Waarom is de gezondheidszorg zo’n aantrekkelijk doelwit?

Eén van de belangrijkste drijfveren voor cybercriminelen is financieel gewin. Dit geldt ook voor de medische gegevens, zeker omdat administratieve gegevens – die deel uitmaken van de medische gegevens – ook financiële gegevens bevatten. Het is goed mogelijk dat het financiële segment de enige motivatie is voor het aanvallen van een volledig medisch dossier. Deze gegevens kunnen gemakkelijk als verhandelbare goederen worden vermeld op de zwarte markt. Veel meldingen hebben betrekking op de ondergrondse markten, wat betekent dat gestolen gegevens vaak op het darknet of deep web, waar anonimiteit groter is dan op een normale website, worden verkocht.

Er is een verscheidenheid aan bronnen die beweren dat medische gegevens tot 10 keer meer waard zijn dan andere gestolen data zoals creditcard informatie. De werkelijke waarde van een enkel medische record kan honderden en duizenden Amerikaanse dollars worden, volgens Forbes; of tot $50 voor een medisch dossier in vergelijking met creditcard informatie voor $1,50 of een verzekeringsnummer voor $3; of een medisch dossier wordt doorverkocht voor $60 per stuk; of volledige medische dossiers inclusief geboortedatum, geboorteplaats, creditcardgegevens, sofinummer, adres en e-mail worden voor maximaal $1,000 aangeboden of gezondheidsinformatie en medische gegevens worden geschat op $82,90 per stuk voor de Amerikaanse consument terwijl een sofinummer een waarde heeft van $55,70.

Betalingsgegevens, fysieke locatie-informatie, adres, burgerlijke staat, evenals naam en geslacht informatie worden volgens Trend Micro respectievelijk vastgesteld op $45,10, $38,40, $17,90, $6,10 en $2,90.

Hoewel de meeste bronnen verschillen in de werkelijke waarde van een verkocht medisch dossier op het darknet, ze zijn het er allemaal over eens dat medische dossiers doorgaans meer waard zijn dan financiële gegevens. De belangrijkste reden is dat medische gegevens niet gemakkelijk geblokkeerd of veranderd kunnen worden, zoals bijvoorbeeld creditcardgegevens. Daarnaast hebben banken door de jaren heen een aantal voorzorgsmaatregelen genomen, waardoor ze sneller reageren bij diefstal. De gezondheidszorg daarentegen zit midden in een digitale transformatie en zal waarschijnlijk meer tijd nodig hebben met het opzetten van detectie- en reactiemogelijkheden.

Zodra de gezondheidszorg snel(ler) kan reageren op inbreuk en gestolen medische gegevens, kan de waarde van gestolen medische gegevens lager worden. Op z’n minst voor het deel dat ‘uitgeschakeld’ is en niet door een aanvaller kan worden gebruikt. De demografische gegevens, klinische gegevens en familiegeschiedenis kan niet worden veranderd, dit blijft een mensenleven lang gelekt. Wat betekent dat een deel van de medische gegevens altijd aantrekkelijk zal blijven voor een aanvaller. De gegevens kunnen niet veranderd worden, maar wel verzameld en worden gebruikt bij het plegen van fraude en/of fysieke schade.

Omdat medische gegevens zo rijk zijn aan informatie over een individu, kan een aanvaller deze gemakkelijk gebruiken om identiteitsdiefstal te plegen. Bij een slachtoffer kan er met zijn of haar familiegeschiedenis, demografische gegevens, informatie over verzekeringen en medicijnen veel worden gedaan om te doen alsof het iemand ander is. Maar met welk doel? Veruit de meest voorkomende motivatie is een direct financieel gewin voor de aanvaller. Een fraudeur kan ervoor kiezen om gebruik te maken van PII gegevens voor leningen, creditcards, belastingaangiften of zelfs het openen van een nieuwe bankrekening of om invloed te krijgen op de gezondheidszorg. Dit betekent dat medische gegevens gebruikt kunnen worden om te frauderen met verzekeringen en vergoedingen van behandelingen en voorgeschreven medicijnen die de fraudeur niet daadwerkelijk ontvangt.

Denk aan een situatie waarbij de werkelijke patiënt, en slachtoffer van identiteitsdiefstal, situaties ervaart waarin hij/zij een betaling claimt, maar deze claim al is uitgekeerd aan de ‘patiënt’. Aan de andere kant, ontvangt de patiënt een factuur van een operatie die hij/zij niet heeft ontvangen. Recepten voor medicijnen kunnen dienen voor drugsgebruik, of verkoop op het darknet. Of iemand verkoopt de voorgeschreven medicijnen. Hetzelfde geldt voor medische apparatuur verworven via een recept van een patiënt.

Identiteitsdiefstal is zo’n breed veld, vele andere illegale activiteiten kunnen worden gedaan met een identiteit, hierboven staan er slechts een paar genoemd.

Het verkrijgen van toegang tot iemands medische gegevens kan een goede gelegenheid zijn om toegang te krijgen tot hun gezondheidsaandoeningen zoals allergieën, medicijnen en andere afhankelijkheden van de moderne medische ingrepen. Afgelopen juli vond er een gerichte aanval op de toegang tot de medische gegevens van de minister-president van Singapore plaats. SingHealth, de grootste zorggroep in Singapore, merkte een enorme inbreuk op gegevens van 1,5 miljoen dossiers van patiënten die een Singhealth-kliniek bezochten tussen mei 2015 en juli 2018. Één bijzonder medisch dossier van belang bleek die van de minister-president Lee Hsien Loong, die informatie over zijn medicatie bevatte, te zijn. Later werd geconcludeerd dat de aanval goed gepland, geavanceerd, doelgericht en zelfs potentieel door een natiestaat gesponsord bleek te zijn.

Een andere mogelijkheid om fysieke schade te veroorzaken bij een individu, is door valse informatie toe te voegen danwel te verwijderen in het medische dossier. Dit kan levensgevaarlijke gevolgen hebben voor een patiënt.

Bovendien kan het worden gebruikt voor chantage en afpersing, afhankelijk van de aard en herkomst van de gestolen medische gegevens. Een voorbeeld dat in de media bekend is, zijn de activiteiten van de hackergroep die bekend staat als ‘The Dark Overlord’ (TDO). Deze groep is actief sinds 2016 en heeft het gemunt op verschillende gebieden in de gezondheidszorg, waaronder klinieken voor plastische chirurgie. TDO stuurt voor- tijdens- en na-foto’s van ingrepen die door de zorgverzekeraar niet worden vergoed. TDO verkoopt deze gegevens op het darknet en deze kunnen individueel gebruikt worden voor chantage.

“We’re going to pitch it all up for everyone to nab. The entire patient list with corresponding photos. The world has never seen a medical dump of a plastic surgeon to such degree.” (TDO, 2017)

Medische chantage wordt een stimulans voor een aanvaller die is gemotiveerd door financieel gewin of de intentie om schade toe te brengen aan de reputatie van het slachtoffer. Gevoelige informatie zoals een diagnose van een patiënt, bijvoorbeeld een geschiedenis van plastische chirurgie of geestelijke gezondheidsproblemen, worden hiervoor gebruikt.

Naast de schending van medische gegevens, kunnen ook medische hulpmiddelen schade toebrengen wanneer ze worden overgenomen door een aanvaller, waardoor de daadwerkelijke patiënt niet behandeld kan worden. Aanvallers weten dat medische hulpmiddelen vaak geen medische gegevens bevatten, maar het is een gemakkelijk eerste doel om een dienst of behandeling te onderbreken en hierdoor fysieke schade toe te brengen. Vooral in vergelijking tot netwerkapparaten die veiliger zijn dan medische hulpmiddelen. Dit is opmerkelijk bij het overwegen van motivaties en het einddoel van een aanval, maar het is niet de focus van dit onderzoek en zal daarom niet verder onderzocht worden.

In plaats daarvan willen wij de vraag onderzoeken waarom gezondheidsgegevens zo aantrekkelijk zijn voor aanvallers; en wat een aanvaller kan doen met deze gestolen medische gegevens. Om deze vragen te onderzoeken, hebben we de volgende hypotheses opgesteld:

Health data is more attractive to an attacker because it brings more value due to its multitude of information, e.g. financial data, PII, medical history.

Stolen health data is sold for a higher price per record on online markets in comparison to other stolen data such as financial data.

Gerichte cyberaanvallen tegen verschillende industrieën zijn de laatste jaren steeds gebruikelijker geworden. De gezondheidszorg is geen uitzondering. Daarom onderzoeken wij twee hypothesen. Lees alles over onze bevindingen en aanbevelingen in deze whitepaper.