#1: ‘Ach, wat valt er nou bij onze zorgorganisatie te halen?’
Antwoord: ‘Meer dan je denkt. Het gaat hackers niet om medische informatie, maar om persoonsgegevens. Met een naam, adres en BSN-nummer is identiteitsfraude een fluitje van cent. Zo kunnen kwaadwillenden op andermans naam artikelen aanschaffen, auto’s of huizen huren en enorme financiële schade aanrichten.’
Advies: ‘Ook voor kleine zorgorganisaties, organisaties die hun data in de cloud bewaren of organisaties die hun systeem aan andere systemen hebben gekoppeld, geldt: jouw data zijn jouw verantwoordelijkheid. Roep de hulp in van een specialist in cybersecurity om je netwerk goed in te richten. Het hoeft niet veel te kosten, maar dan zijn je data wel veilig.’
#2: Ik heb bitcoins betaald aan een hacker die onze data heeft gegijzeld. Kunnen jullie hem opsporen en het geld terughalen?
Antwoord: ‘Nee, dat kan niet. De bank en politie hebben een opsporingsbevoegdheid tot aan de landsgrens. De huidige wetgeving is nog niet in lijn met wat er digitaal gebeurt. Dat betekent dat een hacker die opereert vanuit het buitenland, of vanuit Nederland maar via een buitenlandse server, vrij spel heeft. Zeker als het om een relatief klein bedrag gaat van een paar duizend euro.’
Advies: ‘Niet betalen. Investeer liever in het maken van een dagelijkse back-up, zodat je bij een gijzel-actie gewoon verder kunt met een nieuwe computer. En zorg voor een lang wachtwoord, bijvoorbeeld een zin of een liedje. Lange wachtwoorden zijn wel te kraken, maar het vergt meer tijd. Dan kijkt de hacker al snel een deurtje verder.’
#3: Onze organisatie wil overstappen op ‘Bring Your Own Device’. Is dat verstandig?
Antwoord: ‘Ja en nee. BYOD kan voordelen bieden: mensen werken op hun eigen vertrouwde apparaten, hoeven niet twee laptops of telefoons bij zich te hebben en het kan aanzienlijke kostenbesparingen opleveren. Anderzijds heeft de ICT dan geen idee meer van wat er binnenkomt op het netwerk, bijvoorbeeld omdat een medewerker inlogt met een besmette laptop.’
Advies: ‘Op de OK kom je alleen als je hygiëne-maatregelen in acht neemt. Voor binnenkomen op het netwerk moet hetzelfde gelden. En daar zijn mogelijkheden voor: zo biedt Tesorion technologie die 24/7 in een split second checkt of het apparaat bekend is en schoon. Is dat niet het geval, dan krijgt het geen toegang.’
#4: Waarom moet ik weten wat er allemaal op mijn netwerk gebeurt?
Antwoord: ‘Als je inzicht hebt, kun je daar beter en efficiënter op handelen. Een academisch ziekenhuis, waar veel wetenschappelijk onderzoek plaatsvindt, is bijvoorbeeld een interessant doelwit voor spionage door meeglurende hackers. Verder wil je virussen en malware zo snel mogelijk van je netwerk af hebben.’
Advies: ‘Zorg dat je weet wie en wat er op je netwerk zit. Zo draaien oude apparaten vaak op software die niet meer up-to-date wordt gehouden. Maak van die apparaten een inventarisatie. Soms zijn ze toe aan vervanging, of kun je ze loskoppelen van het netwerk. Of je accepteert ze als risico, maar dan weet je waar de kwetsbaarheden zitten.’
#5: Als het netwerk uitvalt, is dat toch de verantwoordelijkheid van de afdeling ICT?
Antwoord: ‘Totdat er geen operaties meer kunnen plaatsvinden, patiënten niet kunnen worden in- of uitgecheckt en alles plat gaat. Dan gaat het om reputatie en bedrijfscontinuïteit, en is het opeens een zaak voor de raad van bestuur.’
Advies: ‘Houd net als de jaarlijkse brandoefening, ook een cybercrisis-oefening. Van zo’n rampoefening valt veel te leren. Voor de IT, maar ook voor de zorgverleners, het management en de woordvoering. Die moet professioneel zijn. Je organisatie moet kunnen uitleggen wat er aan de hand is en risico’s kunnen inschatten. Zeker grote ziekenhuizen en zorginstellingen dienen tenslotte een publiek belang.’
