Medewerkers en gegevens beschermen tegen cybercriminaliteit in de gezondheidssector

  1. 24 okt 2017
  2. 0 reacties
Tim_461x615

Tim Hoefsloot - Regional Director Sales, Benelux Forcepoint

De gezondheidssector is momenteel een belangrijk doelwit van aanvallen door cybercriminelen. Klinieken en ziekenhuizen worden geconfronteerd met de uitdaging om hybride systemen en structuren intern en extern te beveiligen en de veiligheid van gegevens en informatie te waarborgen. 

Vanwege de gevoelige patiëntgegevens zijn ziekenhuizen een waardevol doelwit voor cybercriminaliteit. De decentrale en niet-homogene structuur van ziekenhuizen en klinieken maakt het moeilijk om gegevens- en informatiebeveiliging te waarborgen. Daarnaast maakt het gebruik van schaduw-IT, zoals het gebruik van eigen apparaten door artsen en andere medewerkers een uniform beheerde en beveiligde IT-infrastructuur nog moeilijker.

Het krappe personeelsbestand in de zorg is ook bevorderlijk voor infiltratie van cybercriminelen. Het smokkelen van ransomware en chantagepogingen met Locky-trojans zijn het afgelopen jaar veelvuldig voorgekomen. De schade die hierdoor ontstaat, is meestal onherstelbaar.

Wie en wat beschermen?

Medewerkers met speciale autorisaties en toegangsrechten, zoals systeembeheerders, worden vaak gebruikt voor criminele doeleinden. Kritische security-incidenten en schade worden vaak veroorzaakt door onopzettelijk wangedrag of onwetendheid van werknemers. Daarnaast slaan klinieken grote hoeveelheden gevoelige patiëntgegevens op die door cybercriminelen snel en eenvoudig kunnen worden gebruikt. Een nieuwe trend die zich momenteel in de VS manifesteert, is het sturen van valse facturen op basis van patiëntinformatie. De procedure is zeer eenvoudig. Een op internet legaal verkrijgbare tool voor penetratietesten maakt geautomatiseerde gegevensoverdracht vanuit het ziekenhuisnetwerk mogelijk. Hiertoe is uitsluitend toegang nodig tot een onbeheerde computer en hoeft de tool alleen aangesloten te worden op de LAN-verbinding. Eenmaal in het bedrijfsnetwerk kan de datadief toegang krijgen tot tijdoverzichten van artsen, chirurgie- en behandelingskosten, evenals tot andere vertrouwelijke informatie om een geloofwaardige factuur op te stellen. Het kost klinieken vaak maanden om de behandelingen die ze via dienstverleners hebben uitgevoerd, in rekening te brengen. Pas dan komen ze erachter dat ze slachtoffer zijn geworden van criminele activiteiten.

Bewustwording van de interne gevaren

Externe aanvallen op het bedrijfsnetwerk stuiten normaal gesproken op een aantal defensieve maatregelen, zoals Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS). Als een kliniek eenmaal geïnfiltreerd is, dan helpt de bescherming tegen externe aanvallen van buitenaf niet langer. Ziekenhuizen beschikken vaak nog niet over de benodigde defensieve maatregelen om het gevaar van zogenaamde insider threats te bestrijden. Er wordt onderscheid gemaakt tussen deze verschillende soorten insider threats: het kan gaan om opzettelijke gegevensdiefstal, dat wil zeggen het verduisteren van gegevens door werknemers met een crimineel motief, om gecompromitteerde gebruikers, dat wil zeggen aanvallen via de toegangsgegevens of computers van werknemers of om onbedoelde respectievelijk onopzettelijke handelingen van werknemers die de gegevensmigratie bevorderen door wangedrag of nalatigheid. Bij alle drie deze soorten wordt de schade meestal pas ontdekt wanneer het te laat is. Bovendien is het zeer lastig om achteraf de exacte feiten vast te stellen.

Informatie- en werknemerbescherming

Ongeacht om welk soort insider threat het ook gaat: gegevensdiefstal of -verlies wordt altijd voorafgegaan door verdacht of opvallend gedrag. Als een gebruiker zich op ongebruikelijke momenten in delen van het netwerk beweegt die niets met zijn of haar activiteit te maken hebben, dan kan dit een ongeluk, maar ook een verdachte handeling zijn. Daders met criminele motieven testen hun procedures, kopiëren of halen gegevens op om te zien of ze opgemerkt worden en om te ontdekken welke mogelijkheden zij met hun toegangsrechten hebben. Maar zelfs een gebruiker die onbedoeld een gevaar vormt voor gevoelige gegevens, vertoont ongewoon gedrag. Hij kopieert bijvoorbeeld geheime gegevens naar een gegevensdrager of stuurt deze naar adressen buiten het bedrijfsnetwerk om iets thuis nog te bewerken.

Geautomatiseerde risicoanalyses

Met de juiste softwaretools kunnen illegale of gevaarlijke activiteiten in het bedrijfsnetwerk gedetecteerd, voorspeld en voorkomen worden. Aangezien de procedure bij zowel criminele activiteiten alsook bij gevaarlijke handelingen bepaalde patronen volgt, kan aan de hand van User Behavior Analytics een automatisch systeem voor vroegtijdige waarschuwing worden opgezet, dat - ongeacht de bedoeling - wangedrag herkent en zo de mogelijkheid biedt tot preventie. Daarnaast leren dergelijke oplossingen aan de hand van geautomatiseerde baselining de normale toestand voor het gedrag van een werknemer of een hele groep. Daarnaast dienen ook parameters voor normaal gedrag toegevoegd te worden.

De informatie over het gedrag van de gebruiker vormt de basis voor een risicobeoordeling en gevarenclassificatie voor bepaalde gedragspatronen. Afhankelijk van de risicograad kan het systeem de IT-beveiligingsfunctionaris automatisch waarschuwen: als een gebruiker een bepaalde waarde (score) overschrijdt, dan wordt het gedrag nader onderzocht. Ter waarborging van de gegevensbescherming werken UBA-oplossingen op dezelfde manier als flightrecorders in vliegtuigen: de informatie over het gedrag van de gebruiker wordt in eerste instantie anoniem geregistreerd, bijvoorbeeld met gebruikers-ID 1234. Alle gegevens worden versleuteld op verschillende niveaus en kunnen alleen - in geval van een concrete verdenking en na goedkeuring van een bevoegd orgaan (zoals de IT-manager, de ondernemingsraad en de bedrijfsleiding) - worden ontcijferd en in duidelijke tekst aan een specifieke medewerker worden toegewezen.

Naast een oplossing voor de bescherming van werknemers met bepaalde toegangsrechten, die niet landelijk maar alleen voor specifieke indicaties wordt gebruikt, is het essentieel om te voorkomen dat gevoelige gegevens en informatie het bedrijfsnetwerk verlaten. Data Leakage Prevention (DLP) detecteert automatisch en met een hoge hitrate gevoelige inhoud en voorkomt dat deze het netwerk verlaat. Geavanceerde oplossingen omvatten daartoe vooraf gedefinieerde beleidsregels die complexe gegevensclassificatie vervangen en die door het bedrijf nog specifiek kunnen worden geconfigureerd. Als de analyse van gegevensbewegingen binnen het netwerk, het voorkomen van datamigratie en de bescherming tegen externe aanvallen op het bedrijfsnetwerk goed samenwerken, dan kan een beveiligingssysteem worden opgezet dat een betrouwbare bescherming biedt tegen cybercriminaliteit.