De manier waarop we onze datastromen in de zorg hebben georganiseerd en beveiligd moeten dus op de schop. Niet alleen binnen de eigen zorgorganisatie, maar ook in zorgketens, regionaal en nationaal. Op dit moment lopen zorginstellingen namelijk al een verhoogd risico om slachtoffer te worden van cybercriminaliteit door de zwakke positie op dit terrein. Wet- en regelgeving gaat er bovendien voor zorgen dat instellingen straks met de komst van de NIS2 persoonlijk aansprakelijk gesteld gaan worden als het dan toch mis gaat in de organisatie. Zorginstellingen werken hard om te voldoen aan de NEN7510 en andere certificeringen, maar alle op stapel liggende plannen gaan ervoor zorgen dat er nieuwe gaten gaan vallen in het broze niveau van security dat er momenteel in de zorg is. Nu beter voorbereiden op veilige data en zorgen voor een hoger volwassenheidsniveau helpt organisaties klaar te zijn voor alle veranderingen die eraan gaan komen. Hoe kunnen zorginstellingen die transformatie inzetten met integrale cyber control?

Cybersecurity wordt steeds groter en complexer

De dreiging en impact van ransomware-incidenten in de zorg wordt steeds groter. Dit komt doordat zorginstellingen steeds vaker gegevens uitwisselen, waardoor vaak meerdere instellingen in één aanval geraakt worden. Naast dat dreigingen ingewikkelder worden, groeit de wet- en regelgeving navenant mee. De Wet Digitale Overheid, die recent is aangenomen, zorgt voor extra complexiteit rondom toegang tot digitale dienstverlening en gaat al in op 1 juli 2023. IGJ stelt dat ziekenhuizen eind 2023 aantoonbaar moeten voldoen aan de NEN7510-norm, die informatiebeveiligingsmaatregelen speciaal voor de zorg- en welzijnssector bevat. Ook treedt de NIS2 in oktober 2024 in werking. Deze zorgt ook voor een aanscherping en verbreding van regels rondom de scope van sectoren, handhaving van de wet en strengere sancties.

Integrale cybersecurity control

Organisaties implementeren steeds meer maatregelen op het gebied van cybersecurity. Dit blijkt voor veel zorginstellingen echter een lastige klus. De verschillende normen en kaders, maar ook wet- en regelgeving, bevatten overlap in de uit te voeren risicoanalyses en de te implementeren maatregelen. Door  fragmentarisch te kijken zien we in de praktijk dat dubbel werk wordt geleverd en zorginstellingen het overzicht verliezen.  Het is daarom voor organisaties  van belang meer vanuit een overstijgend perspectief te reflecteren op cybersecurity en met een doel voor ogen te opereren. Dit kunnen zij doen door hun cyber control te baseren op een integraal cybercontrol framework. Dit framework is een set aan maatregelen die de volledige weerbaarheid van zorgorganisaties verbetert. Het zorgt ervoor dat alle aspecten van cybersecurity binnen de organisatie worden afgedekt, de cybersecurity efficiënt is ingericht en aansluit bij de prioriteiten van het zorgproces en de organisatie voldoet aan vigerende wet- en regelgeving.

Integraal cybercontrol framework

Een integraal cyber control framework ontwikkelen omvat vier stappen. Te beginnen  met een fundament: het kiezen van een bestaand, veelgebruikt framework, die de basis legt voor het integrale cyber control framework, zoals het CIS en NIST framework.

Stap twee is het kiezen van de maatregelen en de verbinding maken met de geldende normen en de werkwijze binnen de eigen organisatie. Dit geeft een praktische toepassing aan de richtlijn en noemen we de controls.  Dit omvat zowel digitale als fysieke beheersmaatregelen, zoals het verplichten van wachtwoorden voor accounts, het inzetten van beveiligingscamera’s en het opzetten van toegangsbeleid.

Om de controls beter aan te laten sluiten aan de behoeften van de organisatie, kan het fundament worden uitgebreid met twee belangrijke onderdelen. Allereerst, het verbinden van de beheersmaatregelen aan relevante wet- en regelgeving. Hierdoor ontstaat inzicht in hoeverre de cybersecurityorganisatie daaraan voldoet. Ook kan de praktische toepassing worden bepaald. Elke zorgorganisatie is anders en heeft andere prioritering. Door een risicoanalyse uit te voeren op de totale groep aan maatregelen wordt zichtbaar welkemaatregelen zijn verbonden aan de kritieke processen en geprioriteerd moeten worden. Deze beheersmaatregelen krijgen in de totale lijst aan maatregelen een zwaarder gewicht toegekend. Na deze stappen ontstaat  een overzicht van de meest relevante beheersmaatregelen  die alle belangrijke aspecten afdekt: een integraal cybersecurity control framework. Vervolgens moet een plan worden ontwikkeld voor het bewegen naar de gewenste volwassenheid. Dit ook worden gebruikt als een verantwoording richting toezichthouders, om het ontwikkelproces aan te kunnen tonen. Als laatst volgt de implementatie, die op dit punt is vergemakkelijkt door de goede voorbereiding.

Veilige zorg door integrale cybercontrol

In de zorg draait alles om kennis en informatie, en het is een belangrijke verantwoordelijkheid van de bestuurder om daar zorgvuldig mee om te gaan. Met aankomende wet- en regelgeving en de toenemende dreiging is het van belang deze informatie beter te beschermen en daarmee  cybersecurity zo snel mogelijk in te richten. De belangrijkste tip hierbij is om het verhogen van de weerbaarheid in de organisatie niet fragmentarisch aan te pakken, maar een implementatieplan te ontwikkelen die toewerkt naar integrale cybercontrol. Door cybercontrol integraal aan te pakken, is dit thema niet langer een moetje vanuit wet- en regelgeving, maar nemen zorginstellingen zelf de regie. Nu en in de toekomst. Hiermee blijft de zorg voor patiënten en cliënten bij in veilige handen.

Jeroen Geelhoed, Julia Sendula, Margriet Martin