Leestijd: 4 minuten
Categorie: Industrial Technology
Samenvatting
Cybersecurity in ziekenhuizen draait niet alleen om data.
Het gaat om mensenlevens.
Als een hacker het ziekenhuis binnendringt, is het niet een Excel-bestand dat stuk gaat. De zuurstofpomp stopt. Het waterzuiveringssysteem valt uit. De temperatuur op de IC loopt op.
Eén digitaal commando kan de echte wereld raken: stilletjes, direct, gevaarlijk.
Tijdens de ONE Conference, Europa’s grootste cybersecurity-event, lieten we in onze live demo Hack the Hospital zien hoe aanvallers operationele technologie in een ziekenhuis kunnen overnemen.
We stalen geen data.
We veranderden de realiteit.
De vergeten helft van cybersecurity
Iedere CISO kent z’n IT-stack: firewalls, endpoints, cloud workloads.
Maar de fysieke kant – OT – blijft vaak buiten beeld.
Terwijl OT juist de systemen aanstuurt die ziekenhuizen draaiende houden (en patiënten in leven):
- De pompen die water filtreren
- Het systeem dat chemicaliën doseert
- Het luchtbehandeling systeem die druk en luchtkwaliteit regelt
- PLC’s en sensoren (die al sinds 2009 niet meer zijn geupdate)
Dit zijn niet zomaar systemen. Dit is letterlijk levensondersteuning.
En veel van deze systemen werken gewoon via hetzelfde netwerk als je e-mail.
In onze demo gebruikten aanvallers een gekaapt VPN-account om in te breken op het watersysteem van het ziekenhuis.
Binnen een paar minuten konden ze de chemische waarden aanpassen, zonder dat er ook maar één alarm afging.
De dashboards zagen er prima uit.
De werkelijkheid was anders.
Waarom ziekenhuizen topdoelen zijn
Ziekenhuizen zitten op het kruispunt van hoge inzet en slechte security.
Ze draaien op:
- Oude OT-systemen met software uit een ander tijdperk
- Complexe toeleveringsketens met toegang voor derden
- Krappe budgetten die het risico niet kunnen bijbenen
Voor aanvallers zijn ziekenhuizen het perfecte doelwit: alles is met elkaar verbonden. En wie de apparatuur beheert die mensen in leven houdt, heeft alle kaarten in handen.
En dit is geen theorie.
- San Francisco Bay Area, 2021: Aanvallers kregen via TeamViewer toegang tot de waterzuivering en verwijderden bestanden voor chemische dosering. Vroegtijdige detectie voorkwam vergiftiging van patiënten.
- Düsseldorf University Hospital, 2020: Ransomware legde IT- én OT-systemen plat. Een patiënt overleed door vertraagde zorg.
Dit zijn geen ‘cyberincidenten’. Dit zijn mislukkingen in publieke veiligheid.
De harde waarheid: OT is de deur die je vergat op slot te doen
In de meeste ziekenhuizen delen IT en OT nog steeds hetzelfde netwerk. Dat betekent: één gehackte account, één klik op een phishingmail, één vergeten VPN – en een aanvaller zit direct in de systemen die het gebouw én de patiëntomgeving aansturen.
En OT beveiligen werkt nu eenmaal anders dan IT beveiligen.
Je kunt geen EDR installeren op een controller van twintig jaar oud.
Je kunt geen patch uitvoeren op apparatuur die continu aan moet blijven voor patiëntveiligheid.
Wat je wél kunt doen: segmenteren, monitoren en verifiëren.
Of het risico accepteren.
Het CISO Playbook: Begin waar het risico het hoogst is
Er is een ellenlange lijst van maatregelen die je kunt (en misschien zou moeten) nemen.
Maar het draait niet om vinkjes zetten.
Vergeet perfectie. Richt je op controle.
- Segmenteer of geef op. Als IT en OT vrij met elkaar praten, ben je al gehackt: je weet het alleen nog niet.
- Weet wat je hebt. Maak een asset inventory en wijs eigenaarschap toe. Je kunt niet verdedigen wat je niet ziet.
- Stop met standaardwachtwoorden. Gedeelde leverancierslogins zijn open deuren. Sluit ze. En verander meteen die standaardwachtwoorden.
- Beperk je aanvalsoppervlak. Zet uit wat je niet gebruikt. Elke draaiende service is een nieuw doelwit.
- Oefen op storingen, niet op audits. Simuleer een OT-failure. Ontdek hoe je team reageert als alles zwart gaat.
Het is niet spannend werk, maar het redt wel levens.
Zero Trust: Het enige medicijn dat écht werkt
Ziekenhuizen kunnen zich geen blind vertrouwen veroorloven: niet in apparaten, niet in netwerken, niet in leveranciers. Daar komt Zero Trust om de hoek kijken.
Het is geen modewoord. Het is digitale triage.
Isoleer wat besmet is. Controleer elke verbinding. Geef alleen toegang als het écht moet, en alleen zo lang als nodig.
Zero Trust draait niet om wantrouwen in mensen.
Het draait om precisie en controle.
De volgende OT-aanval kondigt zich niet aan met knipperende lampjes of luide alarmen.
Hij komt vermomd als ‘normaal’.
Zero Trust zorgt ervoor dat ‘normaal’ niet dodelijk wordt.
Handel voordat het te laat is
De dreiging zit al in het systeem. De vraag is niet of OT wordt aangevallen, maar wanneer. En of je het op tijd doorhebt.
CISO’s en zorgbestuurders hebben een simpele keuze: nu handelen, of straks achter de feiten aanlopen.
Segmenteer. Controleer. Plan. Oefen.
Cyberrisico in de zorg draait allang niet meer om regels en vinkjes. Het gaat om overleven. Bescherm wat mensen in leven houdt. Want als het om OT gaat, is dit geen oefening. Het is letterlijk van levensbelang.
