Informatieveiligheid zorg zorgwekkend

Informatieveiligheid zorg zorgwekkend

DearBytesBlogMalware/ransomwareInformatieveiligheid zorg zorgwekkend

vrijdag 24 maart 2017

De zorg is een bijzondere sector als het gaat om informatieveiligheid. Een van de weinige sectoren die elke dag met écht vertrouwelijke gegevens werkt. En het is een sector die voortdurend worstelt met de juiste balans tussen toegankelijkheid en veiligheid van informatie. Het is dan ook niet vreemd dat deze ‘balanceer-act’ nogal eens misgaat. Zo maakte de Autoriteit Persoonsgegevens eind 2016 bekend dat Nederlandse ziekenhuizen sinds het in werking treden van de meldplicht, 304 keer melding hebben gemaakt van het verlies van privacygevoelige informatie. Het Rathenau-onderzoek dat op 2 maart 2017 verscheen, concludeert dat in de zorg vaak een gebrek aan bewustwording en beveiligingsmaatregelen bestaat.

Patiëntveiligheid is in de zorg vanzelfsprekend, informatieveiligheid niet. Want, zo is vaak de redenering, wat valt er bij een zorginstelling te halen voor een cybercrimineel? Natuurlijk beheert zo’n instelling gevoelige gegevens die niet in verkeerde handen (zorgverzekeraar, werkgever) moeten komen, maar wat moet een cybercrimineel met die data? Er is immers geen geld mee te verdienen. Dat was in het verleden misschien wel waar, maar nu zeker niet meer. Gestolen identiteiten worden voor grof geld verhandeld op de zwarte markt. Maar los van de waarde van data: we kennen de voorbeelden van ziekenhuizen die door een aanval met ransomware (deels) waren platgelegd of waar operaties moesten worden uitgesteld. Dan gaat het niet alleen meer om informatieveiligheid, hier is ook de patiëntveiligheid in gevaar gekomen. Een luid en duidelijk signaal om de informatieveiligheid goed aan te pakken.

Nu is dit al zo vaak gezegd. Desondanks <a href=”https://www.dearbytes.com/blog/rathenau-dearbytes-hacktest/”>concludeert Rathenau</a> gebrek aan bewustwording en beveiligingsmaatregelen. Bovendien wordt de zorg tot de vitale sectoren gerekend, waar cyberaanvallen tot vergaande uitval kunnen leiden, met maatschappelijke ontwrichting tot gevolgd. Het is dan ook niet voor niets dat de zorg, in navolging van de Rijksoverheid, een eigen Computer Emergency Response Team (CERT) krijgt. Dit Z-CERT heeft tot doel ervoor te zorgen dat in geval van een aanval alles zo veel mogelijk blijft draaien, zodat de veiligheid en continuïteit van de zorg binnen getroffen ziekenhuizen gewaarborgd is. Zeer nuttig, zo’n CERT, maar aan de fundamentele issues verandert er vooralsnog niets.

Mijn ervaring is dat de zorg onderhand echt wel weet dat er ‘iets’ moet gebeuren aan de informatieveiligheid. Ik zie zelfs paniek: wat moeten we nu doen? Want zoals Rathenau signaleert: er is weinig securitykennis. En dat in een sector die veel liever ziet dat het geld naar de zorg gaat dan naar security. Bewustwording is niet van de ene dag op de andere verbeterd, het kost hoe dan ook tijd.

Wat wel kan is onmiddellijk beveiligingsmaatregelen nemen. Nu dus! Echt: je kunt vandaag starten met het implementeren van doeltreffende maatregelen. Het is niet nodig om eerst een omvangrijk beleidsplan te maken of peperdure ‘allesomvattende’ beveiligingsoplossingen te selecteren. Houdt het allereerst eens simpel en leer gaandeweg volgende verbeterpunten. Mijn advies: focus op een duidelijk en groot gevaar: malware/ransomware. Bestrijding van die dreiging vraagt om een samenspel van mensen, processen en techniek. Gericht op het voorkomen van incidenten, of incidenten desnoods tijdig te detecteren en adequaat op te lossen. Kies voor een dienstverlener die in dat hele spel kan bijstaan en samen met u een proces van doorlopende verbetering activeert. In de daarop volgende fasen kan de security verder worden verbeterd en up-to-date worden gehouden. Daarbij is cruciaal dat alles in balans blijft. Want security die de zorg in de weg zit, werkt niet!