In januari van dit jaar werden door hackers documenten gepubliceerd met betrekking tot het Pfizer/BioNTech vaccin. Deze documenten werden buitgemaakt bij het Europees Medicijn Agentschap (EMA), terwijl deze bezig was het Pfizer/BioNTech vaccin goed te keuren voor de Europese markt. Verschillende media beweerden vervolgens dat een statelijke actor achter de hack zou hebben gezeten.[1] Of het nou een statelijke actor was, een hackerscollectief of een ‘lone-wolf’, het is vooral interessant om vast te stellen dat hackers de medische sector steeds meer in het vizier krijgen.
Op dit moment is een groot gedeelte van de hacks te wijten aan opportunisme. Er is sprake van een pandemie en waar paniek is, daar is voor hackers geld te verdienen. Kijk maar naar het voorbeeld wat wij eerder dit jaar uit uitlichtten over ziekenhuizen die doelwit werden van gerichte aanvallen van hackers.
Deze voorbeelden tonen een groter bestaand probleem aan in de medische en specifiek de biomedische sector: er is te weinig aandacht voor cybersecurity in de sector en dat is kwalijk omdat inbreuk op gegevens grote gevolgen kan hebben.
Cyberbiosecurity
Vanwege de belangen die dus aanwezig zijn in de medische sector en de toenemende mate van aanvallen op deze sector, is sinds enige tijd een nieuw security-begrip geïntroduceerd, namelijk Cyberbiosecurity. Wat is dat nou precies?
Cyberbiosecurity is gedefinieerd als:
“het verwerven van inzicht in de kwetsbaarheid voor ongewenste toegang, inbraken en kwaadaardige en schadelijke activiteiten die zich kunnen voordoen binnen of op de raakvlakken van samenhangende systemen van de biowetenschappen en de medische biowetenschappen, toeleveringsketen- en infrastructuursystemen.Ook richt Cyberbiosecurity het zich op het ontwikkelen en invoeren van maatregelen om dergelijke bedreigingen te voorkomen, er bescherming tegen te bieden, te beperken, te onderzoeken en toe te schrijven aan de veiligheid, het concurrentievermogen en de veerkracht”.
Doelwitten van opportunistische hackers
Door de huidige pandemie worden aanvallen op de medische sector vaker opgemerkt door de media, maar de medische sector is al langer een doelwit van hackers. Zowel vanuit security, privacy als financieel oogpunt is het de medische sector er alles aan gelegen haar intellectuele eigendommen en medische gegevens van patiënten te beschermen.
Het verliezen van klinische onderzoeksgegevens van nieuwe medicijnen bijvoorbeeld kan ertoe leiden dat een concurrent met jouw medicijn aan de haal gaat en je tientallen miljoenen aan investeringen verliest.
Op meer persoonlijk niveau is het voor te stellen dat persoonlijke medische gegevens worden buitgemaakt. Wat een hacker daar vervolgens in potentie mee kan doen is bijna angstaanjagend. Denk aan bijvoorbeeld aan identiteitsfraude of afpersing.
Een nog angstaanjagender maar niet ondenkbaar scenario is het moment waarop in het ontwikkelproces van synthetisch DNA (bijvoorbeeld medicijnen) onbewust of doelbewust wijzigingen worden aangebracht. Hierdoor kan de DNA code veranderen, met vergaande gevolgen. Het kan een medicijn ineffectief of zelfs schadelijk maken voor diegene die het toegediend krijgen. Het zou ook kunnen zorgen voor het ontstaan van een nieuw (dodelijk) virus.
Gebrek aan noodzaak
Cyberbiosecurity lijkt dus nog essentiëler dan cybersecurity in andere sectoren. Als het misgaat, kan het namelijk direct fatale gevolgen hebben. Toch zetten veel farmaceuten niet 100% in op het beveiligen van hun gevoelige data. Zeker kleinere ontwikkelaars van medicijnen willen liever zo snel mogelijk resultaat om geld te verdienen en ‘vergeten’ dan de beveiliging van hun gevoelige data.
Wetgeving ontbreekt daarnaast ook grotendeels, terwijl wetgeving organisaties kan dwingen op dit gebied bepaalde voorzorgsmaatregelen te nemen. Richtlijnen die er zijn richten zich wel op een veilig ontwikkelproces van medicijnen, maar doen dat niet vanuit een cybersecurity perspectief.
Hoe nu verder?
Wetgeving en richtlijnen zouden dus kunnen helpen om de cyberbiosecurity in de medische sector te verbeteren. Een eerste stap is wat ons betreft publiek-privaat georganiseerde overleggen tussen biologen en cybersecurity specialisten, om samen te bepalen wat en hoe het beter kan.
[1] https://nos.nl/artikel/2361735-buitenlandse-inlichtingendienst-zat-waarschijnlijk-achter-ema-hack.html