Cyberdreigingen richten zich steeds vaker op de zorg, een sector die jarenlang buiten het vizier van georganiseerde cybercriminaliteit bleef. Maar die tijd is definitief voorbij. Door de snelle digitalisering en de noodzakelijke uitwisseling van gevoelige gegevens is de urgentie rondom cyberweerbaarheid in de zorg enorm toegenomen. Toch hebben veel ziekenhuizen nog nauwelijks ervaring met het testen van hun digitale weerbaarheid. Dat gold ook voor een Nederlands ziekenhuis dat recent KPMG inschakelde voor een uitgebreide test van hun cyberbeveiliging.

Cyberaanvalssimulatie: hoe kwetsbaar is de zorg?

KPMG voerde een cyberaanvalssimulatie, ook wel een ‘red teaming’-oefening, uit bij het ziekenhuis. Dit soort simulaties zijn een krachtig middel om inzicht te krijgen in de beveiligingsrisico’s en om bewustwording binnen de organisatie te vergroten. Het resultaat was zorgwekkend: via een zorgvuldig opgebouwde aanval had het Red Team binnen enkele weken toegang tot kritieke systemen zoals het Elektronisch Patiëntendossier (EPD) en het Cyberlab, zonder dat er iets werd opgemerkt. Deze systemen zijn cruciaal voor de dagelijkse zorg, maar vormen ook een aantrekkelijke prooi voor cybercriminelen vanwege de gevoelige data en de afhankelijkheid van externe partijen zoals huisartsen.

Geen alarmbellen

Tijdens de test bleek dat het ziekenhuis moeite had om verdachte activiteiten te detecteren, ondanks de inzet van een externe Managed Security Service Provider. Zelfs na toenemende pogingen om alarmbellen te laten rinkelen, bleef de aanval onopgemerkt. Dit benadrukte het ontbreken van effectieve detectietools en -processen. De uiteindelijke conclusie? Zonder extra stappen blijven ziekenhuizen kwetsbaar, met een groeiend risico voor zowel de continuïteit van zorg als de privacy van patiënten. Na afloop van de simulatie vond een ‘Purple Teaming’-sessie plaats, waarbij het IT-team van het ziekenhuis de aanval samen met KPMG doorliep en analyseerde. Er volgde aanbevelingen zoals sterkere monitoring, beter wachtwoordbeheer en geavanceerdere detectiesystemen. Intussen heeft het ziekenhuis belangrijke stappen gezet richting een veiliger zorgomgeving, onder andere door een versnelde migratie naar een cloudgebaseerde infrastructuur.

Toekomstgerichte zorg: cybersecurity als fundament

De casus van dit topklinische ziekenhuis illustreert een bredere uitdaging voor de zorg. Cyberaanvallen vormen een groeiend risico dat vraagt om een geïntegreerde aanpak, zowel binnen zorginstellingen als regionaal en nationaal. Alleen door samenwerking en continue evaluatie kunnen we de zorgsector beschermen tegen de toenemende dreigingen van morgen.

Meer weten over hoe KPMG cyberweerbaarheid in de zorg ziet? Lees dan hier verder.

Blijf op de hoogte

Wij houden je op de hoogte per e-mail. Geef hier je voorkeuren door.