Het aantal cyberaanvallen op zorgaanbieders is het afgelopen jaar sterk gestegen. In totaal kreeg de sector bijna 80 procent van alle datalekken te verstouwen. Philips levert wereldwijd medische apparatuur. Chief Security Officer Gal Gnainsky vertelde tijdens het KPN-event NLSecure[ID] waarom de zorgsector zo kwetsbaar is en welke oplossingen zij hiervoor zien.
Dat aanvallen op zorginstellingen levensgevaarlijk kunnen zijn, bewijst een van de voorbeelden die Philips CSO en vice-president Gal Gnainsky gaf tijdens zijn presentatie: hackers vielen een universiteitsziekenhuis in Düsseldorf aan, waardoor het korte tijd geen patiënten meer op kon nemen. Een vrouw moest daardoor naar een ziekenhuis 30 kilometer verderop en overleed doordat ze niet snel genoeg de benodigde zorg kon krijgen.
Volgens Gnainsky is het een angstaanjagende realiteit voor ziekenhuizen en andere zorgaanbieders: een wereldwijde stijging in cyberaanvallen van maar liefst 45 procent sinds afgelopen november en een oceaan aan datalekken die de sector teisteren.
Tien uitdagingen rond informatiebeveiliging
Gnainsky zette tijdens NLSecure[ID] 10 uitdagingen op een rij waar de zorg voor staat op het gebied van informatiebeveiliging:
Ziekenhuizen en zorgaanbieders focussen niet op veiligheid
De beperkte financiële mogelijkheden worden meestal gebruikt voor andere prioriteiten
Er zijn verschillen in het niveau van de databeveiliging in de private en publieke zorgsector
Medische apparatuur is duur. Die wordt daarom niet snel vervangen, maar veroudert wel; software meer dan hardware
Zorgdata zijn samen met onder meer die uit de financiële wereld het meest waardevol voor hackers en criminelen
Ziekenhuizen hebben te maken met tientallen en vaker nog honderden toeleveranciers – zoals bijvoorbeeld Philips
De impact die zorgaanbieders ondervinden van een aanval is waarschijnlijk groot; in het ergste geval draait het om mensenlevens
Meer connectiviteit maakt technologie ook in de zorg complexer
Steeds meer regels en beleid
Vanwege de pandemie vindt steeds meer zorg op afstand plaats. Dat maakt beveiliging lastiger
Internet of Medical Things
Zet een extra stap richting digitalisering door medische apparaten te verbinden. Ontdek hoe u innovatieve kansen het beste aangrijpt.
DownloadMeerdere lagen
Gnainsky illustreert de complexiteit waar een ziekenhuis mee te maken krijgt met een product uit eigen koker: de Azurion met een zogenaamde Flex Arm. Dat is een hyperflexibel 3D-röntgenapparaat dat een patiënt van alle kanten kan fotograferen.
“Kijk naar alle issues die dat met zich meebrengt”, vertelt Gnainsky. “Hoe versleutel je de data die het apparaat verzamelt, hoe sla je ze op en hoe deel je ze? Het gaat over zoveel lagen: netwerk-, hardware- en softwarebeveiliging en de veiligheid van applicaties en opslag in de cloud.
En als leverancier weet je: het apparaat staat in het ziekenhuis dat de eigenaar is en dus met al die zaken heeft te dealen.”
Makkelijker voor klant
Maar hoe maak je het als toeleverancier dan makkelijker voor de klant? Gnainsky zet drie manieren op een rij waarop je dat kunt doen. Houd om te beginnen, waar mogelijk, de verantwoordelijk voor een product, systeem, software of een dienst in eigen hand.
Gnainsky: “Ziekenhuizen sluiten onze apparatuur aan op hun eigen netwerk. Wij moeten dan vertrouwen op hun beveiliging en zij weer op de onze als het gaat om toegang op afstand. En dan zijn er ook nog geregeld derde partijen bij betrokken. Wij proberen in ieder geval zoveel mogelijk voor onze klanten te managen.
Zorg daarnaast voor overleg tussen toeleveranciers over dat eerdergenoemde, belangrijke onderwerp: veroudering van apparatuur, hard- en software. “Kom achter de schermen bij elkaar en probeer de problemen op te lossen die hiermee samenhangen.”
Tenslotte: benader als provider de zorgsector met een holistische, uitgebreide security suite. “Kijk naar het ecosysteem van klanten en zorg voor een beveiliging op maat voor het netwerk, de cloud, data en producten. Maak daarbij gebruik van vendor agnostic oplossingen, die dus niet verbonden zijn aan een bepaalde fabrikant of product.”
Focussen
Philips heeft zichzelf als doel gesteld om zoveel mogelijk complexiteit in eigen hand te houden, aldus Gnainsky. Dat begint al bij het Security Management Framework waarin Philips zijn beleid maakt, dat uiteindelijk moet zorgen voor de veiligste apparatuur voor ziekenhuizen.
Dat framework voldoet aan tal van criteria: nationale regels en standaarden, eisen van de markt en regulerende partijen uit de sector en learnings uit beveiligingsincidenten uit het (recente) verleden. “We hebben een team van mensen dat continu zorgt dat al die criteria in het framework en ons beleid terechtkomen. Dat is op die manier altijd up-to-date.”
Met hulp van het framework kan Philips de belangrijkste risico’s te lijf gaan die spelen op het gebied van producten voor de zorgsector. Dat kan gaan om embedded wachtwoorden die een risico vormen, tot de versleuteling van data.
Gnainsky: “De productie en release van producten moet volgens strenge veiligheidsstandaarden gebeuren, anders riskeren we inconsistentie. En het laatste risico is een oude bekende: de veroudering van apparatuur. Wat kunnen we doen om het risico dat een klant loopt door het gebruik van een oud systeem zoveel mogelijk te beperken?
Als we ons op deze uitdagingen blijven focussen, verwacht ik dat dat binnen twee jaar een grote verandering gaat betekenen voor de medische wereld.”