Nieuws
22 augustus 2016

Security in de zorg vraagt om stapsgewijze aanpak

Zorginstellingen zijn wel degelijk een doelwit voor cyberaangevallen. Zij moeten zorgen dat de schade beperkt blijft bij een incident zullen zij zich hierop moeten voorbereiden. Gezien het gebrek aan budget en resources zal alleen een stapsgewijze aanpak haalbaar zijn en resultaat afwerpen.

Veel zorgpartijen leven in de veronderstelling dat ze niet aangevallen zullen worden omdat ze geen bank zijn en ze daarom weinig te vrezen hebben. Zowel het bestuur als de werknemers zijn zich in veel gevallen niet bewust van de security-risico’s die direct impact kunnen hebben op de continuïteit en de reputatie van de organisatie. Het gevolg is dat zij onvoorbereid zijn als zich een incident voordoet en er dus hals over kop beslissingen genomen moeten worden. Niet juist voorbereid zijn kan leiden tot grotere schade op het gebied van financiën, continuïteit, imago en als er niet voldaan wordt aan de wet (meldplicht datalekken), kan dit leiden tot hoge boetes. Toch zijn zorginstellingen wel degelijk een doelwit en om zorg te dragen dat de schade beperkt blijft bij een incident zullen zij zich hierop moeten voorbereiden. Gezien het gebrek aan budget en resources zal alleen een stapsgewijze aanpak haalbaar zijn en resultaat afwerpen.

In ons land zijn banken en andere financiële instellingen tegenwoordig prima beveiligd. De keerzijde is dat cybercriminelen zich nu richten op doelen die minder goed beveiligd zijn en waar zich ook waardevolle informatie bevindt, zoals zorginstellingen. En dan hoeft het niet direct om doelgerichte aanvallen te gaan, het zijn immers geen instellingen waar veel geld te halen valt. Waar zij met name waakzaam voor moeten zijn is dat ze geraakt kunnen worden door criminele organisaties die ‘met hagel’ schieten en zo slachtoffer worden. Een voorbeeld is ransomware die meestal via phishingmails binnen probeert te dringen. Dagelijks worden tientallen miljoenen van dergelijke phishingmails verstuurd. Wanneer een nietsvermoedende ontvanger een link in zo’n mail opent, kan de malware direct het systeem van de zorginstelling infecteren. Dit kan direct invloed hebben op de continuïteit van de instelling omdat deze vorm van malware systemen ontoegankelijk maakt door ze te versleutelen, met alle gevolgen van dien. Het is ook niet zo dat er bij een zorginstelling helemaal niets te halen valt.

Sterker nog, zorginstellingen hebben veel persoonlijke informatie in hun bezit en het is juist die informatie waar criminelen naar op zoek zijn. Deze gegevens worden verhandeld op internet, denk aan identiteitsgegevens van cliënten of patiënten  en werknemers en deze informatie levert veel geld op. Medische informatie levert circa 60 dollar per record op en dat is meer dan de circa 40 dollar die bijvoorbeeld credit card informatie oplevert. Dit geeft dus direct aan wat de waarde is van de informatie die zorginstellingen in handen hebben en de noodzaak om deze te beveiligen.

Laag losgeld

Cybercriminelen zetten onder andere phishingmails in met een link waar medewerkers van een instelling op klikken. Hierdoor kan ransomware geïnstalleerd worden, waarna de zorginstelling geen beschikking meer heeft over bepaalde systemen of documenten. Het losgeld bedraagt veelal een of twee bitcoins (één bitcoin is momenteel rond de €400 waard). Omdat er lage bedragen gevraagd worden, zal een instelling al snel overgaan tot betaling (indien er geen andere oplossingen zijn) van het gevraagde bedrag, omdat men zo snel als mogelijk weer beschikking wil hebben over de systemen en de informatie die gegijzeld is.

Dit lage losgeld is een duidelijke aanwijzing dat er niet doelgericht is aangevallen. Zou de aanvaller weten dat een zorginstelling door zijn ransomware is getroffen, dan zou er ongetwijfeld meer geld worden gevraagd. We zien steeds vaker malware in zorginstellingen die het gehele proces stilleggen en daarmee direct de bedrijfsrisico’s raken. In Amerika (Hollywood Presbyterian Medical Center), Duitsland (Lukas Krankenhaus in Neuss en Klinikum Arnsberg), maar ook in Nederland (Groene Hart) zien we zorginstellingen die zwaar getroffen zijn door cyberincidenten.

Goede backup is een redding

De ransomware in Duitsland versleutelde patiëntendossiers waardoor operaties moesten worden uitgesteld en de Lukas Klinikum ging zelfs geheel offline. Geen van de getroffen ziekenhuizen was bereid het gevraagde losgeld te betalen. Doordat er dagelijkse back-ups waren gemaakt, bleef het dataverlies binnen de perken.Wel zal het naar verwachting  maanden duren voordat alle systemen van Lukas Klinikum weer volledig werken. Klinikum Arnsberg zag zich na de aanval gedwongen het de IT-systemen stil te leggen, maar ook daar bleef de schade beperkt. Mede doordat in deze kliniek alle medische apparatuur zonder netwerkverbinding werkt.

Andere bedreigingen waar zorginstellingen rekening mee zouden moeten houden zijn werknemers die ontslagen zijn of patiënten die niet tevreden zijn over hun behandeling. Zij kunnen ook een directe bedreiging vormen voor de security – en zo een van de bedrijfsrisico’s raken - als zij voldoende kennis hebben om de kwetsbaarheden van een instelling te benutten.

Eenvoudig aan te vallen

Dat het relatief eenvoudig is om een zorginstelling met succes aan te vallen is ook om een andere reden niet zo vreemd. Zorginstellingen, en met name ziekenhuizen, zijn openbare gelegenheden, waar voortdurend mensen in en uit lopen. De systemen - computers, medische apparatuur, etc. - staan in tegenstelling tot bij een bank of kantoor vaak open en bloot en zijn een makkelijke prooi. Bovendien bieden ziekenhuizen vaak een deel van hun infrastructuur aan hun bezoekers en patiënten, waardoor er veel verschillende aanvalsmogelijkheden zijn.

Dit wordt nog eens versterkt doordat er in de loop der jaren steeds meer apparatuur aan het netwerk wordt gekoppeld. De ervaring leert dat medische systemen vaak voorzien zijn van standaard wachtwoorden en -soms noodgedwongen- niet up-to-date zijn waardoor weer risico’s ontstaan. Wifi-netwerken die niet losgekoppeld zijn van de operationele systemen en kantooromgevingen, vormen eveneens een groot risico.

Geen angst om afwijkende zaken te melden

Daarnaast is security-bewustzijn (‘awareness’) bij medewerkers een groot issue. Medische gegevens worden bijvoorbeeld nog steeds over Whatsapp en andere social media verzonden, terwijl medewerkers zouden moeten weten dat de aanbieders van deze communicatiekanalen niet altijd strikt omgaan met de privacy. Dat vraagt dus om training, waarbij een cultuur gerecreëerd wordt waarin medewerkers geleerd wordt hier voorzichtig mee om te gaan en niet bang hoeven te zijn afwijkende zaken te melden. Zij zouden een schouderklop moeten krijgen als zij iets aankaarten waarvan zij denken dat het een risico kan vormen voor de continuïteit en het imago van de zorginstelling. Dit zal natuurlijk ook door het hoger management gesteund moeten worden. Vaak zien we dat dit niet het geval is en dan kan je niet van medewerkers verwachten dat zij zich als zodanig opstellen.

Continuïteit, imago, wet- en regelgeving

Voor zorginstellingen en met name ziekenhuizen, zijn de belangrijkste bedrijfsrisico’s: verstoring van de continuïteit, imagoschade en het niet voldoen aan de wet- en regelgeving. Ook een schot ‘digitale hagel’ kan die continuïteit ernstig bedreigen en onder andere voor grote imago- en financiële schade zorgen. Patiënten en verwijzers kunnen het vertrouwen verliezen in een zorginstelling en naar andere instellingoverstappen, wat grote gevolgen kan hebben. Tot slot kan de instelling een forse boete oplopen als blijkt dat er niet aan de wet- en regelgeving is voldaan.

Stapsgewijs naar een realistische oplossing

De bijzondere situatie waarin zorginstellingen verkeren, vraagt om een gefaseerde aanpak. Het is niet realistisch om te verwachten dat met een enorm project binnen een korte tijd alle hier bovengenoemde zaken aangepakt kunnen worden. Alleen al de bewustwording en de cultuurveranderingen kosten de nodige tijd en dan zijn er ook nog financiële beperkingen en het gebrek aan resources om de maatregelen uit te voeren. Een duurzame verbetering van de security is in deze situatie haalbaar, mits men in deelprojecten de maatregelen uitvoert op basis van prioriteit. Aan de hand van een risico-inventarisatie kan bepaald worden welke van die risico’s de grootste impact op de zorginstelling hebben en dus als eerste moeten worden aangepakt. Tegelijk kan een traject in gang worden gezet om het security-bewustzijn te bevorderen.

Financieel en organisatorisch haalbaar

Deze aanpak maakt het ook veel makkelijker dan voor een omvangrijk project budget vrij te maken. Belangrijk voor het toewijzen van budget is dat de zorginstelling zich moet realiseren dat het hier om relatief nieuwe risico’s gaat die direct (continuïteit) of indirect (verlies vertrouwen patiënten of verwijzers door reputatieschade) tot zeer grote schade kunnen leiden. Door in stappen de risico’s op organisatorisch en technisch gebied in kaart te brengen, deze op basis van prioriteit op te pakken en waar mogelijk uit te bannen, nemen bij de zorginstelling gaandeweg de risico’s af. En wel op een manier die zowel financieel als organisatorisch haalbaar is.

De drie belangrijkste redenen waarom er onvoldoende aandacht wordt gegeven aan security:
1. Cybersecurity behoort niet tot de kernactiviteiten van een zorginstelling en heeft daarom geen prioriteit. Er worden daarom voor security onvoldoende budget en resources vrij gemaakt.
2. De werknemers zijn nog steeds onvoldoende bewust van de dagelijkse risico’s.
3. Lang niet alle risico’s zijn in kaart gebracht, denk aan de beveiliging van onder meer IT-infrastructuur, medische apparatuur, eigen apparatuur (‘Bring your own device’) en Wifi.

Wat kunnen zorginstellingen  doen om tot een betere beveiliging te komen:
1. Erkennen dat 100% beveiliging niet bestaat. Neem dusdanige maatregelen zodat er direct actie kan worden ondernomen in geval zich een incident voordoet.
2. Begrijpen dat de firewalls en antivirussoftware niet voldoende zijn om cybercriminaliteit tegen te houden of te detecteren.
3. Breng risico’s op zowel organisatorisch vlak als op technisch vlak in kaart. Probeer de risico’s te verminderen en waar dat niet mogelijk is, wees voorbereid op het feit dat een kwetsbaarheid benut kan worden. Ofwel: Weet wat je moet doen als je geraakt wordt.
4. Werk samen met een specialistische partij die direct kan schakelen in het geval zich een incident voordoet. Je wil niet op het moment suprême nog drie partijen moeten spreken omdat de processen dat verlangen, of logs zoeken die nodig zijn om te achterhalen wat er is gebeurd. Je wil direct kunnen schakelen om de schade te kunnen beperken. Vergelijk het advies van een externe partij met inspectie van de brandveiligheid door de brandweer. Zo’n partij kan ook helpen om het bestuur te overtuigen van het belang om maatregelen te nemen.
5. Wees op de hoogte van wet- en regelgeving en weet welke stappen je moet nemen om binnen de gestelde tijd bij de juiste partijen (zoals AP, NZA, etc.) melding te doen.
6. Maak budget vrij voor de aanpak van cybersecurity én om de gevolgen van cybercriminaliteit aan te pakken. Voor een gestolen laptop kan de schade tienduizenden euro’s bedragen, alleen al doordat vanwege de Meldplicht datalekken allerlei partijen en de betrokkenen op de hoogte gesteld moeten worden.

 

FacebookTwitterLinkedinMailPrint

Lees ook

ICT vacatures in de zorg
 
Hoofdmediapartner
Mediapartners