Een gestructureerde aanpak voor betere cybersecurity in de zorg
Onlangs hebben we, voor het tweede opeenvolgende jaar, verschillende ziekenhuizen in Europa gevraagd naar de staat van hun beveiliging van medische apparatuur. Het verrassendst was niet dat er zaken voor verbetering vatbaar zijn (dat is inherent aan het hoge tempo van digitalisering), maar dat men aangaf niet over relevante stuurinformatie te beschikken of niet te weten of ze die informatie hebben.
Om het een en ander in perspectief te plaatsen een paar vragen die iedere financial in de zorg vermoedelijk vrij gemakkelijk kan beantwoorden: Hoeveel bedden telt uw zorginstelling? Wat is de bezettingsgraad van die bedden? En van de operatiekamers? Hoeveel patiënten worden er per dag/week/jaar opgenomen, en hoeveel verlaten uw instelling levend? Grote kans dat u al deze getallen binnen 5% à 10% kunt benaderen zonder ze te hoeven opzoeken.
Maar kent hij/zij, vanuit risicoperspectief, ook de antwoorden op de volgende vragen?
- Hoeveel medische apparaten zijn er op het netwerk aangesloten? Zijn deze voorzien van de laatste patches?
- Wie heeft er toegang tot patiëntgegevens, wanneer en hoe? Verschilt dit voor interne/externe toegang? Hoeveel koppelingen met externe systemen/partijen telt uw instelling?
- Hoeveel besef hebben medewerkers binnen uw zorginstelling van de risico’s op het gebied van informatiebeveiliging en privacy?
- Hoeveel wordt er geïnvesteerd in innovatie en security?
De praktijk leert ons dat de tweede set vragen vaak aanzienlijk moeilijker te beantwoorden is. Dit is wat ons betreft logisch, de kerntaak van de meeste mensen in een zorginstelling is ‘mensen beter maken’ of ‘mensen verzorgen’. Toch zijn ondersteunende diensten net zo belangrijk als uitvoerende. Een ziekenhuis zonder apotheek kan geen medicijnen verstrekken, een instelling die niet genoeg geld binnenkrijgt kan de gemeenschap niet lang helpen, en als een behandelaar geen toegang krijgt tot medische gegevens kan hij/zij de patiënt niet de juiste zorg bieden.
De IT-afdeling: die is toch alleen maar lastig?
Net als bovengenoemde ondersteunende diensten, die bij gespecialiseerde personen zijn belegd, worden informatievoorziening en informatiebeveiliging meestal door een separate afdeling opgepakt die hiervoor de benodigde kennis in huis heeft. Dat is noodzakelijk, maar voor de overige medewerkers van een zorginstelling vaak ook ver van het bed – in de praktijk wordt vaak een gat ervaren tussen de doelstelling en belevingswereld van de IT-afdeling en die van de zorgprofessionals.
Een veelgehoord punt is ook dat de IT-afdeling altijd maar moeilijk doet als iemand een ‘nieuw’ programma of ‘nieuwe’ applicatie wil gebruiken. Dit is een praktisch voorbeeld van een moment waarop de uitoefening van zorgtaken schuurt met de beschermende taak van de IT-afdeling om het ziekenhuis niet bloot te stellen aan applicaties die bijvoorbeeld een datalek veroorzaken of, erger nog, hele afdelingen kunnen platleggen. Deze bedreigingen zijn zeker niet denkbeeldig: denk bijvoorbeeld ook aan applicaties die gevoelige persoonsgegevens zouden ‘delen’ met derde partijen, zoals recentelijk veel in het nieuws is geweest. Het overbrengen van een informatiebeveiligingsboodschap binnen een zorginstelling blijft dus lastig, maar bestrijdt in feite eenzelfde soort verspilling als een arts die onnodig veel medicatie voorschrijft, een verpleegkundige die onnodig veel consumables verbruikt, of een controller die de organisatie meer kost dan de declaraties die hij goedkeurt. In al deze gevallen is een meer gedisciplineerde en bewuste eindgebruiker effectiever en efficiënter dan controle of constatering achteraf.
Een gestructureerde aanpak maakt het verschil tussen chaos en vertrouwen
Ook in de informatiebeveiliging zijn er veel dingen die iedere medewerker van een zorginstelling zelf kan doen, en die zijn meestal gemakkelijker en goedkoper dan regels van hogerhand opleggen. Het inzichtelijk maken van deze maatregelen met behulp van een framework voorkomt dat bepaalde invalshoeken over het hoofd worden gezien, en laat tevens zien waar het juist vaak misgaat. Aan de hand van prevent-detect-pro- tect-respond-recover lichten we toe wat er vaak misgaat, hoe dat aangepakt kan worden, en hoeveel je kunt besparen door dit te doen voordat het misgaat.
Prevent – Voorkomen is beter dan genezen
De allerbelangrijkste en allergoedkoopste maatregel, maar ook een van de moeilijkste, is awareness (‘beveiligingsbewustzijn’) creëren bij gebruikers en medewerkers binnen de gehele instelling – van receptie tot arts en van kantinemedewerker tot directie. Door middel van trainingen, campagnes, simulaties of zelfs games kunnen we hen op een veilige manier laten kennismaken met bijvoorbeeld phishing (nep-mails om gegevens te verkrijgen voor oneigenlijk gebruik, de eerste stap in bijna alle moderne hacks) en andere technieken die hackers op ze zouden kunnen loslaten. De kosten zijn beperkt, de opbrengsten van grote waarde voor de beveiliging van zorginformatie.
Detect – Moeilijk maar effectief
We zullen er niet omheen draaien, het detecteren van een hacker op je netwerk is moeilijk. Daarbij komt dat de waarschijnlijkheid van een hack meestal niet zo groot is, maar de impact vaak wel. Detectiemaatregelen brengen vaak ook ongeoorloofd gedrag van insiders aan het licht, en dragen zo bij aan compliance binnenshuis. Detectiemaatregelen kunnen bijvoorbeeld logins op rare tijden of vanaf vreemde plaatsen opmerken, extreem veel databevragingen detecteren, of complexere patronen herkennen of zelfs leren herkennen. Maar vergeet ook de virusscanner niet: de recente golf van cryptolockers, software die data ‘gijzelt’ en pas vrijgeeft na betaling van losgeld, herinnert ons aan het nut van deze maatregel.
Protect – De echt technische maatregelen komen (pas) hier in beeld
Wanneer een aanvaller ongemerkt binnenkomt, komen de klassieke beveiligingsmaatregelen in beeld. De basis bestaat hier bijvoorbeeld uit firewallinstellingen, het automatisch blokkeren van accounts na een aantal verkeerde wachtwoordpogingen, en het niet toestaan van zelf meegebrachte USB-sticks. Wederom geldt dat de goedkoopste maatregelen de ‘basishygiëne’ op securitygebied vormen; de duurdere of ingewikkeldere maatregelen vormen hier een aanvulling op. Anders gezegd: de deursloten van je auto voorkomen dat een dief je auto in komt; pas als de dief zich toegang tot je auto heeft verschaft heeft (duurdere) startblokkering nut om alsnog diefstal van je auto te voorkomen.
Respond – Hoe reageren we op een incident?
Wanneer zich een aanval voordoet (zoals een informatiebeveiligingsincident of hack), kun je er nog steeds iets aan doen – gesteld dat je detectiemaatregelen het incident opmerken. In een ziekenhuissetting kan het bijvoorbeeld opportuun zijn om bepaalde apparatuur los te (kunnen) koppelen van het netwerk tijdens een calamiteit, zodat die apparatuur buiten schot blijft. Het in huis hebben van de kennis om met minimale onderbreking van de zorgtaken te reageren op een aanval of virusbesmetting is een kenmerk van een organisatie die zijn security incident management onder controle heeft.
Recover – Wat gaan we er nu aan doen?
Wanneer een incident heeft plaatsgevonden, mag zeker een zorginstelling zich er niet door uit het veld laten slaan. Backups van data zijn onmisbaar, en kunnen worden ingeregeld zonder dat de eindgebruiker er omkijken naar heeft. Ook aan reserve-hardware moet worden gedacht, evenals aan procedures om daarnaar over te schakelen zodat bij een incident snel de oorspronkelijke situatie weer bereikt kan worden. Stel daarnaast een procedure in die de evaluatie van het incident beschrijft, met als doel een dergelijk incident in de toekomst te voorkomen.
Informatiebeveiliging: bijdragen aan de zorgkwaliteit door het wegnemen van zorgen
Informatiebeveiliging is een vak. Een vak dat voor gebruikers soms lijkt te bestaan uit checklists. Hoe zorg je dat je IT de zorgtaken optimaal ondersteunt? Het voor de hand liggende antwoord is het bepalen van je prioriteiten op basis van de hoeveelheid moeite die iets kost, en de (waardering van de) risico’s die je ermee afdekt. Zoals we hierboven al schreven, komt ook dan voorkomen goedkoper uit de bus dan genezen. In jargon: beveiligingsbewustzijn is het sleutelwoord om mee te starten. Het bewust nadenken over beveiliging is belangrijk voor alle functies in de instelling.
Natuurlijk is het risicovol als je ziet dat een arts zijn wachtwoord met een post-it aan het beeldscherm bevestigt zodat de verpleegkundigen altijd bij de patiëntgegevens kunnen, maar iedereen in het gebouw draagt bij aan (on)veiligheid. Zeker ook financials zijn prime targets voor criminelen met financiële motieven. Voor een vaardig aanvaller kan één klik op een spear phishing-mail (een nepmail die afkomstig lijkt te zijn van een persoon of onderneming die u kent) al genoeg zijn. Alle medewerkers binnen de organisatie moeten binnen hun mogelijkheden alert zijn op oneigenlijkheden en mogelijke incidenten binnen informatiebeveiliging.
In het voorkómen van kwetsbaarheden in de cyberspace van een zorginstelling zijn juist ondersteunende functies als financials van onschatbare waarde. Zij kunnen immers de impact van security duiden en in context plaatsen. Zij kunnen ook de push van awareness naar medische professionals faciliteren, en de vervolgstappen (awareness alleen is natuurlijk niet genoeg) prioriteren en op de agenda van bestuurders krijgen.
Als beveiligingsspecialisten in de zorg roepen we weleens dat het ontzorgen van de zorg onze eerste prioriteit is. Het is een cliché, maar het is wel waar. Een zorginstelling die zijn basis op orde heeft (hygiëne, HR, financiële zaken, IT, informatiebeveiliging, enzovoort) heeft zijn handen vrij om zijn primaire taken vorm te geven: mensen genezen of verzorgen. Helpt u hieraan mee?
Gerelateerd: ZorgTech innovatie heeft baat bij security & privacy by design.
Een artikel van Joost Boele (cyber security adviseur Deloitte) en Rob Peters (Founder Assuring Medical Apps Deloitte). Dit artikel is eerder geplaatst in HEADline, de relatiemagazine van HEAD, de beroepsvereniging van en voor financials en hoger opgeleiden in financiële functies in de zorg.