Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

Cybersecurity in ziekenhuizen: fabels en goede punten

In februari kwam Z-CERT met zijn jaarlijkse rapport over het dreigingsbeeld in de zorg. Net als andere sectoren heeft de zorg te maken met ransomware, datalekken, In maart volgden Kamervragen over dit onderwerp aan minister Kuipers van VWS.
Doctor Sharing Data Is Exposed To Vulnerability
Foto: leowolfert / stock.adobe.com

Regelmatig klinkt in de media dat de zorg kwetsbaar is; kwetsbaarder dan zou moeten. Laten we een aantal vaker gehoorde beweringen, zoals in dit artikel op nu.nl, over cybersecurity in de zorg eens onder de loep nemen. We hebben Raymond van den Berg, voormalig manager ICT van het HagaZiekenhuis, gevraagd om commentaar.

Ziekenhuizen lopen qua cybersecurity achter’

Tja, ten opzichte van wat? Welke organisatie loopt vóór op cybercriminelen? En wat is de maatstaf? Het is makkelijk om te zeggen dat een sector kwetsbaar is, omdat ze ‘achterlopen’, maar laten we eerlijk zijn: heel Nederland is kwetsbaar voor dezelfde dreigingen. Alleen is niet iedere sector even goed in staat zich tegen die dreigingen teweer te stellen.
Een betere stelling zou zijn: de zorg wordt extra hard geraakt door trends waar iedere sector mee te maken heeft. Budgetuitdagingen, personeelstekorten, lange wachttijden, te hoge werkdruk – cybersecurity komt daar nog eens bovenop. Dan kun je je kritisch opstellen en vragen waarom cybersecuritytrajecten enkele jaren duren, maar je kunt ook je bewondering uitspreken voor een branche die bij al die moeilijke keuzes ook cybersecurity serieus neemt.
‘Al meer dan tien jaar hebben de meeste ziekenhuizen Intrusion Detection en Intrusion Prevention goed op de agenda staan’, aldus Van den Berg. ‘Van de duizenden aanvallen bij grote ziekenhuizen komt er niet één door de poortscans. Maar het is een continue strijd die vraagt om permanente budgetallocatie in mensen, middelen en opleidingen.’

‘Ziekenhuizen voldoen niet aan NEN 7510’

Net als minstens 95 procent van de organisaties in Nederland. Het is niet direct reden om ‘code rood’ uit te roepen. We moeten accepteren dat geen enkele organisatie 100 procent beveiligd is tegen aanvallen. Normen zoals NEN 7510 bieden wél belangrijke handvatten om verbeterpunten inzichtelijker te maken, zodat ze beter geprioriteerd kunnen worden.
Dat is koren op de molen van ziekenhuizen. Hun hele vak draait om voorzichtigheid en veiligheid. In een sector waar ieder wattenstaafje wordt geteld en wordt gemonitord hoe vaak een operatiekamerdeur opengaat, snapt men ook hoe belangrijk digitale veiligheidsprocessen zijn en hoe deze werken.
‘Vele ziekenhuizen hebben ondertussen NEN 7510- en ISO 27001-certificaten, wat betekent dat risicomanagement en informatiebeveiliging binnen deze organisaties zeer volwassen is’, weet Van den Berg. ‘De stelling dat de ziekenhuizen niet aan standaarden zouden voldoen, klopt dus niet.’

‘Ict’ers in de zorg hebben onvoldoende kennis of tijd’

Een tekort aan ict’ers – en zeker securityspecialisten – is een uitdaging voor alle sectoren. De strijd om securitytalent is dus fel en ziekenhuizen moeten deze strijd met beperkte middelen aangaan. Het toptalent gaat naar goed betaalde banen in de private sector. Ondertussen werken de ict-teams binnen de zorg ontzettend hard om ondanks een tekort aan handjes de beveiliging te verbeteren. Dat zouden we moeten erkennen. Door boetes uit te delen voor datalekken wordt de IT-capaciteit binnen de zorg niet beter. Maar het helpt wel om de awareness van de gemiddelde ziekenhuismedewerker op een hoger peil te krijgen.
Het is volgens Van den Berg van belang dat organisaties goed inzicht hebben in de eigen kennis, kunde én beperkingen. ‘De meeste ict’ers zijn zich hiervan zeker bewust. Het gaat om drie stappen: weten hoe je moet foutzoeken, waar je moet foutzoeken en bovenal tot waar moet je foutzoeken. Dat laatste betekent dat op zeker moment gespecialiseerde en gecertificeerde hostingbedrijven als strategische partner ingeschakeld moeten worden. Het is ondenkbaar (en onbetaalbaar) dat je alles zelf kunt doen.’
Chief information security officers zouden daarnaast nog meer kennis moeten delen en gezamenlijk optrekken. Door het onderlinge overleg te versterken, kan het hele ziekenhuissysteem van elkaars ervaringen leren.

Veiliger IT in ziekenhuizen

We kunnen ziekenhuizen opnemen in de lijst met vitale sectoren, maar dat zorgt naast meer aandacht van onder andere het NCSC voor een waslijst aan extra eisen en noodzaak tot aanstelling van nog meer data- en privacy officers. Door gezamenlijk op te trekken creëren ziekenhuizen schaalvoordeel bij inkooponderhandelingen én betere kennisuitwisseling. Als ziekenhuizen op IT-vlak meer samenwerken, zijn ze ook beter toegerust voor overleg met de private sector en kunnen ze een sterkere positie claimen in het debat.
‘Awareness is het toverwoord’, zegt Van den Berg. ‘Zelfs als er maar enkele medewerkers binnen ziekenhuizen zijn die toch nog in phishing-mails trappen, moet aan bewustwording worden gewerkt. Wat verder kan helpen is dat ziekenhuizen hun investeringsbeleid aanpassen, door bijvoorbeeld niet iedere vijf jaar een grote investering te doen in hard- en softwaresystemen, maar met strategische partners een soort abonnementsmodel in te voeren. Hierdoor krijg je jaarlijks beter inzicht in te verwachten vaste kosten in de exploitatiebegroting en vermijd je die massale investeringen. De markt heeft het abonnementsmodel al omarmd. Ziekenhuizen zouden hierin moeten meebewegen.’
De tijd van ‘ieder voor zich’ is voorbij. Het is tijd om te erkennen dat ziekenhuizen in hetzelfde schuitje zitten als iedereen, en dat de oplossing gezamenlijk moet worden bereikt. Initiatieven zoals Z-CERT spelen daar een cruciale en bewonderenswaardige rol in.

Door: Dave Maasland, CEO bij ESET Nederland en Ludo Baauw, CEO bij Intermax Group

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.