21 april 2020 5 min Auteur: Redactie

Bewustzijn, technologie en noodscenario’s basis voor security-aanpak

Security is in de zorg van essentieel belang omdat deze sector zelf een kritieke infrastructuur is. Het kan letterlijk om leven en dood gaan. Tegelijk staat de zorg regelmatig bovenaan als het gaat om het aantal datalekken. Wat moet er gebeuren om beveiliging van informatie en systemen naar een hoger plan te tillen?

Arno van der Heijden en Sjoerd Hulzinga, respectievelijk sales lead healthcare en product manager bij KPN Security, benadrukken dat het – zoals in elke sector - van belang is om het cyberbewustzijn van medewerkers te vergroten, de security-basis op orde te krijgen en te houden, maar ook om noodscenario’s klaar te hebben liggen. 'Het is een gegeven dat het bij elke organisatie een keer fout zal gaan.'

Ziekenhuizen gaan gemiddeld genomen professioneler met cybersecurity om dan VVT- instellingen (langdurige zorg), onder meer door het aanstellen van CISO’s (chief information security officer). Maar in beide segmenten zie je volgens Van der Heijden dat bij cyberaanvallen de zogeheten human firewall een vaak vergeten aandachtspunt is.

'Iedereen in een zorginstelling heeft een bepaalde verantwoordelijkheid, maar de meeste zorgmedewerkers zien cybersecurity nog als een feestje van de IT-afdeling. 85 procent van de cyberproblematiek komt voort uit menselijk falen. De basis van security is dus het bewust maken van mensen over zaken zoals een link in een e-mail en welke informatie men op welke wijze verstuurd. Denk maar aan het recente voorbeeld waarbij een medewerker gevoelige data op een USB-stick zet en die vervolgens verliest.'

'Wanneer ik dat vertaal naar IoT-apparatuur (slimme verbonden devices die ook data verwerken, red.), die steeds meer wordt ingezet in zorginstellingen of om mensen langer thuis te laten wonen, dan zie je dat aankopen vaak plaatsvinden zonder betrokkenheid van de IT-afdeling. Dit gebeurt vaak pas als een apparaat met het internet verbonden wordt, bij wijze van spreken. IT moet echter vanaf het begin meegenomen worden bij de selectie van dergelijke apparatuur. Want ook de basis van security moet op orde zijn, het liefst al in de apparatuur zelf.'


Whitepaper: 'IoT-security - Zo maakt u veillig gebruik van het IoT'

Wanneer kunt u spreken van goede IoT-security? Waar moet u op letten bij de ontwikkeling van IoT-apparaten en bij de implementatie van IoT-oplossingen? In deze whitepaper kijken we naar de beveiligingsuitdagingen van het IoT.

Download

Blijft het lastig om IT en zorgpraktijk op deze gebieden samen te brengen en ervan te overtuigen dat men dit samen moet doen?

Van der Heijden: 'Het is onze ervaring dat het heel lastig is om cybersecurity een onderwerp te laten zijn op de werkvloer en aan de bestuurstafel. IT’ers vinden het lastig om deze materie op begrijpelijke wijze inzichtelijk te maken voor bestuurders.' Hulzinga: 'Men ziet IT ook vaak als kostenpost en als de club waar niets van mag. Sommige maatregelen die je moet treffen, bijvoorbeeld wegens wet- en regelgeving, werken restrictief. Mensen proberen daar dan omheen te werken. Ik denk, om bij een recent voorbeeld te blijven, niet dat het security-beleid van een ziekenhuis het toestaat om gevoelige informatie op een USB-stick te zetten. Toch gebeurde dat onlangs wel.'

"Het grote probleem is dat een cybercrimineel slechts één keer hoeft te slagen"

'Ik zie deze vaak al gespannen relatie in de toekomst nog verergeren. De kennis over security, nu vaak beperkt tot de IT-afdeling, moet zich gaan verbreden tot de primaire processen van een instelling. Het toenemend gebruik van slimme, verbonden devices en sensoren introduceert een aantal security-risico’s die niet alleen door de IT-afdeling aangepakt moeten worden, maar waar iedereen rekening mee moet houden. Bij de beslissers, vaak de vakinhoudelijke mensen, ontbreekt het echter vaak aan security-inzicht omdat de IT-afdeling niet of nauwelijks betrokken wordt. Een extra probleem kan zijn dat patiënten straks massaal hun eigen data opsturen naar instellingen of zelf meenemen. Dergelijke ontwikkelingen kun je niet tegenhouden, dus moet je er nu al organisatiebreed mee bezig gaan.'


Whitepaper: 'Digitalisering in de zorg'

Zorgaanbieders in de keten moeten steeds meer samenwerken om goede zorg rondom een patiënt te kunnen realiseren. Hoe kan digitalisering hierbij helpen?

Download

Dat klinkt alsof het vechten tegen de bierkaai is

Hulzinga: 'Het grote probleem is dat de cybercrimineel slechts één keer hoeft te slagen, terwijl een organisatie zich structureel en 24/7 moet verdedigen. Eén keer een verkeerde setting of poort open en de aanval is geslaagd. Het is dus een gegeven dat het bij elke organisatie een keer fout zal gaan. Je moet je daarop voorbereiden met noodscenario’s, bijvoorbeeld voor een geslaagde ransomware-aanval of een groot datalek via die slimme medische apparatuur. Of heel simpel: iemand heeft de fabrieksinstellingen voor afscherming van een WiFi-verbinding niet aangepast. Er liggen al plannen klaar voor bijvoorbeeld uitval van stroom, maar vaak niet als het gaat om een aanval die de hele IT-infra- structuur kan lamleggen.'

'Er moeten dus twee zaken gebeuren om security in de basis te verbeteren:

  • In de hele organisatie security-kennis en -bewustzijn opbouwen in de primaire processen, niet alleen bij IT. Dit is een onderwerp voor iedereen, dus ook de bestuurstafel.
  • Een goede en regelmatig vernieuwde risicoanalyse: wat kan er fout gaan, wat kan er gedaan worden om de impact te beperken? Voorbereiding hierop middels noodscenario’s. (bijvoorbeeld een backup via de 3-2-1 strategie om terug te zetten na een geslaagde ransomware-aanval).'

Van der Heijden: “Uit ons recente onderzoek dat we samen met Bitsight hebben uitgevoerd, blijkt dat bij organisaties de nadruk ligt op het nemen van technische maatregelen aan het begin. Het bijhouden van security, zoals het snel patchen van een kwetsbaarheid, verdwijnt vaak naar de achtergrond. Denk aan de problematiek die ontstond als gevolg van het niet snel patchen van de kwetsbaarheid in een aantal Citrix-producten afgelopen januari. Ziekenhuizen zijn hier gemiddeld wat sneller in dan VVT-instellingen.”

Worden lessons learned over security-problemen in de zorg goed gedeeld?

Van der Heijden: 'Je ziet dat er vaak weinig openheid van zaken wordt gegeven als er iets mis is gegaan. Niet alleen in de zorg overigens. De Universiteit Maastricht heeft na de ransomware- aanval in december 2019 gewoon openheid van zaken gegeven over wat er gebeurd is en wat er fout gegaan is. Dergelijke ervaringen zouden veel vaker met elkaar gedeeld moeten worden, ook sectoroverstijgend. We hebben toch allemaal te maken met dezelfde problematiek.'

Hulzinga: 'Een probleem bij veel IoT-producten bij zorginstellingen of zorgdomotica voor thuiswonende senioren: security wordt door zowel leveranciers als gebruikers vaak op het tweede plan gezet. Dat is vaak het echte probleem: dat security niet intrinsiek meegenomen wordt vanaf de ontwikkeling van een product of dienst en nergens op het eerste plan staat. Niet bij de maker, niet bij de koper, niet bij de gebruiker. Wij zijn dus een grote voorstander van initiatieven die lopen rondom Security by Design.'

Jullie verwachten niet dat het ooit daadwerkelijk verbetert?

Hulzinga: 'Soms is er wetgeving nodig om zaken te verbeteren. Een voorbeeld daarvan is de Medical Device Regulation (MDR), die dit jaar van kracht wordt. Daarin staat ook een aantal zaken voor medische devices en hulpmiddelen die ten aanzien van security geregeld moeten zijn. Zo moet de security bij de ontwikkeling van een device al state of the art zijn. Wanneer devices worden hergebruikt – bijvoorbeeld zaken uit een failliete boedel – dan moet ook gecontroleerd worden of de security op orde is. Ook moet de toegangscontrole op orde zijn, de internetverbindingen dus. Ik vraag me dan wel af wie bijvoorbeeld die hergebruikte artikelen dan ook echt gaat controleren.'

Vragen over uw security-aanpak?

Neem contact op

KPN Security heeft drie aandachtsgebieden

• Compliance en bewustzijn; het creëren van bewustzijn en het toetsen tegen wetgeving.

• Security-monitoring; het 24/7 in de gaten houden van de IT-infrastructuur en het ontzorgen van de klant.

• Incident response: klanten ondersteunen in geval van een cyber security-incident.

Uit onderzoek van KPN onder 78 ziekenhuizen blijkt onder meer dat technische security-maatregelen vaak goed doorgevoerd worden. Desondanks was er bij 32 ziekenhuizen zogeheten command & control-verkeer zichtbaar, die door digitale infecties worden veroorzaakt. Dat duidt er vaak op dat er sprake is van onvoldoende effectief beheer.


KPN Health en zorginnovatie

KPN Health wil samen met de zorgsector elke dag weer helpen de zorg voor heel Nederland beter te maken. Dat doet de organisatie door patiënten, cliënten, zorgprofessionals en ICT-le- veranciers met elkaar te verbinden. De ambitie van KPN Health is de zorgketen verder te brengen: van ziekenhuizen tot verpleeghui- zen, van huisarts tot verzekeraar. Deze integrale aan- pak voor de hele zorgmarkt is de sleutel tot succes. KPN zorgt daarnaast voor de zorgverlenersauthenti- catie op het hoogste niveau van het Unieke Zorgver- lener Identificatie (UZI)-register en het Zorgverzeke- raars identificatie en authenticatie register (ZOVAR). KPN draagt met de UZI-pas voor zorgverleners en met het ZOVAR voor zorgverzekeraars bij aan de digitale weerbaarheid in de zorg. KPN is lid van de Innovation Partner Group van ICT&health.


Bron: ICT & Health


Gerelateerde artikelen