Veel Nederlandse ziekenhuizen zijn nog altijd kwetsbaar voor cyberaanvallen. Hoewel de zorginstellingen zich steeds bewuster zijn van de gevaren, neemt tegelijkertijd de dreiging van gijzelsoftware toe. Het is wachten totdat het misgaat, zeggen beveiligingsexperts tegen NU.nl.

Bij gijzelsoftware, ook wel ransomware genoemd, worden bestanden en systemen versleuteld. Vervolgens wordt losgeld geëist om deze weer toegankelijk te maken. Wanneer hackers systemen van ziekenhuizen platleggen, zou het bijvoorbeeld zo kunnen zijn dat patiënten naar andere locaties verplaatst moeten worden of operaties niet kunnen doorgaan.

"De zorgsector loopt achter op andere sectoren", vertelt ethisch hacker Sijmen Ruwhof. Hij is de afgelopen jaren door verschillende ziekenhuizen ingeschakeld om hun beveiligingssystemen en netwerken te testen. "Er komt wel langzaam verbetering in, maar ransomware wordt ook steeds professioneler."

Ruwhof verwacht daarom problemen in de toekomst. "Ziekenhuizen hebben wel ICT'ers in dienst, maar vaak hebben zij niet voldoende kennis of tijd om actief te monitoren of er hackers op het netwerk zitten. Ook maken veel ziekenhuizen gebruik van verouderde apparatuur."

Omdat deze apparaten verouderd zijn, worden ze niet altijd meer ondersteund door de leveranciers. Dat houdt in dat er geen software-updates meer voor worden uitgebracht, wat de apparaten kwetsbaar maakt voor cyberaanvallen.

Veel ziekenhuizen voldoen niet aan de norm

De Inspectie Gezondheidszorg en Jeugd concludeerde eind vorig jaar al dat de informatiebeveiliging in ziekenhuizen beter moet. De meeste ziekenhuizen voldeden tijdens een inspectiebezoek niet aan de zogeheten 'norm NEN 7510', een certificaat dat ziekenhuizen krijgen wanneer zij patiëntgegevens voldoende beschermen.

Tot dusver hebben cyberaanvallen op Nederlandse zorginstellingen geen ernstige gevolgen gehad. Uit cijfers van Z-CERT, een expertisecentrum voor cybersecurity in de zorg, blijkt echter wel dat vorig jaar vijf Nederlandse zorgorganisaties zijn geraakt door ransomware. Op Europees niveau gaat het om 31 zorginstellingen.

Een woordvoerder van de organisatie zegt het beeld dat de zorgsector achterloopt op andere sectoren niet te herkennen. "Een aantal jaar geleden was dat inderdaad zo, maar ziekenhuizen zijn zich steeds meer bewust van het feit dat ze digitaal gevaar lopen. We merken ook dat er veel activiteit is binnen die ziekenhuizen om dat te verbeteren."

Te weinig budget beschikbaar

De vraag is echter of dat snel genoeg gaat. Frank Groenewegen, cybersecurityexpert en partner bij accountants- en adviesbureau Deloitte, betwijfelt dat. "Ik ken enkele ziekenhuizen die de laatste tijd veel bezig zijn met cyberbeveiliging, maar bij veel andere ziekenhuizen is het nog een onderwerp dat makkelijker zakt op het prioriteitenlijstje."

Dat niet alle ziekenhuizen prioriteit geven aan het beveiligen van hun systemen en netwerken, komt volgens Groenewegen niet doordat ze het risico dat ze lopen verkeerd inschatten. Wel is er te weinig budget beschikbaar om flinke verbeteringen door te voeren. "Het geld is er soms gewoon niet voor beschikbaar omdat er andere keuzes gemaakt moeten worden, bijvoorbeeld op het gebied van personeel."

Volgens ethisch hacker Ruwhof is het probleem dat het vaak eerst moet misgaan voordat het besef er komt. "Ziekenhuizen worden meestal pas na een incident goed wakker geschud. Vaak komt er ook pas daarna meer geld beschikbaar. Terwijl er eigenlijk nu al veel achterstallig onderhoud is."