Een van de onderdelen uit ons jaarlijkse Security Navigator rapport zijn de CyberSOC-statistieken, inclusief specifieke cijfers en inzichten voor verschillende branches. Een statistiek dat opvalt, is dat de gezondheidszorg als sector van oudsher wordt uitgedaagd met hun eigen gebruikers die het grootste risico vormen: de insider threat.
In dit blog nemen we een kijken naar de verschillende soorten insider threat en hun verschijning in de zorgsector.
Zoals de naam al aangeeft, is een insider threat een zakelijke dreiging die van binnen de organisatie komt; nog specifieker, van de mensen binnen de organisatie. Dit kunnen (voormalig) medewerkers, opdrachtnemers of zakenrelaties zijn. In tegenstelling tot de meeste dreigingen die van buiten de organisatie komen, hebben dreigingen van binnenuit niet altijd een slechte of criminele bedoeling. Er zijn verschillende soorten bedreigingen van binnenuit, maar over het algemeen kunnen we deze categoriseren als bewust en onbewust.
Hoewel een dader zich misschien bewust is van zijn of haar handelen, is hij zich niet altijd bewust van de schade die het kan toebrengen aan de organisatie. Er valt een onderscheid te maken tussen een kwaadwillend persoon en degenen die uit nieuwsgierigheid handelen.
Kwaadaardig – In dit geval heeft de dader negatieve bedoelingen en steelt hij bewust uw gegevens of inlichtingen. Hun motivatie kan persoonlijk financieel gewin zijn, maar ook als doel hebben om de positie of status van de organisatie te schaden. Een voorbeeld kan een voormalige werknemer zijn die zich door de organisatie benadeeld voelt en handelt uit wraak.
Binnen de zorgsector opereert de kwaadaardige insider threat meestal vanuit een financieel perspectief. Gevoelige vertrouwelijke patiëntinformatie heeft een hoge verhandelbare waarde op de zwarte markt en is daarom zeer aantrekkelijk voor criminelen.
Nieuwsgierig – Data is altijd bestempeld als het nieuwe goud. Werknemers of zakenrelaties kunnen geïnteresseerd zijn in informatie waarvan ze weten dat ze er geen toegang toe zouden moeten hebben. Ofwel vanwege het financiële belang of gewoon uit persoonlijke nieuwsgierigheid.
Stel je voor dat je in een ziekenhuis werkt en uw favoriete beroemdheid wordt binnengebracht voor behandeling, maar niet op uw afdeling. Wilt u weten wat er aan de hand is? En hoeveel anderen zijn er mogelijk geïnteresseerd in deze informatie?
Bij onbewuste dreigingen van binnenuit heeft de actor geen kwade of criminele bedoelingen en is hij zich niet bewust van de mogelijke schade die wordt toegebracht aan de organisatie. Of in het geval van de zorgsector, de patiënt wiens gegevens mogelijk in het geding zijn.
Ook hier kunnen we onderscheid maken tussen twee verschillende actoren.
Nalatig – Dit zijn vaak gevallen als gevolg van gebruikers die zich niet bewust zijn van hun privileges of onzorgvuldig met hun rechten omgaan. Bijvoorbeeld wanneer medewerkers niet in de gaten hebben wie achter hen een beveiligde ingang binnenkomt, waardoor insluipingen mogelijk worden, of medewerkers die onvoorzichtig gebruik van bestandsoverdracht systemen.
Als in een ziekenhuis een patiënt dringend hulp nodig heeft en werknemers er snel bij moeten zijn, kan het sneller gebeuren dat gevoelige gegevens, bijvoorbeeld op een niet-gelockte computer, in de openbaarheid komt.
Onopzettelijk - Mensen maken fouten en ongelukken gebeuren. E-mails met gevoelige gegevens kunnen bij de verkeerde persoon terechtkomen wanneer de afzender een e-mailadres verkeerd typt of hardcopy bestanden misplaatst zijn.
Hoewel veel instellingen hard hebben gewerkt aan het digitaliseren van hun bedrijfsvoering, vertrouwen veel zorgorganisaties nog steeds op papieren patiëntendossiers. Die papieren dossiers zijn helaas gemakkelijker kwijt te raken.
Naast de eerder genoemde voorbeelden zijn er nog een aantal redenen waarom de zorgbranche gevoelig is voor de insider threat.
Welke veranderingen kunnen worden doorgevoerd om de risico's van bedreigingen van binnenuit te beperken?
Zoals de verschillende voorbeelden van insider threats laten zien, wordt de meeste schade veroorzaakt door toegang tot gevoelige data. Uit het Varonis Healthcare Data Risk Report 2021 blijkt dat elke werknemer in zorgorganisaties gemiddeld toegang heeft tot 20% van alle bestanden. Een percentage dat nog hoger ligt voor middelgrote en kleine organisaties.
Het beperken van toegangsrollen en privileges is dan ook een topprioriteit in de zorgsector. Zoals het implementeren van een Zero Trust-strategie, gebaseerd op het principe ‘Never Trust, always verify’.
Een risicoanalyse kan helpen om een beter beeld te krijgen van de organisatiestructuur en het dreigingslandschap. Is er een duidelijk beeld van welke gegevens voor welke medewerkers beschikbaar zijn?
Zoals voor veel verschillende soorten organisaties en branches, is beveiliging niet alleen een IT-kwestie. Het creëren van bewustzijn onder gebruikers kan het risico van de insider threat aanzienlijk verminderen, niet alleen voor de onwetende actoren. Ook de acties van diegene die bewust handelen kunnen worden beïnvloed door de gevolgen te benadrukken. Want in de zorg sector beperken deze gevolgen zich niet alleen tot de organisatie, maar betreffen ook de privacy van de patiënten.
Incidenten kunnen nog zich nog altijd voordoen, ook wanneer toegang wordt beperkt en bewustzijn is gecreëerd. Investeren in incidenten response helpt om de potentiële schade te minimaliseren, zowel financieel als voor de reputatie van de organisatie en de patiëntgegevens.
Lees dit blog voor meer CyberSOC statistieken, download de Security Navigator voor meer security inzichten, of bekijk onze oplossingen voor de gezondheidszorg.