Laten we beginnen met een tot nadenken stemmende vraag: tussen een creditcardnummer, een burgerservicenummer en een elektronisch patiëntendossier (EPD), welke vraagt de hoogste prijs op een dark web-forum?
Verrassend genoeg is het het EPD, en het verschil is groot: volgens een onderzoek kunnen EPD’s per stuk voor maximaal $ 1.000 worden verkocht, vergeleken met slechts $ 5 voor een creditcardnummer en $ 1 voor een burgerservicenummer. De reden is simpel: een creditcard kan weliswaar worden geannuleerd, maar uw persoonlijke gegevens niet.
Dit aanzienlijke verschil in waarde onderstreept waarom de gezondheidszorgsector een belangrijk doelwit blijft voor cybercriminelen. De rijke opslagplaats van gevoelige gegevens in de sector biedt een lucratieve kans voor op winst gerichte aanvallers. Al twaalf jaar op rij heeft de gezondheidszorg te maken met de hoogste gemiddelde kosten per inbreuk vergeleken met welke andere sector dan ook. Met een gemiddelde van $10 miljoen per inbreuk overtreft het zelfs de financiële sector, die gemiddeld zo’n $6 miljoen kost.
De ernst van dit probleem wordt verder geïllustreerd door een ruim drievoudige toename van het aantal gemelde ‘hacking- of IT-incidenten’ aan het Amerikaanse ministerie van Volksgezondheid en Human Services (HSS) tussen 2018 en 2022.
De voornaamste tegenstander in dit scenario is een bekende dreiging: ransomware. Deze vorm van cyberaanval richt zich steeds meer op de gezondheidszorgsector, waarbij gebruik wordt gemaakt van de kritieke aard van de patiëntenzorg om druk uit te oefenen. Ransomwarekartels vinden de gezondheidszorg een ideaal doelwit vanwege verschillende factoren:
Innovaties in de medische technologie, waaronder diagnostische hulpmiddelen, telegeneeskunde, draagbare gezondheidsapparatuur en digitale beeldvorming, hebben geleid tot een grotere afhankelijkheid van digitale systemen.
- Hoge digitalisering: De gezondheidszorgsector wordt gedreven door innovatie, waarbij veel derde partijen zeer gevoelige gegevens zoals EPD’s manipuleren.
- Beperkte middelen: Veel gezondheidszorgorganisaties kampen met onderbezetting en een gebrek aan cybersecurity-expertise, waardoor hun (vaak verouderde) IT-omgevingen kwetsbaar zijn voor aanvallen.
- Hoge inzet: De noodzaak om de patiëntenzorg in stand te houden creëert sterke prikkels voor gezondheidszorgorganisaties om losgeld te betalen, waardoor ze aantrekkelijke doelwitten worden.
Ondanks deze uitdagingen is de situatie niet geheel nijpend. Een belangrijke strategie voor het beschermen van gevoelige gegevens is het overnemen van de mentaliteit van een aanvaller. Deze aanpak werpt licht op de kosten-batenanalyse van potentiële aanvallers, waarbij wordt vastgesteld op welke middelen zij zich kunnen richten en wat hun waarschijnlijke aanvalsmethoden zijn.
Een belangrijk besef in deze context is dat de aard van bedreigingen niet noodzakelijkerwijs geavanceerder is geworden; integendeel, het aanvalsoppervlak – het bereik van potentiële kwetsbaarheden – is groter geworden. Door zich te concentreren op de inventarisatie van activa en het monitoren van het aanvalsoppervlak kunnen organisaties een strategisch voordeel behalen. Door hun eigen systemen vanuit het perspectief van de aanvaller te bekijken, kunnen ze op potentiële bedreigingen anticiperen en deze tegengaan, waardoor de rollen van de aanvallers effectief worden omgedraaid.
Hoe ransomware werkt
Het stereotiepe beeld van hackers als eenzame figuren die cyberovervallen ter waarde van meerdere miljoenen dollars uitvoeren, gekleed in zwarte hoodies, is grotendeels een mythe. Het huidige cybercriminaliteitslandschap is veel geavanceerder en lijkt op een industrie met zijn eigen sectoren en specialisaties. Deze evolutie is mogelijk gemaakt door anonieme netwerken en digitale valuta, die ransomware hebben getransformeerd in een gecommodificeerde zaken.
Cybercriminaliteit is inderdaad beter georganiseerd, maar de fundamentele tactieken blijven grotendeels ongewijzigd. De primaire strategie is nog steeds het exploiteren menselijke fouten en het kapitaliseren van ‘laaghangende’ kwetsbaarheden binnen het enorme software-ecosysteem.
Een belangrijk inzicht in de mentaliteit van cybercriminelen is de erkenning dat zij als bedrijven opereren. Ze kiezen steevast voor de meest kosteneffectieve en eenvoudige methoden om hun doelen te bereiken. Dit omvat specialisatie op gebieden zoals het verkrijgen van initiële toegang tot IT-omgevingen, die vervolgens worden verkocht aan andere criminele entiteiten zoals bendes, filialen, natiestaten of zelfs andere Initial Access Brokers (IAB’s).
Ironisch genoeg lijkt het hacken van webapplicaties bijna achterhaald vergeleken met de eenvoudigere strategie van het exploiteren van publiek toegankelijke gegevens voor winst. Een aangrijpend voorbeeld is de schending van de genetische gegevens van 23andMe-klanten. Deze inbreuk was niet het gevolg van directe hacking; In plaats daarvan gebruikte de aanvaller inloggegevens die van andere sites waren gelekt, had toegang tot de gegevens en verdiende er vervolgens geld mee op het dark web.
De bron van dergelijke exploiteerbare gegevens is vaak verrassend eenvoudig. Gevoelige informatie, waaronder API-sleutels, tokens en andere inloggegevens van ontwikkelaars (“geheimen”), blijft vaak zichtbaar op platforms als GitHub. Deze inloggegevens zijn bijzonder waardevol omdat ze directe toegang bieden tot lucratieve gegevens, waardoor ze een belangrijk doelwit zijn voor cybercriminelen die op zoek zijn naar gemakkelijke winst.
Waarom het ontdekken van geheimen voordat ze dat doen, je redder in nood kan zijn
In 2022 werden maar liefst 10 miljoen geheimen gelekt op GitHub gevonden, zoals gerapporteerd door beveiligingsbedrijf GitGuardian. Dit vertegenwoordigt een stijging van 67% ten opzichte van het voorgaande jaar, wat dit ongeveer aangeeft één op de tien code-auteurs onthulde geheimen tijdens deze periode.
Deze scherpe toename kan worden toegeschreven aan de alomtegenwoordige aard van geheimen in moderne softwaretoeleveringsketens. Deze geheimen, die essentieel zijn voor het verbinden van verschillende IT-componenten zoals clouddiensten, webapps en IoT-apparaten, zijn ook gevoelig voor het ontsnappen aan toezicht en vormen een aanzienlijk veiligheidsrisico. Cybercriminelen zijn zich terdege bewust van de waarde van deze gelekte geheimen, omdat ze toegang kunnen bieden tot interne IT-systemen of zelfs directe toegang kunnen bieden tot terabytes aan onbeschermde gegevens.
De recente onthulling door Becton Dickinson (BD) van zeven kwetsbaarheden in hun FACSChorus-software, zoals gerapporteerd door het HIPAA Journal, is een duidelijke herinnering aan de voortdurende uitdagingen op het gebied van applicatiebeveiliging in de gezondheidszorg. Eén opmerkelijke kwetsbaarheid, CVE-2023-29064, betrof een hardgecodeerd geheim in leesbare tekst dat mogelijk beheerdersrechten kon verlenen aan ongeautoriseerde gebruikers.
Om zich tegen dergelijke kwetsbaarheden te beschermen, is het essentieel dat organisaties deze adoptie toepassen een houding van voortdurende waakzaamheid. Het automatisch monitoren van de aanwezigheid van uw organisatie op platforms zoals GitHub is van cruciaal belang om verrassingen door onthulde geheimen te voorkomen. Het is net zo belangrijk dat een toegewijd team grondig onderzoek doet om eventuele blootgestelde assets, verkeerd geconfigureerde gegevensopslag of hardgecodeerde inloggegevens binnen uw digitale infrastructuur te identificeren.
Het nemen van proactieve maatregelen is essentieel, en een praktische stap is het overwegen van een gratis gratis GitHub-aanvalsoppervlakte-audit, aangeboden door GitGuardian. Zo’n audit kan waardevolle inzichten bieden, waaronder een evaluatie van de digitale voetafdruk van de organisatie op GitHub. Het kan het aantal actieve ontwikkelaars benadrukken dat professionele e-mails gebruikt, de omvang van potentiële lekken die verband houden met de organisatie, en identificeren welke door kwaadwillende actoren kunnen worden uitgebuit.
Om uw cybersecuritypositie verder te versterken, is het bovendien raadzaam om honeytokens in uw beveiligingsstrategie te integreren. Honeytokens dienen als lokvogels die ongeautoriseerde toegang kunnen lokken en detecteren, waardoor de Mean Time to Detection (MTTD) van inbreuken aanzienlijk wordt verminderd. Deze aanpak voegt een extra beveiligingslaag toe en helpt daarbij het bereik van potentiële aanvallers beperken en de impact van een inbreuk te beperken.
Afronden
De gezondheidszorgsector, die over een schat aan waardevolle gegevens beschikt, bevindt zich op een cruciaal punt in de strijd tegen cyberdreigingen. Deze sector, geplaagd door cybercriminelen, heeft al meer dan tien jaar te maken met de hoogste gemiddelde kosten als gevolg van inbreuken. De prominente dreiging komt van ransomwaregroepen, die zich hebben ontwikkeld tot geavanceerde, zakelijke activiteiten. Om deze gevaren het hoofd te bieden, moeten gezondheidszorgorganisaties waakzame, proactieve strategieën hanteren. De belangrijkste hiervan is de regelmatige monitoring van digitale voetafdrukken op platforms als GitHub en het uitvoeren van grondig onderzoek om blootgestelde activa te identificeren en te beschermen. Deze aanpak is van cruciaal belang om patiëntgegevens en privacy te beschermen. Gebruikmakend van diensten zoals gratis GitHub-aanvalsoppervlakte-audit kan waardevolle inzichten verschaffen in potentiële kwetsbaarheden.
Naarmate de technologie zich blijft ontwikkelen, zal de aard van cyberveiligheidsbedreigingen onvermijdelijk toenemen. Het is absoluut noodzakelijk dat de gezondheidszorgsector deze uitdagingen een stap voor blijft. Dit omvat niet alleen de implementatie van de nieuwste beveiligingstechnologieën, maar ook het bevorderen van een cultuur van veiligheidsbewustzijn onder alle personeelsleden.
