Cyberaanvallen zijn geen ver-van-ons-bedshow voor de zorgsector. Ze raken niet alleen IT-systemen, maar ook de zorgcontinuïteit en het vertrouwen. Volgens Orange Cyberdefense is het dan ook tijd om cybersecurity niet langer als een puur IT-probleem te bekijken, maar als een organisatiebreed en maatschappelijk vraagstuk. We gingen in gesprek met Elien Cardon, van Orange Cyberdefense over waarom de zorgsector extra kwetsbaar is en waarom klassieke preventie niet langer volstaat.
Van technische beveiliging naar maatschappelijke verantwoordelijkheid
Binnen Orange Cyberdefense is Elien Cardon verantwoordelijk voor het Defense Center, waar detectie van incidenten, het analyseren van alarmsignalen en het reageren op cyberaanvallen in haar rol centraal staan. Vanuit haar jarenlange ervaring ziet ze hoe cybersecurity de voorbije decennia sterk geëvolueerd is. “Ik heb de evolutie van cybersecurity zien veranderen van een puur technisch verhaal naar een volwaardig business- en maatschappelijk risico,” zegt Cardon. Ze benadrukt dat cybersecurity verder gaat dan technologie alleen. “We zijn een end-to-end cybersecuritypartner en we begeleiden organisaties vanaf analyse en inzicht, over technologie en detectie, tot ondersteuning wanneer er effectief een crisis is.”
Ik heb de evolutie van cybersecurity zien veranderen van een puur technisch verhaal naar een volwaardig business- en maatschappelijk risico
Elien Gardon, Orange Cyberdefense
Hoe cyberaanvallen beginnen
Volgens Cardon starten de meeste cyberaanvallen nog altijd verrassend eenvoudig. “Zo’n aanval gebeurt heel vaak via phishingmails, social engineering of via externe verbindingen zoals VPN’s,” legt ze uit. Ook leveranciers en niet-gepatchte software vormen daarbij vaak een toegangspoort.
Dat eerste moment, de zogenaamde initial access, blijft in de meeste gevallen onopgemerkt. In die stille fase beginnen cybercriminelen zich door het netwerk te bewegen en zoeken ze naar user-accounts met uitgebreide rechten. “Het moment waarop alles platligt, is het eigenlijk al veel te laat,” zegt Cardon. “Daarvoor is er al een hele verkenningsfase geweest waarin aanvallers zich onzichtbaar door het netwerk bewegen.” Die fase verloopt volgens vaste patronen. “Wij noemen dat lateral movement of privilege escalation,” legt ze uit. “Aanvallers verschaffen zich toegang tot speciale accounts en van daaruit installeren ze malware. Zodra die wordt geactiveerd, gaat het heel snel.”
Waarom is de zorgsector extra kwetsbaar?
De zorgsector brengt verschillende risicofactoren samen. Een eerste element is de uitgesproken technische complexiteit van zorgomgevingen. “Voor elke discipline bestaan er aparte applicaties. Dat maakt het landschap bijzonder moeilijk te onderhouden,” zegt Cardon. “Bij een incident wordt vaak pas duidelijk hoeveel onderlinge verbindingen er zijn tussen systemen.”
Daarnaast speelt de menselijke factor een doorslaggevende rol. Cardon wijst erop dat zorgmedewerkers van nature sterk gericht zijn op helpen. “Als iemand belt, is de eerste reflex vaak: ‘Hoe kan ik helpen?’” Dat zorgende karakter is volgens haar tegelijk een sterkte en een kwetsbaarheid. “Onbewust kunnen mensen toegang verlenen. Onderschat de menselijke factor niet, zeker niet in de zorgsector.”
Boven op die complexiteit en menselijke reflex komt nog een extra uitdaging: tijdsdruk. In de zorg is snelheid essentieel, wat beveiliging nog moeilijker maakt. “Security mag geen obstakel zijn voor zorgverlening,” benadrukt Cardon. “Je kan niet verwachten dat mensen twintig schermen moeten doorlopen om zich aan te melden.” Die spanning tussen veiligheid en snelheid is volgens haar bijzonder uitgesproken in de zorg. “In veel sectoren is snelheid belangrijk, maar in de zorg zijn er letterlijk mensenlevens mee gemoeid.”
Security mag geen obstakel zijn voor zorgverlening
Elien Gardon, Orange Cyberdefense
Een aantrekkelijk en dubbel doelwit
Ziekenhuizen zijn niet alleen kwetsbaar, ze vormen ook een bijzonder aantrekkelijk doelwit voor cybercriminelen. Enerzijds is er de maatschappelijke impact. “Paniek zaaien in een ziekenhuis heeft een enorme maatschappelijke impact,” zegt Cardon. Een aanval raakt niet alleen de organisatie zelf, maar ook patiënten, zorgverleners en het vertrouwen in het zorgsysteem.
Daarnaast speelt een uitgesproken financiële motivatie. Medische data zijn extreem waardevol en valt onder de zwaarste categorie van de GDPR. Cardon is daar duidelijk over. “Medische dossiers worden op het dark web verkocht per record. Het gaat over geld, niet alleen over sabotage.” Een volledig medisch dossier kan volgens haar tussen de 50 en 250 dollar opleveren en wordt vervolgens verder gebruikt voor andere vormen van fraude.
Cardon ziet hoe die gestolen data vandaag al actief misbruikt wordt. “Niet alleen om ziekenhuizen onder druk te zetten, maar ook om patiënten te benaderen via social engineering,” zegt ze. “Aanvallers beschikken al over informatie, waardoor fraude veel geloofwaardiger wordt.”
Medische dossiers worden op het dark web verkocht per record. Het gaat over geld, niet alleen over sabotage.
Elien Cardon, Orange Cyberdefense
De impact reikt verder dan vandaag
Volgens Cardon onderschatten we nog steeds de langetermijngevolgen van datalekken. “We beseffen vandaag nog niet welke impact dit in de toekomst zal hebben,” zegt ze. “Onze identiteit wordt steeds vaker gebruikt om toegang te krijgen tot diensten, van overheid tot bank. Wat vandaag lekt, kan later op heel andere manieren misbruikt worden.” Die verwevenheid van systemen neemt alleen maar toe.
Tegelijk evolueert ook de manier waarop cybercriminelen te werk gaan. Waar phishing en oplichting vroeger vaak makkelijk te herkennen waren, is dat vandaag niet langer het geval. “Vroeger kwamen die e-mails en telefoons vaak uit het buitenland, met gebroken Engels of verkeerde namen, maar vandaag zien we mensen die Nederlands spreken, met kennis van onze markt en bedrijven,” zegt Elien.
Artificiële intelligentie heeft die evolutie in een stroomversnelling gebracht. Phishingmails zijn nauwelijks nog van echte communicatie te onderscheiden, deepfakes zijn geen uitzondering meer en ook live voice cloning wordt vandaag al ingezet bij fraude. Die ontwikkelingen maken social engineering steeds geloofwaardiger en moeilijker te detecteren. En dit is nog maar het begin van een veel bredere evolutie.
Preventie bestaat niet meer in absolute zin
Die realiteit dwingt organisaties om anders naar cybersecurity te kijken dan vroeger. Volgens de experten ligt de grootste verschuiving vandaag niet zozeer in technologie, maar in mindset. “Er bestaat geen one size fits all-oplossing,” zegt Cardon. “We spreken niet langer over hoe we een aanval voorkomen, maar over wat we doen wanneer het gebeurt.”
Die aanpak vertrekt vanuit beheersing en impactbeperking. Het doel is om zo snel mogelijk opnieuw controle te krijgen en de gevolgen te beperken. “Dat zijn de gesprekken die we vandaag voeren,” zegt ze. “Niet alleen met IT, maar ook met de business en het management. Cybersecurity stopt niet bij een technisch probleem dat je ‘even oplost’.” Cardon maakt daarbij extra de vergelijking met brandveiligheid. “Cybersecurity is geen eindpunt, maar een traject,” zegt ze. “Je oefent, je detecteert en je weet wie je inschakelt als het misgaat.”
Zoals een noodgenerator bij stroomuitval, moet je ook digitaal nadenken over een plan B.
Elien Cardon, Orange Cyberdefense
Prioriteiten stellen en continuïteit garanderen
Een belangrijke visie vanuit Orange Cyberdefense zijn de tabletop-oefeningen. “We simuleren een crisis en bekijken wat er gebeurt. Vaak merken we dat mensen elkaars contactgegevens niet hebben of niet weten wie beslissingen mag nemen.” Volgens Cardon helpen die simulaties ook om scherpe keuzes te maken. “Zo’n oefening creëert bewustwording en helpt prioriteiten bepalen, zeker wanneer budgetten beperkt zijn. Je ziet waar je snel winst kan boeken.”
Daarnaast is continuïteit cruciaal. Cardon wijst op het belang van een businesscontinuïteitsplan. “Worst case kan alles platliggen, en de ervaring leert dat zoiets niet opgelost is op een dag of een week,” zegt ze. “De vraag is: hoe zorg je ervoor dat kritieke diensten toch blijven draaien?” De vergelijking met fysieke noodvoorzieningen is daarbij treffend. “Zoals een noodgenerator bij stroomuitval, moet je ook digitaal nadenken over een plan B,” zegt Cardon. “Dat kan technisch zijn, maar ook organisatorisch. Als je daar niet op voorbereid bent, kan het lang duren vooraleer activiteiten opnieuw opgestart raken.”
Haal cybersecurity weg uit de IT-hoek alleen.
Elien Cardon, Orange Cyberdefense
Budgetten onder druk, maar bewustzijn groeit
Budgetten blijven een gevoelig punt in cybersecurity, zeker in sectoren zoals de zorg, maar tegelijk ziet Cardon dat het bewustzijn duidelijk toeneemt. De combinatie van factoren maakt dat cyberrisico’s vandaag vanuit meerdere invalshoeken bekeken worden. “Je hebt de financiële drijfveer, maar ook geopolitieke motieven,” zegt Cardon. “Er zijn simpelweg meer redenen waardoor organisaties vandaag geïmpacteerd kunnen zijn.”
Dat bewustzijn sijpelt steeds vaker door tot op bestuursniveau. “Beslissingen over budgetten worden gemaakt door de raad van bestuur,” benadrukt ze. “En dan is het belangrijk dat iedereen beseft: dit is nodig om onze kernactiviteiten te kunnen blijven uitvoeren.” Toch blijft het een evenwichtsoefening. “Cybersecurity is een verhaal van lange adem,” zegt Cardon. “Als je één euro hier investeert, kan je die niet elders investeren. Dat is altijd een wisselwerking.”
Wat zorgorganisaties hieruit kunnen meenemen
Een eerste belangrijke les volgens Cardon: “haal cybersecurity weg uit de IT-hoek alleen. Het is geen puur IT-probleem, maar het moet op managementniveau zitten, bij de business en bij elke manager op de radar staan.”
Voorbereiding is een tweede algemene tip volgens Cardon: “Als je oefent, merk je waar de pijnpunten zitten. Maar even belangrijk: je betrekt mensen. Dat is de echte waarde van zo’n oefening.” Cardon vult verder aan: “Dan ziet iedereen meteen: welke rol heb ik hier, en welke rol neem ik niet op?”
Tot slot benadrukt Cardon een belangrijk laatste aspect dat vaak onderbelicht blijft: de mentale impact op IT-teams tijdens een incident. “Wat onderschat wordt, is de mentale druk op die teams,” zegt ze. “Zij staan in het oog van de storm en voelen zich verantwoordelijk voor de hele organisatie.” Die verantwoordelijkheid mag niet alleen bij hen liggen. “Een incident is niet opgelost zodra de systemen weer draaien,” besluit Cardon.
