TrendAI’s analyse bygger på 7.779 opslag på cyberkriminelle fora, 21.813 annoncer på undergrundsmarkedspladser og 95 ransomware-lækagesider over en 12-måneders periode.

"Sundhedsdata er blevet en langsigtet kriminel investering. I modsætning til et stjålet kreditkort kan oplysninger om diagnoser, behandlingsforløb eller biometriske data ikke bare annulleres og erstattes. Det gør sundhedssektoren særligt attraktiv for både ransomwaregrupper og datamæglere," forklarer Jonas Hvarness Sebøk-Grandal, country sales director for Danmark, Grønland og Færøerne hos TrendAI.

Ransomware driver en stor del af markedet

TrendAI's analyse viser, at ransomware-relaterede datasalg står for mere end en tredjedel af aktiviteten på de undersøgte markedspladser. Cyberkriminelle kombinerer i stigende grad kryptering af data med datatyveri og afpresning for at maksimere deres indtjening.

Samtidig peger rapporten på, at sundhedsdata er særligt attraktive, fordi de kan bruges til flere former for kriminalitet på én gang – fra identitetstyveri og forsikringssvindel til afpresning og målrettede phishingkampagner.

Kriminel industri omkring sundhedsdata

Rapporten viser samtidig, at cyberkriminalitet rettet mod sundhedssektoren i stigende grad fungerer som en professionel industri. På de cyberkriminelle markedspladser handles ikke kun stjålne patientdata, men også adgang til hospitalsnetværk, forsikringsoplysninger, komplette identitetspakker med medicinske oplysninger og falsk sundhedsdokumentation.

Ifølge TrendAI fungerer markedet i stigende grad som en kriminel forsyningskæde, hvor forskellige specialiserede aktører står for hver deres del af forretningen – fra at skaffe adgang til kompromitterede systemer til at videresælge data og omsætte dem til økonomisk gevinst.

"Det er bemærkelsesværdigt, hvor moden den her type af kriminel økonomi er blevet. Vi ser ikke enkeltstående angreb, men et sammenhængende økosystem, hvor forskellige aktører samarbejder om at udnytte og videresælge de samme data. Sundhedsdata er blevet råstoffet i en omfattende undergrundsøkonomi," siger Jonas Hvarness Sebøk-Grandal.

Ét angreb kan ramme mange organisationer

Rapporten viser også en voksende interesse blandt cyberkriminelle for leverandører af elektroniske patientjournalsystemer (EHR/EMR). Når angribere kompromitterer den type leverandører, kan de potentielt få adgang til data fra et stort antal sundhedsorganisationer gennem ét enkelt angreb.

Ifølge TrendAI er angreb mod leverandørkæden derfor ved at udvikle sig til en væsentlig risikofaktor for sundhedssektoren, fordi konsekvenserne kan sprede sig langt ud over den oprindelige organisation.

"Cyberkriminelle går efter de mål, der giver størst mulig effekt. Derfor ser vi en voksende interesse for platforme og leverandører, som kan fungere som genveje til mange organisationer på én gang," siger Jonas Hvarness Sebøk-Grandal.