- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Type of Threat or Opportunity >
- Trend snippet: Data leaks within the healthcare sector
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Data leaks within the healthcare sector
Wat opvalt is dat de top 3 volledig bestaat uit het type datalekken dat wordt veroorzaakt door medewerkers. De laatste zes worden vaak veroorzaakt door externe spelers.
De meeste datalekken worden dus veroorzaakt door medewerkers (1,2,3). Van de ondervraagde zorginstellingen heeft 98,9 procent in 2021 te maken gehad met datalekken door fouten in menselijk handelen. Daarbij geeft 92 procent aan dat dit veel tot zeer veel voorkomt. Het gaat hier met name om fouten in adressering. Er worden per ongeluk twee brieven in een envelop gestopt of een mail wordt naar het verkeerde e-mailadres verstuurd. De impact is daarmee vaak beperkt.
Datalekken door diefstal of verlies
Verlies en diefstal van data blijken zeer reële risico’s. Van de zorginstellingen geeft 40 procent aan te maken te hebben gehad met diefstal van apparaten of papier, 65 procent had te maken met verlies van papier of hardware. Encryptie op apparaten en externe media (zoals usb-sticks) en het op afstand kunnen lokaliseren en verwijderen van data van de apparaten, blijken geen overbodige luxe. Het risico op lekken van gevoelige gegevens wordt groter als medewerkers hun eigen apparaat gebruiken en daarmee mogen inloggen op diensten zonder dat de apparaten in beheer zijn.
Hardware datalek
Bij Z-CERT zijn enkele datalekken gemeld waarbij hardware een rol speelde. Denk bij hardware aan harde schijven, maar ook aan printers, netwerkapparatuur of medische apparatuur. Ook apparaten waar je geen gevoelige informatie op verwacht, kunnen dat toch bevatten. Bijvoorbeeld accountinformatie. In een printer kan nog papier zitten en op een toner kan nog een fysieke afdruk van een document staan.
Volg het juiste vernietigingsproces
Z-CERT adviseert om voor elk afgeschreven elektronisch apparaat dat weer de markt op gaat, de data te verwijderen en de juiste vernietigingsprocessen en -procedures te volgen. Daarbij is het belangrijk dat dit centraal wordt geregeld en de uitstroom van datadragers aantoonbaar via deze processen verloopt. Een actuele CMDB is hiervoor onontbeerlijk. Een goed naslagwerk om zo’n proces vorm te geven is bijvoorbeeld de NIST-800-88 [34]. Sommige zorgorganisaties besteden de vernietiging van elektronische apparatuur uit aan gespecialiseerde bedrijven. Daarbij hoeven zij enkel nog de rapportages van deze bedrijven te controleren en steekproefsgewijs de
kwaliteit van de vernietiging te toetsen.
Awareness net zo belangrijk
Veel zorginstellingen hebben protocollen voor het vernietigen van papier. Toch blijkt papier een risico. Een datalek kan namelijk makkelijk tot stand komen als personeel geprinte of geschreven lijstjes gebruikt die vervolgens blijven liggen of worden vergeten. Andere voorbeelden zijn archiefkasten met gevoelige data [35] die per abuis niet worden vernietigd of prullenbakken met papier dat niet is versnipperd. Datalekken voorkomen zit daarom niet altijd in geavanceerde technische oplossingen, maar ook in awareness, fysieke beveiliging en de praktische uitvoering van vernietigingsprocedures. Sommige zorginstellingen houden onderling verrassingsbezoeken om elkaar
hierop te toetsen. Goedkoop, doeltreffend en het houdt elkaar scherp.
Ongeoorloofde toegang
Ongeoorloofde toegang tot data door medewerkers blijkt een uitdaging,
want 82 procent van de ondervraagde zorginstellingen maakte een melding van een datalek in deze categorie. Dit lijkt veel, maar de hoeveelheid datalekken van deze vorm was beduidend lager dan die van fouten door menselijk handelen.
Zorginstellingen zijn steeds beter in staat om deze vorm van datalekken te detecteren. Zo monitoren zij bijvoorbeeld EPD’s en ECD’s op ongebruikelijke activiteiten. Als in een korte tijd zeer veel data van verschillende patiënten/cliënten wordt geraadpleegd, gaan de alarmbellen af. Als een zorgverlener informatie opvraagt van een patiënt/cliënt op een hele andere afdeling dan waar hij werkt vanwege een spoedgeval, kan dit alleen via een noodprocedure. De leidinggevende controleert achteraf of de aanvraag legitiem was.
Door dit soort monitoringstechnologieën wordt de controle op ongeoorloofde toegang steeds strakker en gebruikersvriendelijker. Vanuit de sector zelf wordt hier ook op gestuurd. De zorgkoepels Nederlandse Federatie van Universitair Medische Centra (NFU) en Nederlandse Vereniging van Ziekenhuizen (NVZ) hebben bijvoorbeeld een gedragslijn opgesteld met best practices rond de toegangsbeveiliging van digitale patiëntdossiers [36].
Uitlekken van inloggegevens
Bij sommige datalekken speelden ‘vergeten’ inloggegevens in publieke
clouddiensten als GitHub een rol. GitHub is een samenwerkingsplatform waar ontwikkelaars code van software plaatsen. Deze code bevat soms nog inloggegevens. Hackers konden op deze manier toegang krijgen tot patiëntdata [37] .
Het Radboudumc heeft in dit dreigingsbeeld een column geschreven
over een incident met uitgelekte inloggegevens. In dit geval was het een
ex-medewerker die inloggegevens op internet plaatste. Dit leidde tot een incident waarbij hackers cryptomunten konden minen.
Daarnaast is er bij Z-CERT ook een casus binnengekomen waarbij patiëntdata rechtstreeks op een publieke cloudservice te vinden waren. Het Luxemburgse nationale CERT heeft gratis software beschikbaar die helpt dit soort datalekken in publieke bronnen, in een vroeg stadium op te sporen [38].
Datalekken door externe actoren
De laatste vier categorieën datalekken worden vooral veroorzaakt door
externe spelers die in het digitale domein opereren. Alhoewel deze datalekken minder vaak voorkomen, kan de impact veel groter zijn. Een bekend voorbeeld is de hack bij een Finse GGZ-instelling. De aanvaller maakte grote hoeveelheden cliëntendata buit. Hij gebruikte die niet alleen om de instelling af te persen, maar benaderde ook rechtstreeks de cliënten met een geldeis.
Malware en gestolen wachtwoorden
Malware-infecties vormen een klein deel van het aantal datalekken.
Malware stelt de aanvaller in staat om van alles te downloaden van een met malware besmette computer. Daarnaast zijn deze kwaadaardige programma’s gespecialiseerd in het stelen van wachtwoorden. Deze wachtwoorden kunnen worden gebruikt om elders in te loggen; nummer 7 op de lijst. Ook kan de aanvaller meeliften op de inloggegevens van de gebruiker, waardoor multifactorauthenticatie in sommige gevallen kan worden omzeild [39].
Hacking van webapplicaties
Hacking van webapplicaties wordt door 11 procent van de ondervraagde zorginstellingen gemeld. Alhoewel dit weinig is vergeleken met andere datalekken, staat deze categorie bij Z-CERT wel hoog op de agenda. Webapplicaties zijn namelijk in opmars in de zorg.
Webapplicaties zijn soms ook verborgen aanwezig. Mobiele apps maken bijvoorbeeld op de achtergrond gebruik van een webapplicatie. Deze heeft niet de vorm van een website, maar een zogenaamde API, Application Program Interface. Dat is een mechanisme om met andere applicaties op het internet te communiceren. Dus ook als u een mobiele app afneemt, is het belangrijk om de webapplicatie daarachter te beoordelen op security.