12 Tips tegen ransomware in de zorgsector

Ransomware-aanvallen leggen wereldwijd steeds vaker zorginstellingen plat. De impact is groot: operaties worden uitgesteld, patiëntgegevens gegijzeld, reputatie geschaad. Voor bestuurders en managers betekent dit niet alleen directe schade, maar ook risico’s voor patiëntveiligheid en continuïteit van zorg.

Dit overzicht geeft 12 concrete stappen n om de organisatie beter te beschermen, elk met duidelijke voordelen, risico’s en maatregelen..

1. Beheerders alleen via veilige kanalen

Systeembeheerders hebben toegang tot de kern van een zorgorganisatie. Deze accounts zijn een direct doelwit bij ransomware-aanvallen. Wordt een beheerderssessie overgenomen, dan kan een aanvaller zich razendsnel door het netwerk verspreiden. Het beperken van deze toegang tot beveiligde, gecontroleerde kanalen is daarom noodzakelijk voor een weerbare zorgomgeving. Zeker in combinatie met andere maatregelen binnen een zero trust-aanpak.

Waarom onbeveiligd beheer fataal kan zijn

Veel zorginstellingen vertrouwen nog op verouderde toegangsmethoden zoals openstaande RDP-poorten of directe VNC-verbindingen. Deze vormen een populair startpunt bij gerichte aanvallen.

• Ransomwaregroeperingen zoeken actief naar open RDP-poorten via geautomatiseerde scans.
• Gestolen beheerderswachtwoorden worden verhandeld op forums.
• Zonder extra beveiliging krijgen aanvallers eenvoudig volledige controle over systemen.

Bij meerdere recente incidenten is ransomware geïnstalleerd via slecht beveiligde beheertoegang. De schade varieerde van tijdelijke sluiting van operatiekamers tot langdurige verstoring van patiëntendossiers.

RDP en VNC: geliefde ingang voor hackers

Remote Desktop Protocol (RDP) en Virtual Network Computing (VNC) zijn bedoeld voor eenvoudige externe toegang, maar zonder aanvullende bescherming zijn ze risicovol. Hacking via brute-force-aanvallen op RDP-accounts is nog steeds een van de meest gebruikte methoden.

Problemen ontstaan vooral bij:

• Openstaande poorten naar het internet (meestal poort 3389)
• Geen of zwakke authenticatie
• Geen logging of monitoring van gebruik

Zelfs systemen zonder direct internettoegang kunnen worden misbruikt als aanvallers eenmaal binnen zijn via phishing of exploitatie van kwetsbaarheden.

Veilige alternatieven zoals VPN en gateways

Beheerders moeten alleen via gecontroleerde en versleutelde kanalen toegang krijgen. Hierbij zijn er verschillende bewezen oplossingen beschikbaar.

Betrouwbare methoden voor veilig beheer:

• VPN-toegang met tweefactorauthenticatie en apparaatcontrole
• Jump servers of management gateways die toegang loggen en beperken
• Privileged Access Workstations (PAW) voor scheiding tussen beheer- en standaardwerkzaamheden
• Just-in-Time toegang waarbij rechten slechts tijdelijk toegekend worden via tools zoals Microsoft PIM

Bij voorkeur vindt alle beheeractiviteit plaats vanaf geïsoleerde werkstations die streng beveiligd zijn, en niet vanaf standaardgebruikerssystemen.

Logging en monitoring verplicht stellen

Alle beheeracties moeten worden gelogd, en deze logs moeten actief worden gemonitord. Zo worden afwijkingen tijdig gesignaleerd en kunnen verdachte sessies worden afgebroken voordat er schade ontstaat.

Belangrijke elementen van logging:

• Herkomst van de sessie (IP-adres, geografische locatie)
• Tijdstip en duur van beheeractiviteiten
• Gebruikte beheertools en aangeraakte systemen
• Pogingen tot privilege-escalatie

Security Information and Event Management (SIEM)-tools zoals Splunk, Microsoft Sentinel of QRadar zijn geschikt om deze informatie te verzamelen en te analyseren.

Beleidsregels voor systeembeheerders vastleggen

Technische maatregelen werken alleen als ze ondersteund worden door duidelijke regels en gedragscodes. Voor zorgorganisaties betekent dit:

• Beheeraccounts mogen nooit voor dagelijkse taken worden gebruikt.
• Wachtwoorden worden niet gedeeld, maar beheerd via tools zoals CyberArk of KeePass.
• Toegang wordt regelmatig herzien op basis van functie en noodzaak.
• Externe leveranciers krijgen alleen toegang na goedkeuring en onder toezicht.

Zonder duidelijke kaders ontstaat schaduwbeheer en wordt risicobeheersing moeilijker. Dit sluit ook aan bij de uitgangspunten van het concept Cyberbeveiligingsbesluit, dat inzet op het versterken van weerbaarheid tegen cyberdreigingen binnen vitale sectoren, waaronder de zorg.

Praktische fouten en hoe die te voorkomen

Veel incidenten ontstaan door kleine, vermijdbare fouten. Denk aan beheerrechten op standaardwerkstations of universele wachtwoorden die al jaren niet zijn aangepast. Hieronder de meest voorkomende fouten en concrete verbeteracties:

Veelgemaakte fouten:

• Open RDP-poorten zonder filtering
• Adminrechten op reguliere werkplekken
• Geen segmentatie van beheerkanalen
• Onvoldoende logging of logretentie
• Toegang buiten kantooruren zonder toezicht

Concrete verbeteracties:

• Sluit poort 3389 voor inkomende verbindingen van buitenaf
• Gebruik een beheerportaal zoals Azure Bastion of Citrix Gateway
• Richt loginspectie in via SIEM-tools
• Automatiseer rechtentoekenning en -intrekking

Actiepunten voor bestuurders

• Laat een audit uitvoeren op alle externe beheertoegang
• Eis logging van alle beheeractiviteiten en stel rapportage verplicht
• Reserveer middelen voor implementatie van jump servers of PAW’s
• Stel beleidsregels op voor intern en extern systeembeheer
• Vraag regelmatig een risicoanalyse aan van alle RDP-verbindingen

Zorginstellingen die hun beheeromgeving niet isoleren en controleren, lopen verhoogd risico op sabotage, datadiefstal en ransomware. Moderne aanvallen zijn gericht, snel en goed georganiseerd. Alleen met beveiligde toegangskanalen en transparant beheer wordt de impact van een geslaagde aanval geminimaliseerd.

Hacking richt zich steeds vaker op de menselijke en procedurele zwaktes, zoals gemakzuchtig beheer. Wie deze toegang beschermt, voorkomt dat aanvallers hun handen krijgen op de sleutels van het netwerk.

2. Beperk gebruikersrechten

Te ruime gebruikersrechten vormen een direct beveiligingsrisico binnen zorginstellingen. Wanneer een aanvaller toegang krijgt tot een medewerkeraccount met beheerdersrechten, kan ransomware zich razendsnel verspreiden over het netwerk. Een goed ingericht least privilege-beleid minimaliseert deze kans. Elk account krijgt alleen de rechten die strikt noodzakelijk zijn voor de taak die uitgevoerd moet worden. Niet meer, niet minder.

Hoe te ruime rechten misbruikt worden bij aanvallen

Veel ransomware-aanvallen starten klein: één klik op een phishingmail, één onveilige bijlage. Als dit gebeurt vanaf een account met uitgebreide rechten, kan de aanval zich razendsnel verdiepen. De ransomware krijgt direct toegang tot netwerkschijven, applicaties en zelfs back-ups.

Wat gebeurt er bij misbruik van te ruime rechten:

• Malware versleutelt patiëntendossiers via gedeelde mappen
• Geautomatiseerde scripts schakelen antivirus en monitoring uit
• Back-ups worden verwijderd of overschreven
• Laterale beweging binnen het netwerk blijft onopgemerkt

Het beperken van toegangsrechten is daarmee een directe buffer tegen escalatie bij hacking of menselijke fouten.

Aparte accounts voor beheertaken

Veel IT-medewerkers gebruiken één account voor zowel beheer als dagelijks werk. Dat maakt monitoring lastig en verhoogt het risico bij phishingaanvallen.

Goede praktijk:

• Eén standaard gebruikersaccount voor mail en documenten
• Eén apart beheeraccount met tijdelijke rechten voor specifieke taken

Zo kan een aanval op het standaardaccount geen directe systeemwijzigingen uitvoeren. Tegelijkertijd kan het beheeraccount strenger gemonitord worden.

Beheertools zoals Microsoft PIM (Privileged Identity Management) maken dit makkelijk te beheren, met just-in-time toegang en automatische logging.

Geen lokale adminrechten op zorgwerkplekken

Zorgmedewerkers hebben vaak te veel rechten op hun eigen systemen. Dat lijkt praktisch, maar vergroot het risico aanzienlijk. Een gebruiker met lokale adminrechten kan:

• Software installeren zonder toestemming
• Beveiligingsinstellingen wijzigen
• Kwaadaardige bestanden uitvoeren zonder restricties

Zonder adminrechten kan ransomware zichzelf niet installeren of systeemwijzigingen doorvoeren. Daardoor wordt de impact beperkt tot het lokale systeem.

Concrete maatregelen:

• Verwijder lokale adminrechten van alle standaardgebruikers
• Gebruik beheerportalen voor software-installaties
• Stel een aanvraagproces in voor tijdelijke rechten

Sessiescheiding met veilige werkstations

Bij gevoelige systemen is het verstandig om gebruik te maken van gescheiden werkomgevingen. Privileged Access Workstations (PAW) zijn speciaal ingerichte systemen die alleen gebruikt worden voor beheerdoeleinden. Hierdoor wordt het risico van besmetting vanuit mail of internetverkeer drastisch verlaagd.

Kenmerken van PAW’s:

• Strikte netwerksegmentatie
• Geen toegang tot e-mail of internet
• Alleen beheerinterfaces toegankelijk
• Monitoring van sessies verplicht

In veel zorgomgevingen is het mogelijk om deze veilige werkstations te combineren met remote desktopoplossingen of virtualisatie.

Een praktisch stappenplan voor implementatie

De overstap naar een least privilege-model vraagt om zorgvuldige afstemming tussen IT, management en gebruikers. Hieronder een overzichtelijke aanpak die werkt in de zorgpraktijk.

Stapsgewijze aanpak:

1. Inventariseer alle rechten en accounts via een IAM-tool
2. Segmenteer gebruikers op basis van functie en taken
3. Verwijder overbodige rechten en documenteer wijzigingen
4. Implementeer een aanvraag- en goedkeuringsproces voor tijdelijke rechten
5. Controleer rechten periodiek en automatiseer rapportage

Tools zoals Microsoft Entra, Okta of NetIQ kunnen hierbij ondersteuning bieden in zorgspecifieke omgevingen met compliance-eisen zoals NEN 7510.

Veelgemaakte fouten en risico’s

Bij het inrichten van rechten worden vaak dezelfde fouten gemaakt, met serieuze gevolgen:

Typische valkuilen:

• ‘Everyone’-rechten op gedeelde mappen
• Beheerdersrechten voor tijdelijke medewerkers of externen
• Geen logging van rechtenwijzigingen
• Geen periodieke review van accounts

Gevolgen:

• Onbedoelde datalekken
• Sluimerende toegang voor oud-personeel
• Onzichtbare verspreiding van ransomware

Alleen door rechten actief te beheren en te beperken kan een zorginstelling grip houden op wie toegang heeft tot welke systemen.

Actiepunten voor bestuurders

• Laat periodiek een toegangsrechtenaudit uitvoeren
• Stel beleid vast voor functiegerichte toegang
• Implementeer tooling voor Identity & Access Management (IAM)
• Reserveer capaciteit voor de inrichting van PAW’s
• Leg vast dat alle beheeraccounts gescheiden zijn van gebruikersaccounts

Beperkte toegang is niet alleen een IT-kwestie, maar raakt direct aan patiëntveiligheid en continuïteit van zorg. Wie ongecontroleerde toegang toelaat, biedt ransomware vrije doorgang. Een goed rechtenbeleid is dan ook een noodzakelijke buffer binnen elke zorginstelling.

3. Menselijke schakel versterken

Technologie kan veel opvangen, maar de mens blijft vaak het zwakste punt in de keten. Binnen zorginstellingen zijn medewerkers dagelijks doelwit van phishing, social engineering en andere vormen van misleiding. Ransomware-aanvallen beginnen nog steeds vaak met één verkeerde klik. Daarom is security awareness in de zorg onmisbaar om weerbaar te blijven tegen moderne dreigingen.

Hoe medewerkers de eerste verdedigingslinie zijn

Verpleegkundigen, artsen, administratief personeel en ondersteunende diensten werken dagelijks met gevoelige informatie. Ze openen e-mails, downloaden bestanden en gebruiken systemen waarin patiëntgegevens staan. Dit maakt hen een aantrekkelijk doelwit voor aanvallers.

Waarom medewerkers risico lopen:

• Tijdsdruk in zorgsituaties vergroot kans op onoplettendheid
• Onbekendheid met phishingtechnieken
• Vertrouwen op zichtbare afzenders of bekende namen
• Meerdere systemen en applicaties tegelijk gebruiken

Een goed getrainde medewerker herkent verdachte signalen sneller en weet wat te doen bij twijfel of incidenten. Dat verkleint de kans op schade aanzienlijk.

Effectieve trainingsmethoden en simulaties

Security awareness gaat verder dan een PowerPointpresentatie of een jaarlijkse e-learning. Effectieve gedragsverandering vraagt om herhaling, praktijkvoorbeelden en meetbare resultaten. Simulaties zijn hierbij een krachtig instrument.

Bewezen aanpakken in de zorg:

• Phishing simulaties met realistische scenario’s, afgestemd op het werkveld
• Korte video’s of microlearnings tijdens werktijd
• Live workshops of rollenspellen over social engineering
• Quizzen en kennischecks gekoppeld aan incentives

Er bestaan gespecialiseerde tools voor de zorgsector, zoals KnowBe4, SoSafe en Phished, waarmee simulaties automatisch worden uitgerold en resultaten gemeten kunnen worden.

Bewustzijn meten en verbeteren

Training is pas effectief als deze ook leidt tot aantoonbaar gedrag. Het meten van bewustzijn is daarom net zo belangrijk als het aanbieden van informatie.

Manieren om effect te meten:

• Percentage medewerkers dat in phishing-simulaties klikt
• Aantal gemelde verdachte e-mails
• Ingevulde meldformulieren na incidenten
• Deelnamegraad aan trainingen

Rapportages helpen om te bepalen waar extra aandacht nodig is. Afdelingen met een hoog klikpercentage of lage betrokkenheid kunnen extra begeleiding krijgen.

Training integreren in HR- en opleidingsbeleid

Security awareness moet geen losstaande activiteit zijn, maar een vast onderdeel van het werken in de zorg. Door het structureel op te nemen in HR-processen en onboarding, wordt het een vanzelfsprekend onderdeel van professionele verantwoordelijkheid.

Vaste momenten voor security awareness:

• Tijdens onboarding van nieuwe medewerkers
• Jaarlijkse compliance-trainingen (NEN 7510, AVG)
• Bij functiewijzigingen of nieuwe systemen
• Na incidenten of datalekken

Zorgorganisaties die dit structureel aanpakken, zien een significante afname in menselijke fouten als oorzaak van beveiligingsincidenten.

Succesvolle praktijkvoorbeelden uit de zorg

Meerdere zorginstellingen hebben al laten zien dat gedragsverandering mogelijk is, ook in drukke werkomgevingen. Enkele voorbeelden:

• Ziekenhuisgroep in Noord-Nederland zag phishing-kliks dalen van 34% naar 4% binnen zes maanden na start met maandelijkse simulaties.
• GGZ-instelling koppelde training aan intranetcompetities en maakte bewustzijn bespreekbaar in teamoverleggen.
• Thuiszorgorganisatie integreerde awareness-training in het jaarlijkse beoordelingsgesprek.

Deze aanpakken laten zien dat kleine, consistente stappen meer effect hebben dan éénmalige campagnes.

Veelgemaakte fouten bij security awareness

Niet alle trainingen leveren resultaat op. Sommige initiatieven blijven steken in formaliteit of missen aansluiting bij de praktijk.

Wat vaak misgaat:

• Te technische of abstracte uitleg
• Geen terugkoppeling na simulaties
• Geen tijd vrijgemaakt voor deelname
• Onvoldoende herhaling
• Geen differentiatie naar functie of afdeling

Bewustwording werkt alleen als het herkenbaar, actueel en toepasbaar is. Denk aan voorbeelden uit de zorgpraktijk, zoals e-mails die lijken te komen van leveranciers van medische apparatuur of berichten over spoedopnames.

Actiepunten voor bestuurders

• Veranker security awareness structureel in het HR-beleid
• Vraag periodiek rapportages op van simulaties en trainingen
• Stimuleer leidinggevenden om security bespreekbaar te maken in teams
• Laat phishing-simulaties uitvoeren door externe specialisten
• Koppel awareness aan compliance (AVG, NEN 7510) voor auditverantwoording

Gedragsverandering vraagt om inzet van het hele management. Medewerkers zijn niet de zwakke schakel, maar de eerste verdedigingslinie. Met de juiste aandacht worden zij een onmisbare schakel in het voorkomen van schade door hacking, ransomware en datalekken.

4. Netwerken slim opdelen

Zorginstellingen hebben vaak complexe IT-omgevingen waarin medische apparatuur, kantoorapplicaties, patiëntendossiers en externe leveranciers allemaal op hetzelfde netwerk draaien. Dat biedt gemak, maar ook grote risico’s. Wanneer één systeem besmet raakt met ransomware, kan het zich razendsnel verspreiden door het netwerk. Met netwerksegmentatie in de zorg wordt deze verspreiding effectief tegengehouden.

Hoe ransomware zich door een netwerk verspreidt

Zodra een aanvaller of ransomware binnenkomt op een werkplek of server, probeert deze zich direct ‘zijwaarts’ te bewegen. Dit heet laterale beweging. Via openstaande verbindingen of gedeelde mappen zoekt de malware naar nieuwe systemen, gebruikersaccounts of back-ups.

Zonder segmentatie kan ransomware:

• Zich verspreiden naar beeldvormingssystemen en medische apparaten
• Volledige mappenstructuren op fileservers versleutelen
• Domeincontrollers of back-upsystemen uitschakelen
• Monitoringtools omzeilen of uitschakelen

Zorginstellingen zijn hierdoor extra kwetsbaar, omdat veel netwerken historisch gegroeid zijn en weinig gescheiden structuren kennen.

Segmentatie als blokkade voor aanvallers

Netwerksegmentatie betekent dat een IT-omgeving wordt opgedeeld in aparte zones, met elk hun eigen beveiligingsregels. Denk aan aparte segmenten voor:

• Werkplekken van zorgmedewerkers
• Servers met patiëntgegevens (EPD, PACS)
• Netwerk van medische apparatuur
• Gastennetwerk voor bezoekers
• Beheersegment voor IT en monitoring

Tussen deze zones worden firewalls of toegangsregels geplaatst die verkeer beperken. Zo kan een besmet werkstation niet zomaar verbinding maken met een fileserver of back-upsysteem.

Voordelen van segmentatie:

• Beperkt schade bij een besmetting
• Verbetert zichtbaarheid van netwerkverkeer
• Maakt monitoring effectiever
• Voldoet aan compliance-eisen (zoals NEN 7510)

Oude medische apparatuur apart beveiligen

Medische apparatuur draait vaak op verouderde systemen, zoals Windows 7 of zelfs XP. Deze apparaten zijn moeilijk te patchen en kunnen meestal geen antivirus draaien. Ze vormen daarom een aantrekkelijk doelwit en moeten strikt worden geïsoleerd.

Aanpak voor verouderde medische systemen:

• Plaats apparatuur in een eigen subnet zonder internettoegang
• Beperk toegang tot enkel benodigde systemen (zoals PACS)
• Gebruik firewalls om communicatie te filteren op IP en poortniveau
• Monitor netwerkverkeer op afwijkingen of ongebruikelijke patronen

Zorgorganisaties die medische apparatuur isoleren, verkleinen de kans op uitval van kritieke systemen bij een aanval.

Toegang beperken via interne firewalls

Interne firewalls zijn geen luxe, maar een noodzakelijke verdedigingslaag. Ze zorgen ervoor dat communicatie tussen segmenten alleen mogelijk is als dat strikt nodig is. Moderne firewalls bieden ook applicatielaagfiltering, waarmee specifieke toepassingen (zoals SMB, RDP of SQL) kunnen worden toegestaan of geblokkeerd.

Gebruik interne firewalls om:

• Alleen beheeraccounts toegang te geven tot servers
• Kantoornetwerken gescheiden te houden van zorgsystemen
• Gasten volledig te isoleren van interne systemen
• Monitoring en logging centraal te beheren

Segmentatie moet ook zichtbaar zijn in het netwerkontwerp. Een plat netwerk met alleen logische scheiding is onvoldoende. Fysieke of virtuele netwerkzones zijn nodig om aanvallen écht te stoppen.

Praktische segmentatie in de zorgomgeving

Segmentatie klinkt complex, maar hoeft niet ingrijpend te zijn. Begin klein en werk stapsgewijs.

Stappen voor effectieve netwerksegmentatie:

1. Inventariseer bestaande netwerken en apparaten
2. Bepaal welke systemen bij elkaar horen (functionele groepen)
3. Creëer VLAN’s of subnetten voor elke groep
4. Stel toegangsregels in via firewalls of routers
5. Monitor verkeer tussen segmenten op afwijkingen

Tools zoals Cisco ISE, Fortinet NAC of Aruba ClearPass kunnen helpen bij geautomatiseerde segmentatie op basis van apparaattype of gebruikersrol.

Veelgemaakte fouten en hoe die te voorkomen

Zorginstellingen hebben vaak te maken met verouderde netwerken en beperkte middelen. Toch is segmentatie mogelijk, mits goed gepland.

Veelvoorkomende valkuilen:

• Te brede segmenten met ‘one size fits all’-toegang
• Geen documentatie van toegangsregels
• Verkeersstromen niet inzichtelijk
• Segmentatie niet getest of gecontroleerd

Oplossingen:

• Begin bij kritieke systemen (zoals EPD, back-upservers)
• Werk samen met netwerkbeheerders aan een duidelijk segmentatieplan
• Documenteer alle segmenten en regels
• Test communicatie tussen zones bij wijzigingen

Goede segmentatie is dynamisch en groeit mee met het netwerk. Regelmatige controle voorkomt dat oude toestemmingen blijven bestaan.

Actiepunten voor bestuurders

• Laat een netwerkarchitectuurreview uitvoeren door een externe partij
• Reserveer budget voor segmentatieoplossingen en interne firewalls
• Vraag periodiek rapportages op van netwerkverkeer tussen zones
• Stel beleid op waarin medische apparatuur in aparte segmenten geplaatst moet worden
• Combineer segmentatie met monitoring voor maximale detectie

Netwerksegmentatie is niet alleen een technische maatregel, maar een directe investering in continuïteit van zorg. Door risico’s af te bakenen en kritieke systemen te isoleren, worden de gevolgen van een aanval beheersbaar. Ransomware stopt niet uit zichzelf, maar wel als het niets of niemand meer kan bereiken.

5. Multifactorauthenticatie optimaal inzetten

Wachtwoorden zijn al lang geen betrouwbare beveiliging meer. Zeker binnen zorginstellingen, waar systemen 24/7 toegankelijk moeten zijn en gebruikers onder tijdsdruk werken, is het risico op misbruik groot. Aanvallers gebruiken gestolen inloggegevens om toegang te krijgen tot patiëntgegevens, EPD-systemen of beheersystemen. Phishing-resistente multifactorauthenticatie (MFA) is daarom onmisbaar om de kans op misbruik te verkleinen en toegang te koppelen aan context, zoals apparaat en locatie.

Waarom standaard MFA niet genoeg bescherming biedt

Veel zorginstellingen gebruiken al MFA via sms of een mobiele app. Dat is beter dan niets, maar het is niet waterdicht. Aanvallers hebben methoden ontwikkeld om zelfs deze vormen van MFA te omzeilen, bijvoorbeeld via:

• MFA fatigue attacks: slachtoffers worden overspoeld met pushverzoeken totdat ze op ‘accepteren’ klikken
• Phishingkits die MFA-codes direct doorsturen naar aanvallers
• SIM-swapping, waarbij sms-codes onderschept worden

Standaard MFA is kwetsbaar als gebruikers zelf actie moeten ondernemen zonder context of verificatie van de omgeving. Daarom is het tijd om over te stappen op phishing-resistente oplossingen.

Sterkere varianten die phishing tegengaan

Phishing-resistente MFA werkt op basis van cryptografisch bewijs en contextuele verificatie, waarbij codes niet overgenomen kunnen worden. Dit maakt het vrijwel onmogelijk voor aanvallers om toegang te krijgen via tussenpersonen of vervalste sites.

Sterke MFA-methoden in de zorg:

• FIDO2-security keys (zoals YubiKey) die hardwaregebaseerde verificatie bieden
• Windows Hello for Business met gezichtsherkenning of pincode gekoppeld aan het apparaat
• Authenticator apps met nummermatching (zoals Microsoft Authenticator)
• Conditional Access Policies die toegang afhankelijk maken van risicoprofiel

Door deze technologieën toe te passen, wordt MFA niet alleen sterker maar ook gebruiksvriendelijker voor medewerkers.

Toegang koppelen aan apparaat en locatie

MFA krijgt extra waarde wanneer het onderdeel is van een bredere toegangsstrategie. Daarbij wordt niet alleen gekeken naar wie inlogt, maar ook waar, wanneer en met welk apparaat. Deze contextuele beveiliging maakt het mogelijk om verdacht gedrag direct te blokkeren of extra stappen te eisen.

Toepassingen van contextafhankelijke toegang:

• Alleen toegang vanaf beheerde apparaten
• Toegang weigeren vanuit onbekende landen of IP-adressen
• Extra MFA wanneer risico-indicatoren worden gedetecteerd
• Sessies blokkeren bij afwijkend gedrag of locatie

Voorbeelden hiervan zijn Microsoft Conditional Access en Google BeyondCorp, die risicogestuurd toegangsbeheer mogelijk maken binnen zorginstellingen.

Praktische fouten en hoe deze te voorkomen

Zorgorganisaties stappen vaak te snel over op MFA zonder een plan voor adoptie en beheer. Het gevolg: irritatie bij medewerkers, verkeerde instellingen of open achterdeuren.

Veelvoorkomende fouten:

• SMS-MFA zonder fallback- of back-upmethode
• Pushverificatie zonder nummermatching of context
• Geen beleid voor verloren apparaten of toegangsherstel
• MFA alleen toepassen op externe toegang, niet intern

Aanbevolen aanpak:

• Begin met een gefaseerde uitrol bij hoogrisicogroepen
• Train medewerkers in herkenning van MFA-gerelateerde phishing
• Beperk toegang tot alleen beheerde of geregistreerde apparaten
• Automatiseer herstelprocedures voor verloren authenticatiemiddelen

MFA werkt alleen goed als het integraal onderdeel is van toegangsbeheer en risicobeheersing.

MFA binnen een bredere zero trust strategie

Zero trust betekent: nooit automatisch vertrouwen op basis van locatie, netwerk of accountstatus. Elke toegang moet worden geverifieerd. MFA is daarin een basiselement, maar moet slim worden toegepast.

MFA in combinatie met andere zero trust-principes:

• Gebruikers krijgen alleen toegang tot wat ze nodig hebben (least privilege)
• Applicaties en data zijn afgeschermd tot verificatie is afgerond
• Toegang wordt continu gemonitord en opnieuw geëvalueerd bij risico
• Sessies worden automatisch beëindigd bij afwijkend gedrag

Door MFA te integreren binnen een zero trust framework ontstaat een gecontroleerd, afgebakend en weerbaar toegangssysteem dat past bij de zorgpraktijk.

Actiepunten voor bestuurders

• Laat MFA verplicht stellen voor alle accounts, intern en extern
• Kies voor phishing-resistente methodes zoals FIDO2 of Windows Hello
• Implementeer contextgebaseerde toegang (bijv. via Microsoft Conditional Access)
• Monitor MFA-gebruik en incidenten structureel
• Neem MFA op als vaste voorwaarde bij inkoop van nieuwe zorgapplicaties

Multifactorauthenticatie is niet optioneel in een tijd waarin wachtwoorden via datalekken, social engineering of brute-force eenvoudig te misbruiken zijn. Alleen met sterke, contextuele MFA en beleid dat meegroeit met risico’s, kunnen zorginstellingen veilig blijven werken. Zeker in een sector waarin elke minuut telt en patiëntveiligheid afhankelijk is van betrouwbare toegang tot systemen.

6. Een geoefend crisisplan klaar hebben

Ransomware treft zorginstellingen vaak onverwachts. Operaties moeten worden uitgesteld, dossiers zijn niet bereikbaar, communicatie ligt plat. De eerste uren na een aanval bepalen of de schade beheersbaar blijft of volledig escaleert. Een goed voorbereid ransomware crisisplan voor de zorg maakt dat verschil. Niet op papier alleen, maar als geoefend en gedragen onderdeel van het dagelijks risicomanagement.

Waarom een plan het verschil maakt bij een aanval

Tijdens een ransomware-aanval is snelheid en duidelijkheid nodig. Veel organisaties verliezen waardevolle tijd omdat niemand precies weet wie wat moet doen. Ondertussen verspreidt de malware zich, raken back-ups besmet en ontstaat verwarring over communicatie met patiënten, leveranciers en media.

Gevolgen van een slecht gecoördineerde reactie:

• Vertraagde beslissing over systemen afsluiten of loskoppelen
• Geen duidelijk aanspreekpunt voor interne teams
• Ongecontroleerde communicatie naar buiten
• Juridische en reputatieschade door miscommunicatie
• Onduidelijkheid over herstelprioriteiten

Een incident response plan zorgt voor structuur, rollen, communicatie en herstelstappen die vooraf zijn doordacht.

Welke onderdelen in een goed plan horen

Een effectief crisisplan bevat duidelijke richtlijnen die toepasbaar zijn op verschillende soorten incidenten, met een focus op ransomware.

Kernonderdelen van een goed crisisplan:

• Classificatie van incidenten: welke impact hoort bij welk type aanval
• Actielijsten per scenario: zoals ransomware op werkplekken, besmetting van het EPD of uitval van back-upsystemen
• Contactlijsten: intern (CISO, IT, communicatie) en extern (forensisch partners, toezichthouders, verzekeraars)
• Escalatieprocedures: wanneer en hoe het crisisteam wordt geactiveerd
• Besluitvormingsstructuur: wie beslist over isolatie, terugzetten back-ups of aangifte
• Documentatieformats: voor vastleggen van acties, besluiten en tijdlijnen

Een plan moet kort, duidelijk en uitvoerbaar zijn onder druk.

Rollen en verantwoordelijkheden in de organisatie

Tijdens een cyberincident is onduidelijkheid over verantwoordelijkheden vaak een van de grootste valkuilen. Daarom is een heldere rolverdeling essentieel.

Typische rollen in een crisisteam:

• CISO / Security Officer: coördinatie van technische maatregelen
• IT-beheerder(s): uitvoeren van netwerkacties en systeemherstel
• Communicatieadviseur: aansturing van interne en externe communicatie
• Juridisch / compliance: beoordeling van meldplicht (o.a. AVG, NEN 7510)
• Zorgcoördinator: vertaling van impact naar patiëntenzorg
• Bestuurder of directeur: formele besluitvorming en externe vertegenwoordiging

Elke rol krijgt vooraf een duidelijke taakomschrijving en verantwoordelijkheden. Vervangingen bij afwezigheid worden ook vastgelegd.

Het belang van oefenen met scenario’s

Een crisisplan zonder oefening blijft theorie. Alleen door realistische simulaties blijkt of het plan werkt en waar verbeteringen nodig zijn.

Voordelen van oefenen:

• Rollen worden beter begrepen
• Actielijsten worden geactualiseerd
• Onvoorziene knelpunten komen naar voren
• Samenwerking tussen afdelingen verbetert
• Vertrouwen in aanpak neemt toe

Simulaties hoeven niet complex te zijn. Denk aan tabletop-oefeningen waarbij teams reageren op een denkbeeldige aanval, tot technische oefeningen waarin daadwerkelijk systemen worden losgekoppeld of teruggezet vanaf back-up.

Jaarlijkse oefening is aanbevolen, liefst met externe begeleiding en realistische scenario’s gebaseerd op actuele dreigingen.

Leren van incidenten en continu verbeteren

Na een incident of oefening moet het plan worden geëvalueerd. Wat ging goed, wat kon sneller, welke informatie ontbrak? Dit is geen blame game, maar onderdeel van een lerende organisatie.

Vaste evaluatieonderdelen:

• Tijdlijn van acties en beslissingen
• Communicatie (intern en extern)
• Effectiviteit van het technische herstel
• Juridische en rapportageprocessen
• Patiëntveiligheid en operationele continuïteit

De uitkomsten worden verwerkt in het plan, dat daarna opnieuw getest wordt. Incident response is geen eenmalig project, maar een doorlopende cyclus van verbeteren.

Actiepunten voor bestuurders

• Laat een ransomware crisisplan opstellen met betrokkenheid van zorg, IT en communicatie
• Plan minimaal één oefening per jaar, inclusief evaluatie en bijstelling
• Zorg dat het plan bekend is bij alle sleutelrollen, inclusief achterwachten
• Stel een draaiboek beschikbaar in zowel digitale als papieren vorm (voor noodgevallen zonder toegang)
• Leg het incident response beleid vast in compliance- en auditdossiers

Zorginstellingen hebben bij ransomware geen tijd om eerst te gaan overleggen. Een plan dat eerder getest is, geeft structuur en vertrouwen. Het maakt het verschil tussen een snelle beheersing van de aanval of langdurige uitval van zorgprocessen. Incident response is net zo belangrijk als preventie, en minstens zo bepalend voor het herstel.

7. Zicht op kwetsbare toegangspunten

Veel aanvallen beginnen met een simpele ontdekking: een open poort, een verouderde applicatie of een verkeerd geconfigureerde firewall. De buitenkant van een zorgorganisatie, ook wel de attack surface, is constant in beweging. Regelmatige kwetsbaarheidsscans in de zorg zijn daarom onmisbaar om zicht te houden op zwakke plekken voordat aanvallers dat doen.

Wat scans wel en niet zichtbaar maken

Een kwetsbaarheidsscan controleert systemen die vanaf het internet bereikbaar zijn. Denk aan webapplicaties, remote desktopservices, mailservers of VPN’s. De scan vergelijkt versies en instellingen met bekende kwetsbaarheden (CVE’s) en foutieve configuraties.

Wat je wél ziet:

• Verouderde softwareversies met bekende kwetsbaarheden
• Open poorten en actieve diensten
• SSL/TLS-fouten of ontbrekende encryptie
• Standaardwachtwoorden of anonieme toegang

Wat je niét ziet:

• Interne kwetsbaarheden binnen het LAN
• Malware of backdoors die al actief zijn
• Onopvallende fouten in webapplicatielogica
• Gebruikersfouten of ongeautoriseerde tools

Een kwetsbaarheidsscan is dus een beginpunt, geen einddoel. Voor diepere analyse is aanvullend pentesten of code-audit nodig.

Veelvoorkomende configuratiefouten in de zorg

Zorginstellingen hebben vaak een breed scala aan IT-systemen, waarvan sommige jarenlang niet zijn aangeraakt. Bij scans worden telkens dezelfde fouten aangetroffen.

Typische bevindingen bij zorgorganisaties:

• Openstaande RDP- of VNC-poorten zonder filtering
• Oude versies van Apache, Tomcat of Exchange
• Webportalen zonder multifactor-authenticatie
• Onversleutelde toegang tot PACS- of EPD-systemen
• Ongebruikte testomgevingen die nog live staan

Dergelijke fouten maken het makkelijk voor aanvallers om binnen te komen of gegevens te stelen. Vaak is niet kwaadaardigheid, maar nalatigheid de oorzaak.

Onbewuste risico’s zoals openstaande poorten

Bij netwerkbeheer ontstaan regelmatig open poorten en toegangen die niet (meer) nodig zijn. Bijvoorbeeld bij tijdelijke projecten, testopstellingen of externe toegang voor leveranciers.

Onzichtbare risico’s:

• Port forwarding op firewalls die nooit is teruggedraaid
• Tijdelijke accounts die onbeperkte toegang behouden
• Services die per ongeluk publiek toegankelijk zijn

Deze elementen vormen het eerste doelwit bij automatische scanners die het internet afspeuren naar kwetsbare systemen. Ransomwaregroepen gebruiken deze technieken als standaard voorverkenning.

Hulpmiddelen voor structurele scans

Er zijn meerdere tools beschikbaar om kwetsbaarheidsscans structureel en geautomatiseerd uit te voeren. Grote zorgorganisaties kiezen vaak voor commerciële oplossingen, kleinere organisaties gebruiken open source-tools.

Bekende scan- en ASM-tools:

• Tenable Nessus – diepgaande kwetsbaarhedenscan voor IT- en OT-systemen
• Qualys VMDR – cloudgebaseerde oplossing met risicobeoordeling
• Rapid7 InsightVM – gekoppeld aan SIEM voor realtime inzicht
• Nmap en OpenVAS – open source, geschikt voor periodieke scans
• Shodan monitoring – inzicht in wat publiek zichtbaar is van buitenaf

Attack Surface Management (ASM)-platforms bieden aanvullend overzicht van domeinen, subdomeinen en cloudsystemen die buiten het directe zicht van IT kunnen vallen.

Scanresultaten vertalen naar investeringsbeslissingen

Kwetsbaarheidsscans zijn pas waardevol als de resultaten leiden tot actie. IT-teams moeten de ruimte en het mandaat krijgen om gevonden risico’s op te lossen, ook als dat tijdelijk impact heeft op dienstverlening.

Wat bestuurders nodig hebben van scanrapportages:

• Duidelijkheid over impact op patiëntenzorg
• Prioriteit op basis van risico (bijv. CVSS-score)
• Inschatting van herstelkosten of benodigde middelen
• Advies over structurele aanpassingen (patching, segmentatie)

Door scanresultaten te koppelen aan risicomanagement ontstaat draagvlak voor investeringen in netwerkbeveiliging, vervanging van verouderde systemen of het uitfaseren van kwetsbare software.

Actiepunten voor bestuurders

• Laat minimaal vier keer per jaar een externe kwetsbaarheidsscan uitvoeren
• Eis rapportage over openstaande high-risk kwetsbaarheden en patchstatus
• Reserveer structureel budget voor attack surface monitoring
• Neem kwetsbaarheidsbeheer op als vast onderwerp in risicomanagement
• Stel beleid op voor maximale doorlooptijd tussen ontdekking en herstel

De buitenkant van een zorgorganisatie is de voordeur voor aanvallers. Alleen wie weet hoe die voordeur eruitziet, weet ook hoe die beveiligd moet worden. Regelmatige kwetsbaarheidsscans maken hacking minder kansrijk en geven IT-teams de informatie die nodig is om snel en gericht in te grijpen.

8. Software en systemen veilig configureren

Veel ransomware-aanvallen maken gebruik van standaardinstellingen, zwakke configuraties of ongebruikte functies die ongemerkt openstaan. Door systemen direct na installatie correct te harden, wordt de kans op succesvolle aanvallen aanzienlijk verkleind. Systeemconfiguratie en applicatiebeveiliging in de zorg is daarmee een directe, structurele maatregel tegen misbruik van kwetsbaarheden.

Het nut van standaard baselines

Hardening begint met het hanteren van een baseline: een vooraf gedefinieerde configuratie waarmee systemen veilig, stabiel en beheersbaar zijn. Zonder baseline ontstaan afwijkingen tussen systemen, wat het beheer bemoeilijkt en onbedoelde kwetsbaarheden introduceert.

Voordelen van een baseline:

• Gelijke instellingen op alle systemen
• Minder foutgevoelige installaties
• Snellere audits en compliance-controles
• Verminderde kans op misbruik via standaardpoorten of -accounts

Binnen de zorg zijn baselines nodig voor onder andere werkplekken, servers, medische apparatuur en mobiele apparaten. Gebruik van best practices, zoals de CIS Benchmarks, versnelt dit proces.

Onnodige functies uitschakelen voor veiligheid

Veel software wordt geleverd met standaardfuncties die in een zorgomgeving niet nodig zijn. Denk aan remote desktopservices, scriptingmodules of externe API-koppelingen. Wanneer deze niet worden uitgeschakeld, vormen ze een risico.

Veelvoorkomende onnodige functies:

• PowerShell of WMI met volledige rechten op werkplekken
• Standaardservices als FTP, SNMP of Telnet op servers
• SQL-databases met open beheerinterfaces
• Remote managementfuncties op printers en medische apparatuur

Door het beperken van deze functies ontstaat een kleinere aanvalsvector. Ransomware of scripts kunnen zich minder snel verspreiden of misbruik maken van ongebruikte poorten.

Veelgemaakte fouten die kosten en risico’s verhogen

Hardening wordt vaak overgeslagen bij tijdsdruk of gebrek aan kennis. Daardoor blijven systemen jarenlang draaien met onveilige instellingen. Dit levert niet alleen beveiligingsrisico’s op, maar leidt ook tot hogere beheerkosten en verstoringen bij incidenten.

Typische fouten in zorginstellingen:

• Beheeraccounts zonder wachtwoordrotatie
• Werkplekken die lokaal adminrechten behouden
• Remote toegang op medische systemen zonder logging
• Firewallregels die ‘tijdelijk’ openblijven
• Shared accounts voor applicatiebeheer

Deze fouten worden vaak pas zichtbaar tijdens incidentonderzoek of penetratietesten — te laat dus. Preventief hardenen voorkomt veel van dit soort situaties.

Handige richtlijnen zoals CIS-benchmarks

De CIS Benchmarks (Center for Internet Security) bieden kant-en-klare hardeningrichtlijnen voor honderden typen systemen: van Windows en Linux tot Office365 en netwerkswitches. Deze zijn onderverdeeld in niveaus, zodat gekozen kan worden voor basisveiligheid of strengere compliance-eisen.

Voorbeelden van toepasbare CIS Benchmarks:

• Windows 10 for Enterprise – restricties op scripting en netwerkdiensten
• Windows Server – beperking van toegang tot lokale systemen
• Microsoft Exchange – veilige mailconfiguratie
• Chrome en Edge – browserinstellingen voor veilige toegang tot patiëntportalen

Veel managementtools zoals Microsoft Intune, Group Policy of Ansible kunnen deze benchmarks automatisch toepassen of afdwingen.

Regelmatige controles in de beheeragenda

Hardening is geen eenmalige actie. Configuraties veranderen, updates brengen nieuwe functies mee en gebruikers vinden soms manieren om instellingen te omzeilen. Regelmatige controle voorkomt dat zwakke plekken zich opnieuw vormen.

Vaste momenten voor controle:

• Na grote software- of OS-updates
• Bij de installatie van nieuwe applicaties of systemen
• Tijdens periodieke audits (zoals NEN 7510)
• Bij onboarding van nieuwe leveranciers of integraties

Gebruik tools zoals Microsoft Defender for Endpoint, Lynis of Auditd voor continue controle en logging van afwijkingen.

Hardening combineren met andere maatregelen

Hardening staat niet op zichzelf. Het werkt pas écht goed als het onderdeel is van een bredere beveiligingsstrategie, waaronder segmentatie, toegangsbeheer, monitoring en awareness.

Voorbeeldcombinaties:

• Hardened server met alleen toegang via MFA en VPN
• Werkplek zonder lokale admin, gecombineerd met applicatie-allowlisting
• Medisch apparaat in geïsoleerd VLAN, met alleen whitelisted verkeer
• Hardened EPD met logging via SIEM en alerting bij afwijkend gedrag

Door maatregelen slim te combineren ontstaat een gelaagde verdediging die veel meer oplevert dan losse onderdelen.

Actiepunten voor bestuurders

• Laat voor alle systemen CIS-hardeningsrichtlijnen toepassen en vastleggen
• Neem hardening op in alle installatie- en migratieprojecten
• Reserveer tijd en capaciteit voor periodieke configuratie-audits
• Vraag rapportages op over afwijkingen van de baseline
• Koppel hardening aan compliancevereisten vanuit NEN 7510 en ISO 27001

Hardening voorkomt dat aanvallers misbruik maken van bekende, vermijdbare fouten. In de zorg telt elke minuut: systemen moeten betrouwbaar, beschikbaar en veilig zijn. Alleen met strakke configuratie, gecontroleerde toegang en voortdurende controle blijft de omgeving weerbaar tegen ransomware en andere vormen van hacking.

9. Kwetsbaarheden snel dichten

Zorginstellingen maken gebruik van honderden systemen, applicaties en apparaten. Elk daarvan bevat software die regelmatig moet worden bijgewerkt. Wanneer updates uitblijven, ontstaan er kwetsbaarheden die eenvoudig misbruikt worden door ransomware-aanvallers. Goed ingericht patchmanagement in de zorg is daarom geen luxe, maar een structurele maatregel om de kans op succesvolle aanvallen te verkleinen.

Hoe hackers openstaande kwetsbaarheden benutten

Veel cyberaanvallen beginnen met een simpele scan op bekende beveiligingslekken. Aanvallers zoeken actief naar systemen waarop kwetsbaarheden al maanden of zelfs jaren aanwezig zijn, zoals verouderde versies van VPN-software, firewalls of besturingssystemen.

Wat er vaak gebeurt:

• Een bekende kwetsbaarheid (CVE) wordt gepubliceerd
• Binnen 24 uur verschijnen er proof-of-concepts (werkende exploits)
• Aanvallers scannen massaal op deze kwetsbaarheden
• Ongepatchte systemen worden automatisch aangevallen

Zorginstellingen zijn extra kwetsbaar, omdat uitval directe impact heeft op patiëntenzorg. Aanvallers weten dat en maken er misbruik van.

Prioriteiten stellen bij kritieke systemen

Back-ups moeten niet alleen systemen herstellen, maar ook zorgen voor volledige en integere terugzetting van gezondheidsgegevens. Zonder toegang tot deze data komt de directe zorgverlening in gevaar. Het belang van beschikbaarheid, integriteit en vertrouwelijkheid van gezondheidsgegevens sluit direct aan bij het toetsingskader digitale zorg van de IGJ, waarin veilige en verantwoorde digitale zorg centraal staat.

Niet alles hoeft tegelijk gepatcht te worden, maar wel op basis van risico. Systemen die toegang geven tot patiëntgegevens of beheerdersrechten hebben, moeten altijd voorrang krijgen.

Prioriteit geven aan:

• Servers met EPD-, PACS- of labgegevens
• Netwerkapparatuur zoals firewalls en VPN-gateways
• Domeincontrollers en identity-platforms
• Internet-facing systemen zoals webportalen of mailservers

Gebruik het CVSS-risicoscoremodel (Common Vulnerability Scoring System) om impact in te schatten. Alles boven 8.0 wordt als hoog risico beschouwd. Let ook op zero-days en kwetsbaarheden met actieve exploits.

Waarom 48 uur een gouden regel is

In de praktijk blijkt dat aanvallers gemiddeld binnen 48 uur na het publiceren van een kwetsbaarheid actief beginnen te scannen en uitbuiten. Daarom hanteren veel organisaties de ‘48-uur-regel’ voor kritieke patches.

De 48-uur-regel in de zorg betekent:

• Binnen twee werkdagen patchen van systemen met internettoegang
• Binnen vijf werkdagen voor interne systemen met hoge impact
• Directe isolatie of mitigatie als patchen niet mogelijk is

Sommige softwareleveranciers bieden tijdelijke workarounds, zoals het blokkeren van specifieke poorten of het uitschakelen van kwetsbare functies. Deze maatregelen moeten worden gedocumenteerd en later vervangen door een definitieve patch.

Tools die updates versnellen en monitoren

Effectief patchmanagement vereist inzicht en automatisering. Handmatig updaten is foutgevoelig en niet schaalbaar. Moderne tools maken het mogelijk om updates centraal uit te rollen en te controleren.

Geschikte tools voor zorgomgevingen:

• Microsoft Intune voor Windows-systemen, inclusief rapportages
• Ivanti Patch Management met uitgebreide ondersteuning voor third-party apps
• ManageEngine Patch Manager Plus voor heterogene IT-omgevingen
• Qualys of Tenable voor kwetsbaarheidsscans gekoppeld aan patchstatus
• WSUS (Windows Server Update Services) voor gecontroleerde uitrol

Deze tools bieden dashboards waarop direct zichtbaar is welke systemen achterlopen en welke updates zijn mislukt of geblokkeerd.

Patchen combineren met scanning en auditing

Patching werkt alleen goed in combinatie met regelmatige vulnerability scanning en heldere auditregels. Zo ontstaat een gesloten cirkel van detectie, actie en controle.

Aanpak:

• Voer maandelijks een geautomatiseerde kwetsbaarheidsscan uit
• Koppel de resultaten aan het patchmanagementsysteem
• Stel deadlines in voor high-risk kwetsbaarheden
• Documenteer updates en voeg ze toe aan het auditdossier
• Controleer na updates of systemen correct functioneren

Een goede patchstrategie voorkomt paniek bij acute kwetsbaarheden. De basis ligt in consistentie, inzicht en eigenaarschap.

Typische obstakels en oplossingen

Patching wordt vaak vertraagd door praktische beperkingen. Toch zijn er slimme manieren om dit op te vangen.

Obstakels:

• Medische apparatuur die alleen buiten openingstijden mag worden aangepast
• Angst voor systeemuitval of incompatibiliteit
• Geen overzicht van welke software waar draait
• Geen duidelijke patchverantwoordelijkheid

Oplossingen:

• Plan vaste patchvensters buiten piekuren
• Test patches eerst in een acceptatieomgeving
• Automatiseer software-inventarisatie
• Wijs per systeemtype een verantwoordelijke beheerder aan

Zorginstellingen die patchen tot vast onderdeel maken van beheer, lopen aantoonbaar minder risico op incidenten en onderbreking van zorgprocessen.

Actiepunten voor bestuurders

• Laat kritieke systemen binnen 48 uur patchen na high-risk kwetsbaarheden
• Vraag maandelijks rapportages op over patchstatus
• Veranker patchmanagement in beheercontracten met leveranciers
• Reserveer capaciteit voor spoedpatches buiten reguliere werktijden
• Stel monitoring in op achterstallige updates

Kwetsbaarheden zijn onvermijdelijk, maar uitbuiting is dat niet. Wie snel en gestructureerd patcht, maakt het aanvallers moeilijk om binnen te komen. In een zorgomgeving waar beschikbaarheid en betrouwbaarheid prioriteit hebben, is patchmanagement onmisbaar in de dagelijkse operatie.

10. Afwijkend gedrag direct signaleren

Geen enkel beveiligingssysteem is waterdicht. Daarom is het van groot belang dat zorginstellingen verdachte activiteiten snel herkennen. Hoe eerder een aanval wordt ontdekt, hoe kleiner de impact. Security monitoring in de zorg richt zich op het realtime signaleren van afwijkend gedrag, zoals ongebruikelijke inlogpogingen, dataverkeer naar onbekende landen of plotselinge pieken in bestandsactiviteit.

Zonder goede detectie blijven aanvallen vaak dagen tot weken onopgemerkt. In die tijd kan ransomware zich ongezien verspreiden of data worden buitgemaakt. Door te investeren in slimme monitoring wordt de tijd tussen aanval en respons drastisch verkort.

Waarom monitoring net zo belangrijk is als preventie

Preventieve maatregelen zoals firewalls, segmentatie en patching zijn onmisbaar, maar bieden geen garanties. Aanvallers vinden soms toch een weg naar binnen, via phishing, supply chain-kwetsbaarheden of misbruik van legitieme toegang.

Zonder monitoring:

• Wordt een aanval pas zichtbaar als systemen al versleuteld zijn
• Ontbreekt inzicht in hoe een aanvaller binnenkwam
• Kan de impact niet goed worden afgebakend
• Blijft de kwetsbaarheid mogelijk openstaan

Met monitoring:

• Wordt afwijkend gedrag vroegtijdig opgemerkt
• Kan automatisch een waarschuwing of blokkade worden geactiveerd
• Worden sporen veiliggesteld voor forensisch onderzoek
• Wordt de schade beperkt en herstel versneld

Zeker in een zorgomgeving, waar elke minuut telt, is vroegsignalering van cyberaanvallen van levensbelang.

Typische signalen van een hackpoging

Aanvallen laten vrijwel altijd digitale sporen na. Die signalen worden vaak genegeerd of niet herkend als risico. Door het gedrag van systemen, gebruikers en netwerken te analyseren, kunnen afwijkingen worden opgemerkt.

Veelvoorkomende indicatoren van een aanval:

• Meerdere mislukte inlogpogingen vanaf één IP-adres
• Inloggen op ongebruikelijke tijden of locaties
• Grote hoeveelheden bestanden worden versleuteld of verplaatst
• Verbindingen met IP-adressen in risicolanden
• Aanmaak van nieuwe beheerdersaccounts zonder autorisatie
• Uitgeschakelde antivirus of loggingdiensten

Deze signalen kunnen automatisch worden herkend en gemeld aan het SOC (Security Operations Center) of IT-beheer.

Tools die afwijkingen tijdig detecteren

Moderne security monitoring maakt gebruik van SIEM- en EDR-platformen (Security Information & Event Management en Endpoint Detection & Response). Deze combineren loggegevens, netwerkverkeer en gedragsanalyse om verdacht gedrag te detecteren.

Populaire tools in de zorgsector:

• Microsoft Sentinel – cloudgebaseerd SIEM met integratie in Microsoft 365
• Splunk – krachtige loganalyse met dashboards en alerts
• Darktrace – AI-gestuurde detectie van anomalieën in netwerkverkeer
• CrowdStrike Falcon – endpoint-monitoring met snelle detectie van bekende aanvalspatronen
• Sophos XDR / Intercept X – gericht op dreigingsdetectie en herstel

Deze tools kunnen meldingen direct koppelen aan een response-actie, zoals het blokkeren van een gebruiker of het isoleren van een apparaat.

De rol van securityteams en menselijke duiding

Automatische detectie is belangrijk, maar zonder goed getrainde mensen blijft het systeem kwetsbaar. Een melding is pas waardevol als er goed op wordt gereageerd. Het interpreteren van signalen en nemen van beslissingen blijft mensenwerk.

Wat een effectief monitoringteam nodig heeft:

• Toegang tot realtime dashboards en historische logdata
• Kennis van normale (en abnormale) werkpatronen in de zorg
• Escalatieprocedures bij bevestigde incidenten
• Heldere communicatiekanalen met IT, management en zorgteams

Zorginstellingen kunnen hiervoor een eigen SOC inrichten of samenwerken met een externe MDR-dienst (Managed Detection and Response).

Vroeg reageren om schade te beperken

Snelle detectie is pas waardevol als er ook actie volgt. Een goed monitoringproces omvat niet alleen signalering, maar ook:

• Automatische triggers die bij verdachte acties een gebruiker uitschakelen
• Isolatie van besmette systemen van het netwerk
• Notificatie aan IT-beheer en CISO
• Logverzameling voor forensisch onderzoek
• Start van het incident response plan

Door tijdig te reageren kan een dreiging in een vroeg stadium worden gestopt, voordat ransomware zich verspreidt of gegevens worden buitgemaakt.

Veelvoorkomende zwakke punten in monitoring

Zorginstellingen hebben vaak beperkte capaciteit en middelen. Monitoring wordt dan beperkt ingezet of gefragmenteerd uitgevoerd.

Wat vaak misgaat:

• Alleen logging, zonder actieve analyse of alerts
• Verspreide logging zonder centrale correlatie
• Logbestanden die te snel worden overschreven
• Geen zicht op medische apparatuur of OT-systemen
• Gebrek aan specifieke kennis over detecties

Oplossingen:

• Centraliseer logging via een SIEM
• Richt specifieke alerts in voor high-risk gedrag
• Combineer IT-monitoring met netwerkverkeer en endpoints
• Leid medewerkers op in het herkennen van signalen

Monitoring moet structureel zijn, niet ad-hoc.

Actiepunten voor bestuurders

• Laat security monitoring opnemen in alle beheercontracten
• Zorg voor 24/7 detectie van verdachte activiteiten, intern en extern
• Reserveer middelen voor een eigen SOC of externe MDR-dienst
• Vraag maandelijks rapportages op van incidentmeldingen en trends
• Koppel monitoring aan beleid voor incident response en escalatie

Afwijkend gedrag is vaak de eerste zichtbare stap van een aanval. Wie die signalen op tijd herkent en erop reageert, voorkomt grootschalige schade. Voor de zorgsector betekent dat het verschil tussen controle houden en de grip volledig verliezen.

11. Back-ups maken én testen

Ransomware maakt data ontoegankelijk, soms binnen minuten. Als patiëntendossiers, beeldvormingssystemen of planningsapplicaties versleuteld raken, is een snelle terugkeer naar een werkende situatie alleen mogelijk met betrouwbare back-ups. Maar back-upstrategie in de zorg is meer dan alleen kopieën maken. De systemen moeten veerkrachtig zijn, getest én geïsoleerd van het netwerk.

Back-ups zijn het vangnet wanneer alles misgaat. Zonder goed werkende herstelvoorziening loopt een zorginstelling het risico dagenlang uit de lucht te zijn, met directe gevolgen voor patiëntveiligheid en continuïteit van zorg.

Waarom de 3-2-1-regel nog steeds werkt

De 3-2-1-regel blijft een bewezen standaard voor betrouwbare back-upstructuren. Die regel luidt:

• 3 kopieën van alle belangrijke data
• 2 verschillende opslagmedia (bijvoorbeeld disk én tape of cloud)
• 1 kopie offline of offsite

Deze aanpak voorkomt dat ransomware al je kopieën tegelijk versleutelt, zoals vaak gebeurt bij back-ups die volledig online verbonden zijn met het netwerk.

Voorbeelden in de zorgpraktijk:

• Productieomgeving (origineel)
• Dagelijkse back-up op een NAS of diskarray
• Wekelijkse back-up op offline tape of write-once cloudstorage

Offline back-ups zijn cruciaal, omdat moderne ransomware vaak gericht zoekt naar back-upbestanden en deze uitschakelt of wist voordat het versleutelen begint.

Het belang van offline en offsite kopieën

Back-ups die constant bereikbaar zijn vanaf het productienetwerk lopen risico. Daarom moeten instellingen ten minste één back-up hebben die fysiek of logisch niet direct benaderbaar is.

Goede opties voor offline of write-protected back-ups:

• Tape-opslag met fysieke scheiding
• Immutable storage in de cloud (bijv. Azure Immutable Blob)
• Write-once-oplossingen (WORM) waarbij back-ups niet overschreven kunnen worden
• Cold storage op externe drives die handmatig worden beheerd

Dergelijke oplossingen kosten iets meer moeite, maar vormen de enige echte bescherming als de hele IT-infrastructuur versleuteld is.

Herstelprocedures testen in de praktijk

Een back-up is pas waardevol als deze teruggezet kan worden. Toch blijkt uit incidentanalyses dat veel zorgorganisaties nooit getest hebben of hun herstelprocedures werken. Dit leidt tot verrassingen op het moment dat herstel nodig is.

Test wat echt telt:

• Terugzetten van volledige servers of virtuele machines
• Herstel van kritieke data (EPD, PACS, planningssystemen)
• Tijd om volledig te herstellen (RTO)
• Data-integriteit: is alles bruikbaar en actueel?

Plan minimaal één keer per kwartaal een hersteltest. Betrek hier ook leveranciers bij van bedrijfskritische applicaties.

Typische valkuilen bij back-ups

Hoewel veel zorginstellingen zeggen “back-ups op orde” te hebben, blijkt bij incidenten dat dit tegenvalt.

Veelvoorkomende problemen:

• Back-ups staan op systemen die ook zijn versleuteld
• Scripts voor back-ups blijken niet meer te werken
• Gebrek aan logging en monitoring van back-upstatus
• Alleen gebruikersdata wordt geback-upt, geen systeem- of configuratiebestanden
• Geen versleuteling van back-ups, waardoor gegevens alsnog uitlekken

Oplossingen:

• Monitor back-upjobs dagelijks via dashboards of e-mailnotificaties
• Stel alerts in bij mislukte of ontbrekende back-ups
• Back-up zowel data als complete systeemimages
• Versleutel back-ups tijdens opslag en transport

Back-ups zijn geen IT-dingetje, maar onderdeel van organisatiebrede continuïteitszorg.

Back-ups als laatste vangnet tegen ransomware

Ransomwaregroepen weten dat back-ups hun grootste obstakel vormen. Daarom richten ze zich actief op het uitschakelen van back-ups zodra ze binnen zijn. Ze verwijderen snapshots, wissen cloudopslag of versleutelen netwerkschijven. Alleen back-ups die fysiek of logisch geïsoleerd zijn, blijven bruikbaar.

Wat aanvallers níet kunnen versleutelen:

• Tapes die niet zijn aangesloten
• Cloudopslag met immutable instellingen
• Back-ups in offline kluizen of volledig gescheiden netwerken

Zorgorganisaties die deze middelen inzetten, hebben in de praktijk de grootste kans op volledig herstel zonder losgeld te betalen.

Actiepunten voor bestuurders

• Eis dat de 3-2-1-regel wordt toegepast in het back-upbeleid
• Laat elk kwartaal hersteltesten uitvoeren en rapporteren
• Zorg dat back-ups geïsoleerd zijn van het productienetwerk
• Controleer of ook configuratiebestanden en systeemdata geback-upt worden
• Reserveer budget voor immutable opslag en tape-rotatie

Een goede back-upstrategie is het verschil tussen snel herstel en wekenlange uitval. Zeker in de zorg, waar geen ruimte is voor langdurige onderbrekingen, vormen geteste en geïsoleerde back-ups het laatste vangnet.

12. Alleen goedgekeurde software gebruiken

In veel zorginstellingen kunnen medewerkers nog steeds zelf software installeren of downloaden van internet. Dat lijkt handig, maar vormt een groot risico voor ransomware, malware en ongeautoriseerde toegang. Door alleen goedgekeurde software toe te staan via applicatie-allowlisting, wordt het netwerk actief beschermd tegen onbekende en ongewenste toepassingen. Dit is een directe maatregel tegen hacking via malafide programma’s of scripts.

Waar traditionele antivirus pas ingrijpt na detectie van malware, voorkomt allowlisting dat ongeautoriseerde software überhaupt kan starten.

Wat applicatie-allowlisting betekent in de zorgpraktijk

Applicatie-allowlisting, ook wel whitelisting genoemd, houdt in dat alleen vooraf goedgekeurde applicaties mogen draaien op werkplekken, servers en medische systemen. Alle andere software wordt automatisch geblokkeerd.

In de praktijk betekent dit:

• Alleen de EPD-software, kantoorapplicaties en goedgekeurde hulpprogramma’s mogen starten
• Onbekende tools (bijv. uit een e-mailbijlage) worden direct geweigerd
• Scripts of bestanden zonder digitale handtekening worden niet uitgevoerd

Zorginstellingen zijn gevoelig voor shadow-IT: medewerkers downloaden PDF-readers, bestandsconverters of tools die niet zijn gecontroleerd. Allowlisting voorkomt dit bij de bron.

Verschil tussen blokkeren en toestaan

De meeste organisaties werken nog op basis van blacklisting: bekende foute software wordt geblokkeerd. Maar dit werkt alleen als de malware al bekend is. Nieuwe varianten worden niet herkend.

Allowlisting werkt precies andersom:

• Alles is verboden, behalve wat expliciet is goedgekeurd
• Nieuwe of onbekende software werkt niet automatisch
• Gebruikers moeten eerst toestemming vragen

Dit principe past perfect binnen het zero trust-model: geen standaardtoegang, altijd verifiëren.

Risico’s verminderen bij ransomware en hacking

Bij een ransomware-aanval draait het vaak om het starten van een bestand dat de malware activeert. Zonder technische blokkade kan dit op elk systeem dat onvoldoende is beschermd. Applicatie-allowlisting stopt deze stap direct.

Voorbeelden uit de praktijk:

• Een gebruiker opent een Word-bestand met een embedded macro. Zonder allowlisting wordt de macro uitgevoerd; met allowlisting niet.
• Een besmet ZIP-bestand bevat een uitvoerbaar .exe-bestand. Dit wordt standaard geblokkeerd.
• Aanvallers proberen tools zoals PowerShell of PsExec te gebruiken voor laterale beweging. Alleen goedgekeurde scripts worden toegestaan.

Alleen al het blokkeren van onbetrouwbare uitvoerbare bestanden reduceert de kans op een geslaagde aanval aanzienlijk.

Hoe start je een implementatieproject

Applicatie-allowlisting vereist voorbereiding, maar is goed te implementeren met bestaande tools.

Gefaseerde aanpak voor de zorgpraktijk:

1. Inventariseer alle applicaties op werkplekken, servers en medische apparatuur.
2. Bouw een startlijst met bekende, veilige toepassingen.
3. Implementeer in audit- of logmodus (alleen detectie, nog geen blokkades).
4. Analyseer welke applicaties buiten de lijst vallen en overleg met gebruikers.
5. Stap over naar enforce-modus, waarbij alleen goedgekeurde applicaties nog draaien.

Maak gebruik van tools zoals:

• Microsoft AppLocker of Windows Defender Application Control (WDAC)
• Ivanti Application Control
• Symantec Endpoint Protection Application Whitelisting

Deze tools zijn compatibel met zorgsystemen en bieden centrale beheermogelijkheden.

Mogelijke struikelblokken en oplossingen

Zorginstellingen denken soms dat allowlisting ‘te streng’ is of zorgt voor frustratie bij gebruikers. Met een slimme aanpak is dit goed beheersbaar.

Veelvoorkomende obstakels:

• Medewerkers kunnen niet zomaar software installeren
• Tijdsinvestering om de startlijst op te stellen
• Legacy-systemen zonder digitale handtekening

Oplossingen:

• Werk met request procedures: gebruikers vragen software aan, IT keurt goed
• Start met alleen kritieke systemen (zoals servers en beheernetwerken)
• Combineer met applicatie-inventarisatie en patchmanagement
• Gebruik een learning-modus om gebruikersgedrag in kaart te brengen

Applicatie-allowlisting werkt het beste als het gepaard gaat met duidelijke communicatie en ondersteuning.

Actiepunten voor bestuurders

• Laat applicatie-allowlisting opnemen in het informatiebeveiligingsplan
• Begin met implementatie op beheer- en serveromgevingen
• Reserveer budget en capaciteit voor monitoring en onderhoud van de allowlist
• Stel eisen aan leveranciers over compatibiliteit met whitelisting-oplossingen
• Neem de maatregel op in het audittraject voor NEN 7510 en ISO 27001

Wie onbekende software toestaat binnen een zorgorganisatie, geeft aanvallers onnodig speelruimte. Applicatie-allowlisting is een directe maatregel om dit risico af te sluiten. Zeker in combinatie met andere verdedigingslagen biedt het bescherming tegen ransomware die gebaseerd is op onbekende of snel veranderende varianten.

In een omgeving waarin patiëntveiligheid afhangt van betrouwbare IT-systemen, hoort deze maatregel standaard thuis.

Waarom deze 12 maatregelen het verschil maken

Ransomware is een directe bedreiging voor de continuïteit van zorg. Patiëntveiligheid, dossiersystemen en medische apparatuur kunnen volledig worden lamgelegd. Deze 12 tips vormen samen een bewezen, samenhangende aanpak om zorginstellingen weerbaar te maken.

Wat deze 12 maatregelen zo krachtig maakt:

• Ze dekken álle fases af
  Van preventie tot detectie en herstel — geen enkel onderdeel van de verdediging wordt overgeslagen.
• Ze gaan verder dan techniek
  Menselijk gedrag, bestuursverantwoordelijkheid en crisisteamwerking zijn net zo belangrijk als firewalls en MFA.
• Ze zijn uitvoerbaar binnen bestaande zorgstructuren
  Alle maatregelen sluiten aan bij de praktijk van ziekenhuizen, GGZ-instellingen en VVT-organisaties.
• Ze beschermen tegen de echte aanvallen van nu
  Aanvallers gebruiken vaak dezelfde methodes: phishing, exploitatie van kwetsbaarheden, en misbruik van toegangsrechten. Deze aanpak sluit daar direct op aan.
• Ze verbinden security met zorgprocessen
  Elke tip houdt rekening met de impact op zorgcontinuïteit, beschikbaarheid en patiëntveiligheid.
• Ze helpen organisaties vooruit in volwassenheid
  Niet elke instelling hoeft direct alles te implementeren. De 12 tips vormen een groeipad richting structurele weerbaarheid.
• Ze maken informatiebeveiliging bestuurlijk bespreekbaar
  Door heldere actiepunten, inzicht in risico’s en toepasbare praktijkvoorbeelden wordt informatiebeveiliging niet alleen een IT-thema, maar een vast onderdeel van het gesprek op bestuurlijk niveau.
• Ze zijn gericht op herstelvermogen
  Niet alleen voorkomen, maar ook snel kunnen herstellen is een integraal onderdeel van deze aanpak.

Een veilige zorgomgeving begint bij continuïteit en vertrouwen. Ransomware en andere vormen van hacking bedreigen niet alleen systemen, maar raken direct aan de kwaliteit van zorg. Zonder toegang tot dossiers, apparatuur of communicatie valt goede zorg stil. Door te investeren in structurele weerbaarheid (technisch, organisatorisch én mensgericht) blijft de zorg beschikbaar wanneer het echt telt. Niet reactief, maar proactief.

Cybersecurity is daarmee geen IT-kwestie, maar een randvoorwaarde voor veilige, betrouwbare en toekomstbestendige zorg. Want wie de risico’s kent én beheerst, beschermt niet alleen data, maar vooral mensen.