Zorg en welzijn: 8 soorten cyberdreigingen en privacyrisico’s herkennen én voorkomen

Cyberbedreigingen kunnen een enorme druk leggen op de productiviteit van organisaties in de sector zorg en welzijn. Daarnaast is het vermogen om snel de verloren data te herstellen een andere veel voorkomende cyberdreiging die helaas vaak over het hoofd wordt gezien. Ook onbedoelde menselijke fouten worden vaak onderschat door zorg- en welzijnsorganisaties. Bijvoorbeeld een medewerker die niet zorgvuldig omgaat met de privacy van cliënten of een medewerker die geen phishing kan herkennen.

Cyberdreigingen en privacyrisico’s voorkomen, begint met het herkennen van de dreigingen en cyberrisico’s. Wanneer is er sprake van een cyberdreiging en hoe kun je daar binnen jouw organisatie alert op zijn? Ontdek in dit artikel de acht meest voorkomende vormen van cyberdreigingen en de belangrijkste signalen die daarbij horen.

8 soorten cyberdreigingen en privacyrisico’s herkennen

Dit zijn de tien soorten cyberdreigingen en privacyrisico’s waar veel organisaties in zorg- en welzijn mee te maken krijgen:

  • Phishing
  • Hergebruik van wachtwoorden
  • Interne dreiging
  • Business Email Compromise of social engineering
  • Spoofing
  • DDoS-aanval
  • Dreiging via derde partijen
  • Malware
  1. Phishing herkennen en voorkomen

Phishing is een vorm van digitale oplichting. Phishing gebeurt via e-mail, WhatsApp, sociale media en sms. Slachtoffers worden vaak naar een neppe website gelokt waar ze vervolgens belangrijke gegevens prijsgeven. Of ze maken geld over naar een fraudeurs die zich voordoen als bekenden. Cybercriminelen proberen (login)gegevens, rekeningnummers en andere gevoelige data te verzamelen.

Signalen van phishing:

  • Berichten via e-mail, WhatsApp, sociale media en sms met de vraag om op links te klikken of om gegevens in te voeren.
  • E-mails met bijlagen van onbekende afzenders.
  1. Hetzelfde wachtwoord gebruiken voor meerdere accounts

Door hetzelfde wachtwoord voor verschillende accounts of diensten te gebruiken, kunnen medewerkers een beveiligingsrisico creëren voor de organisatie. Een cybercrimineel die van één account of dienst het wachtwoord weet te achterhalen, kan dan dus ook alle andere accounts misbruiken.

Signalen gebruik van hetzelfde wachtwoorden voor meerdere accounts:

  • Als je onbekende activiteiten opmerkt in jouw account(s).
  • Als jouw account is verwijderd.
  • Er wordt op rare tijden en vanaf onbekende, externe IP-adressen ingelogd.
  1. Interne dreigingen herkennen en voorkomen

De mens is in de keten van cybersecurity en privacy nog altijd de zwakste schakel. Medewerkers kunnen privacygevoelige informatie geven als ze gebeld of gemaild worden, ze kunnen hun smartphone of laptop met daarin belangrijke zakelijke gegevens verliezen of gebruiken ze zwakke wachtwoorden. Hierdoor kunnen zorg- en welzijnsorganisaties te maken krijgen met phishing, ransomware, fraude, sabotage, verstoring en diefstal van intellectuele eigendommen.

Signalen interne dreigingen:

  • Zakelijke e-mails doorsturen naar privé-emailadres.
  • Privé devices gebruiken voor werk.
  • Ontevreden medewerker(s).
  • Geen datalekken herkennen.
  1. Business Email Compromise of social engineering herkennen en voorkomen

Business E-mail Compromise is een vorm van cybercrime die op phishing lijkt waarbij de focus ligt op e-mailcontact binnen organisaties. Bij BEC-fraude focussen cybercriminelen zich op het manipuleren van natuurlijk menselijk gedrag. Dit wordt ook wel ‘social engineering’ genoemd.

Signalen Business Email Compromise of social engineering:

  • In een e-mail wordt gevraagd om geld over te boeken.
  • Vaak gaat het om spoed overboekingen in verband met een investering, overname, fusie of een exclusieve deal.
  1. Spoofing herkennen en voorkomen

Bij spoofing gebruiken cybercriminelen een trucje om een andere identiteit aan te nemen. Een bekend voorbeeld van spoofing is bijvoorbeeld het krijgen van een (phishing)mail van jouw eigen e-mailadres of zogenaamd namens een bestaand e-mailadres van een bekende organisatie zoals de ban of overheid.

Signalen spoofing:

  • Er wordt een e-mail verstuurd vanuit een e-mailadres dat niet echt van de afzender is.
  • Als je op een link van een valse e-mail klikt, kun je terecht komen op een valse website die precies lijkt op de officiële website. Dit is websitespoofing.
  • Cybercriminelen bellen bijvoorbeeld met een Nederlands nummer, terwijl zij zich helemaal niet in Nederland bevinden. Er wordt gewaarschuwd voor risico’s of wordt gedreigd met sluiting van accounts of blokkeren van rekening(en).
  • Medewerkers worden gevraagd om direct actie te ondernemen, bijvoorbeeld geld overmaken of toegang geven tot systemen.
  1. DDoS-aanval herkennen en voorkomen

Met een (Distributed) Denial-of-Service-aanval (DDoS-aanval) vallen cybercriminelen de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur aan. Het resultaat van een DDoS-aanval is dat diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten. Dit kan leiden tot grote (imago)schade voor zorg- en welzijnsorganisaties.

Signalen DDoS-aanval:

  • De getroffen server krijgt tijdens een DDoS-aanval enorm veel verzoeken vanaf meerdere computers tegelijk te verwerken. Dit heeft als gevolg dat het verkeer van en naar de website geblokkeerd wordt en kan de server van de dienst zelfs crashen (platgaan).
  • Bij een DDoS-aanval wordt vaak een zogenoemd ‘botnet’ gebruikt. Een botnet is een groep op afstand bestuurbare computers, die via (stiekem geïnstalleerde) malware een lawine aan serververzoeken kan doen.
  1. Dreiging via derde partijen of supply chain-dreiging herkennen en voorkomen

Dreiging via derde partijen of supply chain-aanvallen zijn situaties waarbij cybercriminelen toegang krijgen tot bedrijfsnetwerken via externe leveranciers; of via de toeleveringsketen. Veel zorg- en welzijnsorganisaties werken met tientallen leveranciers. Cybercriminelen benutten zwakke beveiliging bij deze gecontracteerde partijen en kunnen vervolgens via een achterdeurtje toegang krijgen tot vertrouwelijke bedrijfsgegevens, betaalgegevens van klanten en meer.

Signalen dreiging van derde partijen:

  • Er worden facturen gestuurd in nieuw formaat of een melding van een nieuw IBAN-nummer bij geldovermakingen.
  1. Malware herkennen

Malware is kwaadaardige software die schadelijk is voor apparaten die in verbinding staan met het internet. Cybercriminelen gebruiken malware om apparaten binnen te dringen en te beschadigen of uit te schakelen. Cybercriminelen proberen op deze manier je gegevens te stelen, versleutelen of verwijderen. In het ergste geval leggen ze het hele apparaat plat.

Signalen malware:

  • Je apparaat wordt langzaam.
  • Je browser wordt omgeleid.
  • Je ontvangt steeds pop-ups.
  • Programma’s werken niet goed.
  • Je dataverbruik neemt toe.

Privacybewustwording en NEN 7510

Het Ministerie van VWS eist van instellingen in de gezondheidszorg dat de informatiebeveiliging en privacy in de zorg op orde is. NEN 7510 certificering is niet verplicht, maar zorginstellingen in Nederland dienen aan de Inspectie voor Gezondheidszorg (IGZ) wel aantoonbaar te maken dat zij beschikken over een juiste informatiebeveiliging. Het is daarbij van belang om medewerkers hierin goed op te leiden en ze bewust te maken van cyberdreigingen en privacyrisico’s. Om zorg- en welzijnsorganisaties te ontzorgen op het gebied van privacybewustwording hebben we verschillende AVG-trainingen (e-learning) ontwikkeld.

De kracht van onze AVG-trainingen zit in casuïstiek, theorie-to-the-point, flexibiliteit, certificaat en direct toepasbaarheid in de praktijk. Wij bieden voor elke professional een privacytraining die aansluit bij de werksituatie van de desbetreffende professional. We garanderen persoonlijke aandacht tijdens én na de training.