Voorafgaand wilde dagvoorzitter Jesper Rijpma op het Congres Data & Security in de Zorg, op 8 oktober jl., nog wel even zeggen dat er ‘een speciale plaats in de hel’ bestaat voor hackers die een kinderziekenhuis aanvallen. En toch moet ook een instelling als het Prinses Máxima Centrum voor kinderoncologie uiterst alert zijn op de digitale veiligheid. Dat bleek uit het interview van Esther Hovenkamp, security specialist van IT-dienstverlener Conscia, met Ronald Westerveen, chief information security officer (CISO) van het Prinses Máxima Centrum. “Het aantal aanvallen op grote instellingen is enorm, daar hebben mensen vaak geen idee van,” zei Westerveen. “En het maakt hackers helemaal niets uit of het een groot bedrijf is of een ziekenhuis, als er maar iets te halen is.”

Risicospreiding

Jurist Westerveen heeft een achtergrond als consultant op het gebied van informatiebeveiliging en privacy, onder andere in de financiële sector. Volgens hem kan de zorg als het gaat om digitale veiligheid nog wel wat leren van de ervaringen in andere branches. Bijvoorbeeld over het belang van risicospreiding en onderlinge coördinatie. “Stel dat de Nederlandse ziekenhuizen voor hun digitale veiligheid allemaal aankloppen bij dezelfde aanbieder. Als er dan een aanval plaatsvindt op de systemen en de IT-dienstverlener reageert te laat, liggen alle ziekenhuizen plat. Zo’n scenario moet je voorkomen.”

In een wereld waarin alles en iedereen digitaal is verbonden, lopen natuurlijk alle grote bedrijven, instellingen en organisaties het risico van een hack of een digitale aanval – of de indringers nu uit zijn op geld, sabotage of nog iets anders. Dat medische en andere privacygevoelige informatie over patiënten goed beveiligd moet zijn, spreekt voor een zorgorganisatie dan ook vanzelf. Maar daarnaast kun je als instelling ook nog specifieke kenmerken hebben die je blootstellen aan een bepaald soort vijandige indringers, zoals publiciteitsopwekkende aanvallen, een organisatie misbruiken om desinformatie te verspreiden, het ontwrichten van de samenleving door op niet verwachte plaatsen toe te slaan, etc.

Gespecialiseerde partij

Ook als je, zoals de meeste grote zorginstellingen, een gespecialiseerde partij hebt ingeschakeld voor de digitale veiligheid, moet je als organisatie voortdurend alert blijven, benadrukte Westerveen. En daar gaat het nog wel een mis, want op één of andere manier denken mensen soms dat het probleem van databeveiliging van hun bordje is zodra ze het hebben uitbesteed. “Het zijn nog steeds jouw data, dus jij bent verantwoordelijk,” bezwoor Westerveen. “Als CISO wil ik precies weten welke applicaties onze IT-dienstverlener Conscia gebruikt, en of die voor ons ziekenhuis relevant en geschikt zijn. Ik zoek alles helemaal uit. Welke data slaan ze op? Hoe slaan ze het op? Dat soort essentiële zaken moet je weten als zorginstelling.”

Zorgorganisaties moeten ook beseffen dat de digitale dreiging bijzonder dynamisch en onvoorspelbaar is, vulde Esther Hovenkamp van Conscia aan. Conscia, dat o.a. de cyber security voor het Prinses Máxima Centrum verzorgt, ziet hackers die steeds georganiseerder, geraffineerder en vooral ook sneller toeslaan. Vijf jaar geleden had je als IT-beveiliging nog een paar uur de tijd om een lek te dichten voordat een indringer het kon exploiteren; nu is het vaak een kwestie van minuten. En hackers zijn ook ’s nachts actief, en in het weekend. Wat betekent dat de cyber security-partner van een ziekenhuis of een andere grote instelling net als Conscia 24 uur-dienstverlening moet bieden.

Tijdig signaleren

Misschien mede doordat digitale veiligheid zogezegd een onzichtbaar probleem is, kunnen veel mensen zich maar moeilijk een voorstelling maken van de omvang en aard ervan. Na een grote cyberaanval van pro-Russische hackers op de haven van Antwerpen, hoorde Westerveen een woordvoerder van de haven van Rotterdam zeggen dat ‘het nu wel heel dichtbij komt’. Terwijl hackers zich natuurlijk helemaal niets aantrekken van landsgrenzen of geografische nabijheid. In die context is het niet realistisch om alle aanvallen tegen te houden. Maar je kunt het wel tijdig signaleren als ‘ze’ binnen zijn, en dan onmiddellijk maatregelen nemen.

Een goede IT-beveiligingspartner is daarbij cruciaal, aldus Westerveen. In de eerste plaats natuurlijk omdat een gespecialiseerde partij beschikt over kennis en expertise die een ziekenhuis als het Prinses Máxima Centrum nu eenmaal niet in huis heeft. Maar ook omdat een multinationale IT-dienstverlener als Conscia het overzicht heeft van digitale dreigingen wereldwijd. “Wij zien alleen wat er in ons ziekenhuis gebeurt, maar Conscia overziet het veld,” aldus Westerveen. “Zij signaleren het direct als er een aanval is in bijvoorbeeld Italië of de VS, en zodra ze weten hoe die specifieke groep hackers te werk is gegaan, kunnen ze bij ons de deur dicht doen.”

Strategisch vraagstuk

Met het toenemende belang van digitale veiligheid is ook de rol van de CISO veranderd, zei Westerveen. “Voorheen viel de CISO vaak onder de IT-afdeling. Maar cyber security en dataveiligheid is in wezen geen IT-vraagstuk maar een strategisch vraagstuk. Hoe gaan we nu en in de toekomst om met onze data? Wat zijn de consequenties van de komende wet- en regelgeving voor onze digitale veiligheid?”

In die strategische rol schetst Westerveen het digitale landschap voor zijn Raad van Bestuur, en doet hij regelmatig voorstellen om de digitale veiligheid van het Prinses Máxima Centrum verder te verbeteren. Uiteindelijk heeft de RvB hierin het laatste woord, maar, besloot Westerveen lachend, “uiteindelijk gaat het (voor de organisatie) om de afweging van belangen tussen onder meer die van de voortgang en ontwikkeling van (het doel van) de organisatie, de te leveren inspanning, het beslag op resources, het risico wat gelopen wordt, etc.