De kosten voor een datalek in de gezondheidszorg zijn veruit het hoogste in vergelijking met andere industrieën; een koppositie die al sinds 2011 wordt ingenomen. De gemiddelde kosten per lek liggen op 4,44 miljoen dollar, terwijl dit in de gezondheidszorg 7,92 miljoen dollar bedraagt. Dat blijkt uit het Cost of a Data Breach Report 2025 van IBM. Wat maakt juist de zorgorganisaties tot zo’n aantrekkelijk doelwit voor kwaadwillenden?
Aantrekkingskracht gezondheidszorg
De zorg genereert een enorme hoeveelheid data die een grote waarde vertegenwoordigen voor hackers; zo zijn patiëntgegevens op het dark web al snel zo’n 45 dollar per patiënt waard. Die gevoelige data staan op steeds meer verschillende plekken, onder meer door de grote hoeveelheid SaaS-applicaties die nodig zijn voor het maken van afspraken, het inzien van medische gegevens of het verlenen van zorg op afstand. Hierdoor hebben veel zorginstellingen geen goed overzicht van hun applicatielandschap, wat het lastig maakt om de beveiliging overal op orde te krijgen. Dit zorgt ervoor dat er voor hackers vaak veel potentiële ingangen te vinden zijn.
Een goed voorbeeld hiervan is het Amerikaanse Change Healthcare. Het bedrijf faciliteert verzekeringsclaims en medische betalingen en bezit daardoor veel medische gegevens. Hackers kregen toegang tot medische informatie via een Citrix-omgeving waar multi-factor authenticatie niet aanstond. Bij de hack werd medische informatie van 100 miljoen mensen buitgemaakt, terwijl de downtime bij Change Healthcare als gevolg van de hack ervoor zorgde dat veel mensen bijvoorbeeld hun medische recepten niet konden afhalen.
Open karakter
De zorg moet toegankelijk zijn voor iedereen en heeft daardoor een open karakter. De diensten die worden gebruikt voor bijvoorbeeld het maken van afspraken of het inzien van gegevens moeten door een grote groep mensen makkelijk te gebruiken zijn. Ook bij het verlenen van zorg moet de drempel laag liggen voor het personeel, maar de balans tussen strikte beveiligingsmaatregelen en efficiënte zorg blijkt vaak lastig te bewaken. Daardoor wordt er soms gekozen om (te veel) toegang te makkelijk te verlenen.
Tekort aan vaardigheden
Een andere belangrijke oorzaak is het forse tekort aan vaardigheden. Organisaties met een tekort aan kennis van cybersecurity maken bovengemiddeld veel kosten bij een datalek ten opzichte van organisaties zonder tekort. Bijna de helft van alle onderzochte organisaties (48 procent) gaf aan te maken te hebben met een tekort aan cybersecurityexperts. Daarbij komt dat de zorg opvallend veel legacy-systemen kent, en beheerders die vooral verstand hebben van (alleen) die systemen.
Meer expertise nodig
Goede cybersecurity vraagt namelijk steeds meer expertise. Voor het inrichten, beheren en monitoren van bepaalde omgevingen is maatwerk nodig, terwijl er ook steeds vaker programmeervaardigheden nodig zijn voor het aanmaken van bijvoorbeeld detectieregels in de nieuwste software. Die vaardigheden zijn vaak niet aanwezig in zorgorganisaties.
Gelinkte systemen
Ten slotte heeft een zorginstelling vaak allerlei ketenorganisaties in de nabijheid, met aan elkaar gelinkte systemen. Hierdoor wordt enerzijds het aanvalsoppervlak vergroot, omdat hackers zo op meerdere ingangen hun aanval kunnen starten. Anderzijds verhoogt dit de kosten van een datalek omdat deze ketenorganisaties ook vaak (in)direct slachtoffer worden. Die kosten worden dan doorberekend waardoor het totaalplaatje hoger uitvalt dan in andere sectoren.
Voor zorginstellingen ligt de uitdaging niet alleen in het verbeteren van hun digitale weerbaarheid, maar ook in het beheersen van de bijbehorende kosten. In een volgende bijdrage onderzoek ik de vraag hoe de sector die noodzakelijke beveiliging betaalbaar kan houden.
Door Maarten Werff, Solution Consultant Cybersecurity bij Conscia