Cybersecurity in de zorg: lessons learned van NLSecure[ID]

De Nederlandse zorgsector digitaliseert razendsnel. Daardoor groeit ook het belang van cybersecurity. Maar de zorg heeft wel meer aan zijn hoofd. Zo is het ziekteverzuim hoog en staat de toegankelijkheid van de zorg onder druk. Hoe kun je als zorginstelling dan toch digitale risico’s verkleinen?

Cybersecurity in de zorg was een van de thema’s tijdens de September Edition van NLSecure[ID], hét evenement voor de Nederlandse securitycommunity. Deze ‘compacte’ nazomereditie is een online talkshow over cybersecurity. Vooraanstaande Nederlandse securityexperts gaan met elkaar in gesprek en delen de laatste trends uit hun vakgebied. Ook geven ze praktische adviezen die de kijkers in hun eigen organisatie kunnen toepassen.  

De tweede sessie van de talkshow ging over de Nederlandse zorgsector. Aan de desk stonden Vivienne Zuurmond, CISO van het HagaZiekenhuis, Pepijn Vissers, Healer & Founder van Chapter8, en Vinood Mangroelal, Executive Vice President van KPN Health. Zij belichtten dit onderwerp elk vanuit hun eigen perspectief. Dit zijn de belangrijkste takeaways:  

1. Security begint bij de vraag: waar sta ik nu eigenlijk? 

Mangroelal schetste een beeld van de uitdagingen in de zorgsector. Zo is er een groot tekort aan zorgprofessionals en wordt zorg steeds vaker verplaatst naar bijvoorbeeld het huis van de patiënt. Digitale technologie speelt hierin een sleutelrol, waarmee ook het belang van een goede beveiliging groeit. Tegelijkertijd zijn de budgetten voor cybersecurity beperkt. Dat betekent dat zorginstellingen scherpe keuzes moeten maken. Welke securitymaatregelen zijn dan echt belangrijk?  

“Om de juiste securitykeuzes te maken, moet je eerst begrijpen waar je staat”, aldus Mangroelal. “Er is niet één zorgsector. Van de eerstelijnszorg en de academische ziekenhuizen tot de gehandicaptenzorg en de thuiszorg: dit zijn allemaal verschillende typen organisaties met hun eigen volwassenheid op het gebied van IT en cyber. Sommige organisaties zijn al klaar voor aanvalssimulaties, andere moeten eerst de basale maatregelen treffen. Pas als je weet waar je staat, kun je bepalen waarin je gaat investeren.” 

2. Creëer draagvlak door security te koppelen aan businesscontinuïteit 

Zuurmond heeft cybersecurity bij het HagaZiekenhuis hoog op de agenda gekregen. Niet alleen door continu te hameren op het belang van digitale veiligheid, maar ook door dit te koppelen aan de businesscontinuïteit. “Wat gebeurt er als het elektronisch patiëntendossier niet meer beschikbaar is? Wat als een medisch specialist niet meer bij de patiëntgegevens kan? En wat betekent dat uiteindelijk voor de patiënt? Kun je dan nog wel de veilige zorg leveren die je zou willen? Ik benader security vanuit het perspectief van de ander. Zo laat ik zien dat dit geen IT-feestje is.” 

3. Aanvalssimulaties zijn er in verschillende smaken 

Zorginstellingen hebben verschillende instrumenten om hun digitale weerbaarheid te testen. Vissers zette een aantal opties uiteen. “Je kunt een geautomatiseerde scan doen op een set van applicaties, je kunt de buitenkant van je netwerk automatisch laten scannen op kwetsbaarheden, maar je kunt ook redteamsimulaties doen waarbij je jezelf als een aanvaller gedraagt en probeert om de kroonjuwelen van de organisatie te pakken te krijgen.”  

Zijn bedrijf Chapter8 is gespecialiseerd in purple teaming. Dit is een combinatie van red teaming en blue teaming, waarbij de aanvallers nauw samenwerken met de verdediging van de klant. “Een redteamactie verloopt vaak onder de radar en na afloop deel je de bevindingen. Bij purple teaming speel je wel een realistisch aanvalsscenario na, maar werk je boven de radar. Vergelijk het met een trainingsgevecht in de sportschool. Daardoor wordt het wat minder spannend voor de organisatie en is het leereffect veel directer.” 

4. Werk samen met ketenpartners aan hoger securityniveau

Een ziekenhuis werkt samen met talloze partners en leveranciers. Dat kunnen leveranciers van (medische) applicaties zijn, maar ook andere zorgverleners zoals thuiszorgorganisaties. Een gebrekkige beveiliging bij een van die partijen stelt ook het ziekenhuis bloot aan cyberrisico’s. “De zorg die wij leveren bij de patiënt thuis moet net zo veilig zijn als binnen de muren van het ziekenhuis”, stelde Zuurmond. “Dat maakt samenwerking in de keten cruciaal. Door met elkaar in gesprek te gaan over security, kun je je aan elkaar optrekken.” 

Ook Mangroelal benadrukte het belang van samenwerking: “De complexiteit neemt toe doordat zorg niet alleen meer wordt geleverd binnen de vier muren van je organisatie. Denk bijvoorbeeld aan de koppeling met apparatuur op locatie, het delen van informatie met andere zorgverleners en het toegang geven tot elkaars systemen. Naast het beveiligen van je eigen organisatie draait het om samenwerken. Dit is een heel andere dynamiek.” 

5. Bouw je security op als een granaatappel, niet als een meloen 

Vissers maakte gebruik van een analogie om zijn punt kracht bij te zetten. Volgens hem bouwen veel organisaties hun IT-infrastructuur op als een soort watermeloen; hard van buiten, makkelijk doordringbaar van binnen. “Als je eenmaal door die schil heen bent, kom je vrij makkelijk bij de kroonjuwelen. Vanuit security by design wil je toe naar een granaatappel, met allemaal kleine compartimentjes die ervoor zorgen dat een aanvaller zich niet eenvoudig kan verplaatsen.”  

Heb jij de September Edition van NLSecure[ID] gemist? Of wil je de talkshow nog eens terugkijken? Dan kan nog t/m 20 oktober via onderstaande button.

Kijk nu terug

Gerelateerde artikelen