15 mei 2020 5 min Auteur: Redactie

Digitale veiligheid: 80% van de ziekenhuizen scoort redelijk tot goed

Zo’n 80% van de Nederlandse ziekenhuizen heeft de digitale veiligheid redelijk tot goed op orde. Dat blijkt uit het benchmarkrapport dat KPN Security uitbrengt in samenwerking met Bitsight. Nederlandse ziekenhuizen scoren daarmee op het eerste gezicht niet slecht, maar door de snelle ontwikkelingen op het gebied van cybercriminaliteit, blijft het nodig om voortdurend in de gaten te houden of het securitybeleid nog wel voldoet aan de laatste standaarden.

Weet u bijvoorbeeld wat de belangrijkste risico’s en kwetsbaarheden voor uw dienstverlening zijn? En hoe staat het met de security van uw ketenpartners en de veiligheid van patiëntgegevens?

Stuurinformatie bepaalt cybersecurityprioriteiten

Zorgbestuurders hebben als taak om met een effectief securitybeleid en gerichte investeringen de cyberrisico’s voor de organisatie, medewerkers en hun patiënten of cliënten te verkleinen. Door de juiste cybersecuritymaatregelen te treffen, neemt de weerbaarheid van een organisatie immers snel toe. Maar hoe bepaalt het zorgbestuur welke risico’s het grootst zijn en dus maatregelen prioriteit hebben? Hiervoor is goede stuurinformatie nodig. Een Security Rating-rapport helpt hierbij. Dit soort rapportages maken securityrisico’s en -prioriteiten begrijpelijk en tonen snel het effect van mogelijke maatregelingen aan.

Waarom zijn security rating-rapporten zo belangrijk voor zorginstellingen?

KPN Security heeft in samenwerking met BitSight een securitybenchmarkrapport voor ziekenhuizen opgesteld. Het rapport biedt inzicht in het securityniveau van Nederlandse ziekenhuizen als groep en ten opzichte van elkaar. Daarnaast biedt het andere zorginstellingen, zowel in de care- als in de curesector, inzicht in de toepasbaarheid van de informatie die security rating-rapporten bieden.


Vraag kosteloos uw securityratingrapport aan

Als grootste Managed Security Services Provider ziet KPN Security het als zijn verantwoordelijkheid om bij te dragen aan de veiligheid van de Nederlandse zorg. Daarom bieden we zorginstellingen tijdelijk kosteloos een eigen Security Rating-rapport aan. Een Security Rating-rapport geeft inzicht in de specifieke securityrisico’s en -prioriteiten voor uw organisatie. 

Om het rapport op te vragen, doorloopt u de volgende stappen:

  • U vul het aanvraagformulier in
  • Wij stellen een securityrating-rapport voor u op
  • Onze consultant neemt contact met u op voor een afspraak om het rapport te bespreken

Hoe wordt een Security Rating berekend?

Iedere organisatie laat op het internet sporen na, bijvoorbeeld door online activiteiten van medewerkers, e-mailverkeer of data-uitwisseling. Security Ratings zijn gebaseerd op de analyse van al deze data. Dagelijks analyseren onze security-experts meer dan 70 miljard securityevents uit 120 bronnen die gekoppeld zijn aan de publieke IP-adressen van 200.000 organisaties wereldwijd. Een algoritme berekent voor iedere organisatie een Security Rating. Deze score geeft een indicatie van de performance van uw securitymaatregelen en -processen. 

De manier waarop een Security Rating tot stand komt, is vergelijkbaar met de methodiek die wordt toegepast bij financiële ratings. Hierbij duidt een waarde tussen 250 en 900 de kredietwaardigheid van een financiële instelling aan. Hoe lager de score, hoe lager de kredietwaardigheid. De Security Rating gebruikt dezelfde duidingswaarden als de financiële rating. Een lage Security Rating duidt dus op een lagere veiligheidsscore en een hoger risico op securityincidenten. We onderscheiden binnen de Security Rating 3 niveaus:

  • Basic rating*: Een score tussen de 250 en 639 
  • Intermediate rating: Een score tussen de 640 en 739
  • Advanced rating: Een score tussen de 740 en 900

*) Organisaties met een Basic-rating (250-639) lopen 4 tot 5 keer meer risico op een datalek dan organisaties met een Advanced-rating (740-900).

Hoe maken Security Ratings verbeteringen meetbaar en inzichtelijk?

Op basis van geautomatiseerde, real time data-analyse meet KPN Security in samenwerking met BitSight voortdurend het securityniveau van organisaties, waaronder ook dat van Nederlandse ziekenhuizen. Door dit geautomatiseerde proces kunnen de metingen snel en objectief het effect van getroffen maatregelen aantonen. Uw organisatie verkrijgt door de Security Rating namelijk toegang tot informatie die relevant is voor uw organisatie en uw branche of sector. Hiermee kunt u zelf doorlopend uw securityprestaties meten en waar nodig verbeteren. 

Waarom is voortdurend inzicht zo belangrijk?

Het dreigingslandschap verandert voortdurend. Om te voorkomen dat u getroffen wordt door bijvoorbeeld een cyberaanval, is het belangrijk dat u continu weet of uw securitybeleid nog de bescherming biedt die u nodig hebt. Zo loopt u geen onnodig risico. Daarnaast heeft de digitale transformatie van de zorg een enorme impact op uw risicoprofiel. 

Het zijn namelijk niet alleen uw eigen securityprestaties die impact hebben op de beveiliging van patiëntgegevens, maar ook die van uw ketenpartners. Zorginstellingen moeten daarom continu weten waar in hun eigen of hun verbonden infrastructuur ze kwetsbaar zijn en snel en eenvoudig toegang kunnen hebben tot de Security Rating-rapporten van leveranciers en partners. 

Voorbeeldrapportage: hoe scoren Nederlandse ziekenhuizen op digitale veiligheid?

Om een helder beeld te krijgen van hoe Nederlandse ziekenhuizen er op dit moment voor staan wat betreft digitale veiligheid, heeft KPN een analyse gemaakt van 75 Nederlandse ziekenhuizen. Deze analyse is uitgevoerd op 2 april 2020 en geeft dus inzicht in de Security Rating van ziekenhuizen op dat moment. De gemiddelde score bedraagt 720 (Intermediate-rating). Van de onderzochte ziekenhuizen hadden er 13 een Basic-rating (tussen de 250 en 639).

Toegenomen rating, maar lager dan Nederlands zorggemiddelde

In de verschillende Security Ratings die we over het afgelopen jaar hebben uitgevoerd, zien we een geleidelijke stijging van het aantal ziekenhuizen dat van een Basic- naar een Intermediate-rating is gegroeid. Het aantal ziekenhuizen met een Advanced-rating blijft over het jaar ongeveer gelijk (zie grafiek hieronder).

Industry Ratings

Vergeleken met alle organisaties binnen de Nederlandse zorgsector (dus zowel cure als care) zien we dat de gemiddelde rating van de ziekenhuizen iets lager ligt dan de gemiddelde rating voor de gehele zorgsector. 

Securityincidenten en -infecties

In de periode tussen 2 maart en 2 april 2020 zijn er 17 infecties waargenomen bij de onderzochte 75 ziekenhuizen. De infecties variëren van het gebruik of de installatie van ongewenste software die bijvoorbeeld instellingen in de browser aanpast, advertenties weergeeft of gebruikersactiviteiten vastlegt, tot botnetinfecties die de volledige digitale dienstverlening tot stilstand brengen:

Summary (past 30 days)

Een waargenomen infectie kan ook afkomstig zijn van gastennetwerken van een ziekenhuis. Deze zijn doorgaans gescheiden van het bedrijfsnetwerk en vormen zo een lager risico op een securityincident dat de gehele infrastructuur van een organisatie bedreigt. Hierbij plaatsen we de kanttekening dat infecties ook van gastennetwerken komen die in de meeste gevallen gescheiden zijn van het bedrijfsnetwerk.

Ook zijn in dezelfde periode 4 typen wetsbaarheden waargenomen bij 36 ziekenhuizen op 82 systemen. De meeste kwetsbaarheden zijn bekende zwakheden in het SSL-protocol. Hierin is wel een positieve trend zichtbaar vergeleken met de periode van 2 februari tot 2 maart 2020, waarbij voor 2 SSL-kwetsbaarheden het aantal met 33% afnam. De bekende Poodle-kwetsbaarheid (SSLv3) kwam echter meer dan 5 keer zo vaak voor op 8 keer zoveel systemen, maar nam wel af met 5%.

Meer inzicht op aanvraag

De overige details uit het rapport zijn vanwege de vertrouwelijkheid niet geschikt voor publicatie.   We bieden ziekenhuizen – en andere publieke organisaties – wel de mogelijkheid om kosteloos een eigen Security Rating-rapport op te vragen. Dit rapport wordt toegelicht door een consultant, zodat u direct meer grip hebt op uw securityprestaties en -prioriteiten. Verdere details uit het benchmarkrapport worden gedeeld onder instanties en organisaties voor wie dit relevant is.


Vraag kosteloos uw securityratingrapport aan

Als grootste Managed Security Services Provider ziet KPN Security het als zijn verantwoordelijkheid om bij te dragen aan de veiligheid van de Nederlandse zorg. Daarom bieden we zorginstellingen tijdelijk kosteloos een eigen Security Rating-rapport aan. Een Security Rating-rapport geeft inzicht in de specifieke securityrisico’s en -prioriteiten voor uw organisatie. 

Om het rapport op te vragen, doorloopt u de volgende stappen:

  • U vul het aanvraagformulier in
  • Wij stellen een securityrating-rapport voor u op
  • Onze consultant neemt contact met u op voor een afsparaak om het rapport te bespreken.

    Vraag direct aan


Gerelateerde artikelen