd het vaakst aangevallen met behulp van schadelijke software in e-mailbijlagen. 26% van de respondenten gaf aan al op deze manier te zijn aangevallen. Daarmee liggen de medische beroepen op een vergelijkbaar niveau als het totale aantal respondenten. Een significant verschil met de totale groep was er bij het vervalsen van identiteiten. Hier gaf slechts 18% van de ondervraagden uit de gezondheidszorg aan al op deze manier te zijn aangevallen. Over alle ondervraagden genomen lag dit percentage op 27%.
Het merendeel van de gebruikelijke preventieve maatregelen, zoals het centraal installeren van beveiligingsupdates, het maken van back-ups of versleutelde toegang tot het bedrijfsnetwerk, wordt door de gezondheidszorg meestal op dezelfde manier geïmplementeerd als door de totale groep. Opvallende verschillen waren er bij gesimuleerde e-mailaanvallen en bij multi-factor authenticatie. Wat gesimuleerde e-mailaanvallen betreft, gaf slechts 23% van de zorgprofessionals aan dat dergelijke aanvallen minstens één keer per jaar worden uitgevoerd. Bij de totale groep ondervraagden was dit met 33% aanzienlijk vaker het geval. Bovendien gebruikt 45% van de respondenten uit de gezondheidszorg multi-factor-identificatie. Bij de totale groep respondenten is dit bij 58% het geval. Hier lijkt dus nog ruimte voor verbetering te zijn.
Opleiding van medewerkers is de grootste hefboom
De uitgebreide digitalisering maakt ook geen halt voor beroepen in de gezondheidszorg. Het digitale patiëntendossier en het gebruik van AI in artsenpraktijken zijn in de praktijk gearriveerd. Ook ziet de meerderheid (47%) van de respondenten in de cyberstudie meer kansen dan risico’s in het gebruik van AI. “Het onderwerp informatiebeveiliging wordt hierdoor nog belangrijker. Naast alle technische maatregelen kan vooral het opleiden van medewerkers in het correct omgaan met de gevaren van cyberaanvallen een hoge mate van veiligheid garanderen”, zegt HDI-cyberspecialist Brokamp.
Met de snelle ontwikkeling van AI in de afgelopen jaren zijn er ook nieuwe mogelijkheden ontstaan die gericht zijn op het zwakste punt van cyberbeveiliging, namelijk de mens, aldus Brokamp. Het opleiden en sensibiliseren van gebruikers blijft daarom de belangrijkste hefboom voor effectieve cyberpreventie.
Meer resultaten van het onderzoek zijn als boekje te downloaden op de website van HDI Versicherung op www.hdi.de/cyberstudie2024.
