Cyberdreigingen leggen een enorme druk op de productiviteit van organisaties in de sector zorg en welzijn. Bovendien merken veel organisaties dat het herstellen van verloren data vaak veel langer duurt dan verwacht. Tegelijkertijd spelen menselijke fouten een grote rol bij incidenten rond informatiebeveiliging en privacy. Denk bijvoorbeeld aan medewerkers die onbedoeld privacygevoelige gegevens delen of die een phishingbericht niet herkennen. Hierdoor ontstaan situaties waarin cybercriminelen eenvoudig kunnen binnendringen.
Een eerste stap in het voorkomen van cyberdreigingen en privacyrisico’s is het tijdig herkennen ervan. Daarom is het essentieel om te weten wanneer er sprake is van een cyberdreiging en hoe medewerkers daar alert op kunnen reageren. In dit artikel staan de acht meest voorkomende cyberdreigingen en privacyrisico’s in de sector zorg en welzijn, inclusief de belangrijkste signalen.
8 soorten cyberdreigingen en privacyrisico’s herkennen
Hieronder staan de acht cyberdreigingen en privacyrisico’s waar organisaties in zorg en welzijn regelmatig mee te maken krijgen.
1. Phishing herkennen en voorkomen
Phishing is een veelvoorkomende vorm van digitale oplichting. Cybercriminelen versturen valse berichten via e-mail, WhatsApp, sociale media of sms, met als doel slachtoffers naar een nepwebsite te lokken. Vervolgens geven medewerkers vaak ongemerkt inloggegevens, bankinformatie of andere privacygevoelige data af. Soms maken slachtoffers zelfs geld over aan criminelen die zich voordoen als bekenden.
Belangrijke signalen van phishing:
Berichten waarin wordt gevraagd om op links te klikken of gegevens in te voeren.
E-mails met bijlagen van onbekende of opvallende afzenders.
2. Hergebruik van wachtwoorden
Wanneer medewerkers hetzelfde wachtwoord gebruiken voor meerdere accounts, ontstaat direct een ernstig beveiligingsrisico. Zodra een cybercrimineel toegang krijgt tot één account, bestaat de kans dat alle gekoppelde accounts worden misbruikt.
Signalen die wijzen op mogelijk misbruik:
Onbekende activiteiten in accounts.
Meldingen dat accounts zijn verwijderd.
Inlogpogingen op vreemde tijdstippen of vanaf onbekende IP-adressen.
3. Interne dreigingen herkennen en voorkomen
De menselijke factor blijft de zwakste schakel binnen cybersecurity en privacy. Medewerkers kunnen informatie delen via telefoon of e-mail zonder dit te beseffen. Daarnaast verliezen zij soms laptops of smartphones met gevoelige gegevens of gebruiken zij zwakke wachtwoorden. Hierdoor ontstaat ruimte voor phishing, ransomware, sabotage, fraude en datadiefstal.
Signalen van interne dreigingen:
Zakelijke e-mails die naar privé-adressen worden doorgestuurd.
Privéapparaten die worden gebruikt voor werk.
Ontevreden medewerkers die toegang hebben tot gevoelige informatie.
Medewerkers die datalekken niet herkennen of niet melden.
4. Business Email Compromise of social engineering
Bij Business Email Compromise richten cybercriminelen zich op het manipuleren van menselijk gedrag. Ze gebruiken overtuigende e-mails die lijken te komen van leidinggevenden, leveranciers of collega’s. Hierdoor creëren zij druk om direct te handelen.
Signalen van BEC en social engineering:
Verzoeken om geld over te boeken, vooral wanneer het om spoedbetalingen gaat.
Uitleg over investeringen, overnames of exclusieve deals waarmee urgentie wordt gecreëerd.
5. Spoofing herkennen en voorkomen
Bij spoofing nemen cybercriminelen een valse identiteit aan. Ze sturen bijvoorbeeld een phishingmail vanaf een adres dat lijkt op het adres van een bekende organisatie of zelfs op het eigen e-mailadres van de ontvanger.
Belangrijke signalen:
E-mails met een afzenderadres dat niet overeenkomt met de echte afzender.
Websites die sterk lijken op officiële sites maar subtiele afwijkingen bevatten.
Telefoontjes vanaf Nederlandse nummers die toch afkomstig zijn uit het buitenland.
Druk om direct actie te ondernemen, zoals geld overmaken of systeemtoegang geven.
6. DDoS-aanval herkennen en voorkomen
Bij een DDoS-aanval bestoken criminelen servers of netwerkapparaten met enorme hoeveelheden verzoeken. Daardoor raken websites en diensten onbereikbaar, wat kan leiden tot ernstige (imago)schade.
Signalen van een DDoS-aanval:
Servers die plotseling enorme hoeveelheden gelijktijdige verzoeken ontvangen.
Websites die niet meer bereikbaar zijn of extreem traag reageren.
Aanvallen die verlopen via botnets met geïnfecteerde computers.
7. Dreiging via derde partijen of supply chain-dreiging
Veel zorg- en welzijnsorganisaties werken met tientallen externe leveranciers. Een zwakke beveiliging bij één van deze partijen kan cybercriminelen de kans geven om via een achterdeur toegang te krijgen tot vertrouwelijke bedrijfsgegevens.
Signalen van supply chain-risico’s:
Facturen die opeens in afwijkende formats binnenkomen.
Meldingen over gewijzigde IBAN-nummers zonder duidelijke verklaring.
8. Malware herkennen
Malware is kwaadaardige software die apparaten binnendringt, gegevens steelt, versleutelt of verwijdert. In ernstige gevallen kan malware een volledig systeem platleggen.
Signalen van malware:
Apparaten die plotseling trager worden.
Browsers die automatisch worden omgeleid.
Toenemende aantallen pop-ups.
Programma’s die niet meer goed functioneren.
Onverklaarbaar hoog dataverbruik.
Privacybewustwording en NEN 7510
Het Ministerie van VWS verplicht zorginstellingen om informatiebeveiliging en privacy aantoonbaar op orde te hebben. Hoewel NEN 7510-certificering niet verplicht is, moeten organisaties wel laten zien dat hun beveiligingsprocessen voldoen aan de normen van de Inspectie Gezondheidszorg en Jeugd (IGJ). Om dit te bereiken, is een goed opgeleide en privacybewuste organisatie van groot belang.
Daarom is het belangrijk dat medewerkers begrijpen welke cyberdreigingen en privacyrisico’s relevant zijn. Door de juiste kennis te combineren met praktische vaardigheden vergroten organisaties de weerbaarheid van hun medewerkers én verkleinen zij de kans op datalekken.
Wij hebben verschillende AVG-trainingen ontwikkeld die zorg- en welzijnsorganisaties ondersteunen bij privacybewustwording. De kracht van deze trainingen zit onder andere in praktijkgerichte casuïstiek, compacte theorie, flexibiliteit, certificering en directe toepasbaarheid. Voor elke professional is er een passende training die aansluit bij zijn of haar werkpraktijk. Tijdens én na de training bieden we persoonlijke begeleiding.
