Gisteren, 15 feb 2016, kwamen via de media twee berichten tot ons die samen een nogal explosieve situatie schetsen.

Hollywood scenario

Aan de ene kant het nieuws over het ziekenhuis in Hollywood dat getroffen is door Ransomware. Zie: http://www.csoonline.com/article/3033160/security/ransomware-takes-hollywood-hospital-offline-36m-demanded-by-attackers.html

Het incident duurt al een week, en heeft grote impact op de bedrijfsvoering. Patiënten worden verplaatst naar andere ziekenhuizen en personeel voert de administratie op papier. Een noodsituatie dus.

De aanvallers hebben besloten om een losgeldsom van 9.000 Bitcoins, omgerekend 3,6 miljoen dollar te vragen. Daaruit blijkt dat men zich ter dege bewust is dat het slachtoffer een ziekenhuis is, of de aanval zelfs gericht op dit ziekenhuis is ingezet.

Dat ziekenhuizen bovengemiddeld interessante doelwitten zijn voor cybercriminelen had ik, en met mij vele anderen, al voorspeld (zie zorgvisie.nl), maar het is toch wel weer treffend dat een scenario als dit zich in Hollywood afspeelt…

Autoriteit Persoonsgegevens vraagt aandacht

Tegelijkertijd bereikte gisteren ons het persbericht van de Autoriteit Persoonsgegevens die aandacht vraagt voor de bescherming van patiëntgegevens: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-vraagt-extra-aandacht-voor-bescherming-pati%C3%ABntgegevens

Het bericht van de autoriteit komt naar aanleiding van onderzoek naar beveiliging van persoonsgegevens bij negen zorginstellingen. Daarin concludeerde de autoriteit:

“Bij de onderzochte instellingen waren de maatregelen onvoldoende om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, GGZ-instellingen of huisartsenposten toegang hadden tot digitale patiëntendossiers en andere medewerkers dus niet.”

Kortom: de beveiliging laat te wensen over. Waar de zwakke plekken precies zitten wordt niet helemaal duidelijk. Maar dat het een dringende situatie is, mag gezien het besluit een persbericht uit te doen wel duidelijk zijn.

Explosieve situatie

Dat aan de ene kant aanvallers de zorgsector als een doelwit zien en zich ook meer en meer op de sector richten. En aan de andere kant diezelfde sector gaten laat in de beveiliging van persoonsgegevens. Die twee dingen samen vormen een groot en dringend risico.

Mijn eigen ervaring is dat, niet alleen in de zorg, er heel grote stappen gemaakt moeten worden om te voldoen aan de eis van “passende beveiliging” zoals geformuleerd in de Wet bescherming persoonsgegevens. De autoriteit heeft in richtsnoeren en beleidsregels duidelijk gemaakt wat zij verstaat onder die passende beveiliging.

Zie deze whitepaper voor een vertaling naar concrete maatregelen: https://www.dearbytes.com/wbp/ . Maar hoezeer wij ook hebben geprobeerd om een en ander behapbaar te formuleren: het blijft een behoorlijke berg werk voor de gemiddelde organisatie die ik spreek.

Babysteps

Nu zijn situaties wel vaker complex. En dus bestaan er gevleugelde gezegdes zoals “Een olifant eet je hapje voor hapje”.

Persoonlijk moet ik altijd denken aan één van de leukste films van cultheld Bill Murray: What about Bob? Babysteps! Zet kleine, redelijke doelen voor jezelf, elke dag.

En wat is de eerste stap voor security in de zorg? Doe een 0-meting om concreet vast te stellen welke zaken nog missen en welke prioriteiten er zijn.

Succes! 🙂