Cyberaanvallen op ziekenhuizen zullen waarschijnlijk toenemen, waardoor levens in gevaar komen, waarschuwen experts

WASHINGTON (AP) – Cybersecurity-experts waarschuwen dat ziekenhuizen in het hele land risico lopen op aanvallen zoals die welke de operaties van een toonaangevend kinderziekenhuis in het Midwesten verlamt, en dat de Amerikaanse overheid te weinig doet om dergelijke inbreuken te voorkomen.
Ziekenhuizen hebben de afgelopen jaren hun gebruik van online technologie aangepast om alles te ondersteunen, van telezorg tot medische apparaten en patiëntendossiers. Tegenwoordig zijn ze een geliefd doelwit voor internetdieven die de data en netwerken van systemen gijzelen voor hoge losgelden, zei John Riggi, cybersecurityadviseur van de American Hospital Association.
"Helaas is het onbedoelde gevolg van het gebruik van al deze netwerk- en internetverbonden technologie dat het ons digitale aanvalsoppervlak heeft vergroot," zei meneer Riggi. "Dus, veel meer kansen voor slechteriken om onze netwerken binnen te dringen."
De aanvallers opereren vaak vanuit Amerikaanse tegenstanders zoals Rusland, Noord-Korea en Iran, waar ze grote uitbetalingen van hun slachtoffers ontvangen en weinig kans hebben ooit gestraft te worden.
In november dwong een ransomware-aanval op een zorgketen die 30 ziekenhuizen en 200 zorginstellingen in de Verenigde Staten exploiteert artsen om patiënten van spoedeisende hulp te halen en electieve operaties uit te stellen. Ondertussen kondigde een ziekenhuis op het platteland in Illinois vorig jaar aan dat het permanent zou sluiten omdat het financieel niet kon herstellen van een cyberaanval. En hackers gingen zelfs zo ver dat ze foto's en patiëntgegevens plaatsten van borstkankerpatiënten die behandeling kregen bij een gezondheidsnetwerk in Pennsylvania nadat het systeem vorig jaar was gehackt.
Nu is een van de beste kinderziekenhuizen van het land, het Ann & Robert H. Lurie Children's Hospital of Chicago, gedwongen zijn telefoon-, e-mail- en medische dossiersystemen offline te zetten terwijl het een cyberaanval bestreed. De FBI heeft gezegd dat het onderzoek doet.
Brett Callow, analist bij het cybersecuritybedrijf Emsisoft, telde vorig jaar 46 cyberaanvallen op ziekenhuizen, vergeleken met 25 in 2022. De uitbetalingen voor criminelen zijn ook groter geworden, met een gemiddelde uitbetaling die steeg van $5.000 in 2018 naar $1,5 miljoen vorig jaar.
"Tenzij overheden iets betekenisvollers en betekenisvollers doen dan tot nu toe, is het onvermijdelijk dat het erger zal worden," zei meneer Callow altijd.
De heer Callow vindt dat de overheid slachtoffers van cyberaanvallen zoals ziekenhuizen, lokale overheden en scholen moet verbieden losgeld te betalen. "Er wordt nu zoveel geld in het ransomwaresysteem gestort dat het probleem niet zomaar vanzelf zal verdwijnen," zei hij.
De dramatische toename van deze online invallen heeft de belangrijkste gezondheidsdienst van het land ertoe aangezet nieuwe regels voor ziekenhuizen te ontwikkelen om zichzelf te beschermen tegen cyberdreigingen.
Het Department of Health and Human Services heeft aangegeven dat het de regels voor de Health Insurance Portability and Accountability Act – de federale wet die vaak HIPPA wordt genoemd en die verzekeraars en gezondheidssystemen verplicht patiëntinformatie te beschermen – zal herschrijven om later dit jaar nieuwe bepalingen op te nemen die cybersecurity behandelen.
Het departement overweegt ook nieuwe cybersecurity-eisen die gekoppeld zijn aan de Medicaid- en Medicare-financiering van ziekenhuizen.
"Hoe beter we voorbereid zijn, hoe beter," zei plaatsvervangend secretaris Andrea Palm.
Maar, voegde ze eraan toe, sommige ziekenhuizen zullen moeite hebben zichzelf te beschermen. Ze maakt zich bijvoorbeeld zorgen over plattelandsziekenhuizen die moeite kunnen hebben om geld bij elkaar te krijgen om hun cyberbeveiliging goed te updaten. HHS wil meer geld van het Congres om het probleem aan te pakken, maar mevrouw Palm zei dat het agentschap geen exact bedrag heeft dat het vraagt.
"Het is belangrijk op te merken dat dit met middelen moet komen," zei mevrouw Palm. "We kunnen de industrie niet zo opzetten dat ze niet aan de eisen kan voldoen."
Het slachtoffer worden van een cyberaanval is ook kostbaar. De aanvallen kunnen de netwerken van ziekenhuizen weken- of maandenlang offline houden, waardoor ziekenhuizen patiënten moeten weigeren.
In Chicago is het netwerk van het Lurie-ziekenhuis al twee weken offline. Het ziekenhuis, dat vorig jaar meer dan 260.000 patiënten bediende, heeft een apart callcenter opgericht voor de behoeften van patiënten en een deel van de zorg hervat.
Donderdag opereerden Lurie's chirurgen Jason Castillo's 7 maanden oude dochter grotendeels met de hand, zonder enkele van de doorgaans gebruikte hightech apparaten.
De geplande hartoperatie van zijn dochter werd op 31 januari uitgesteld, toen het ziekenhuis onder cyberbelegering kwam te liggen. De chirurg sprak met meneer Castillo voordat zijn dochter werd binnengereden voor een operatie van zes uur, en beloofde dat hij zich zeker voelde dat hij de ingreep kon uitvoeren ondanks de aanhoudende cyberaanval.
"Ze doet het fantastisch," zei meneer Castillo over zijn dochter, die nu thuis aan het herstellen is. "Het voelt alsof er een enorme wolk uit ons huishouden is getild."
Zelfs zodra Lurie hun netwerk heeft hersteld, zal het waarschijnlijk maanden achter de schermen werk kosten voordat het ziekenhuis volledig hersteld is, zei meneer Callow altijd.
"Deze incidenten kunnen alles beïnvloeden, van patiëntenzorg tot salarisadministratie," zei meneer Callow zelf. "Volledig herstellen kan maanden duren, het is niet zomaar een kwestie van een schakelaar omzetten en alles gaat weer aan."


