‘Cybersecurity in zorg loopt achter feiten aan’

Het onderzoek werd gehouden onder bijna 3.000 cyberbeveiligingsprofessionals wereldwijd. Van deze ondervraagden waren 322 professionals werkzaam in de gezondheidszorg in Australië, Frankrijk, Duitsland, Japan, Nederland, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten. Het ging hierbij om zorginstellingen met meer dan duizend man personeel.

Aanvallers zijn sneller

De helft van de ondervraagden gaf aan dat hun zorginstantie te maken had met één of meerdere datalekken in de afgelopen twee jaar. In 58 procent van die gevallen bleek er zelfs een patch voor het probleem voorhanden te zijn, maar was deze niet geïnstalleerd. Dit tekent volgens de onderzoekers de urgentie voor ICT-afdelingen om de gaten in de beveiliging sneller te kunnen dichten zodra deze bekend worden, dan eventuele aanvallers.

Het patchen van kwetsbaarheden neemt volgens het onderzoek 11 dagen beslag, een toename van bijna 30 procent in de afgelopen twee jaar. Dit zou voornamelijk komen door vertragende manuele processen op afdelingen en geïsoleerde tools, zo geeft 52 procent van de ondervraagden aan.

Daarnaast gaf ruim de helft van de ondervraagden aan dat aanvallers ze steeds vaker sneller af zijn doordat zij slimmere en geavanceerdere technieken toepassen, zoals artificial intelligence en machine learning. Ook zou volgens 65 procent de afdelingen worstelen met het prioriteren van de benodigde patches voor de kwetsbaarheden. 37 procent geeft zelfs aan te weten van kwetsbaarheden, voordat een inbreuk via dat 'gat' plaatsvindt.

‘Patching paradox’

Volgens het onderzoek is er sprake van een "Patching paradox": het aannemen van meer ICT-professionals betekent niet gelijk betere beveiliging van de systemen. Terwijl 43 procent van de organisaties in de gezondheidszorg van plan is meer personeel aan te nemen als antwoord op de kwetsbaarheid van de systemen, zullen zij hun niet beveiliging volgens het onderzoek daarmee niet automatisch verbeteren als het gemankeerde patchingsproces niet eerst onder de loep genomen wordt, wat nu het geval zou zijn.

Cybersecurity-teams in zorgorganisaties spenderen al een aanzienlijk deel van hun tijd aan het patchen van zwakheden. Respondenten zeggen dat hun bedrijven gemiddeld 345 uur per week besteden – of ongeveer 9 fte- aan het patchingsproces van kwetsbaarheden. Door de gewenste investeringen in personeel zouden er wereldwijd nog twee miljoen extra cybersecurity-experts nodig zijn.

Volgens het onderzoek bestaat de gemiddelde ICT-afdeling die verantwoordelijk is voor de cybersecurity uit 22 personen, waardoor ongeveer 39 procent van de afdelingen zich bezig houdt met de beveiliging van de systemen. Toch geeft 43 procent van de bedrijven nog steeds aan te willen investeren in meer personeel voor de afdelingen, maar dit heeft volgens de onderzoekers dus slechts effect als de bedrijfs- en patchingsprocessen nauwkeurig onder de loep worden genomen.

Met de datalekken in de wereldwijde gezondheidszorg gaan volgens het onderzoek enorme kosten gepaard. Zo zouden de gemiddelde kosten van een datalek rond de 3,86 miljoen dollar liggen.