EPD's, bewakingssystemen, geautomatiseerde incheckbalies en zorg op afstand zijn slechts enkele praktijkvoorbeelden van ICT-toepassingen in medische instellingen. Terwijl deze toepassingen betere en efficiëntere zorg mogelijk maken, vormen zij ook extra risico’s en uitdagingen. Cybercriminelen vinden namelijk steeds vaker een weg naar binnen bij medische instellingen via deze ICT-toepassingen. Omdat medische instellingen altijd zorg moeten kunnen bieden, moeten ze als kritieke infrastructuur gaan voldoen aan de nieuwe Europese richtlijn (NIS2) die de regelgeving op het gebied van cybersecurity aanscherpt.
De laatste jaren zien we een toename van toepassingen op het gebied van IoT (Internet of Things) en IoMT (Internet of Medical Things) binnen de gezondheidszorg. Bij IoT en IoMT gaat het om alle (medische) apparaten die via een netwerk met elkaar zijn verbonden. Voorbeelden van IoMT zijn robotchirurgie, zorg op afstand, draagbare medische apparaten en geautomatiseerde toediening van medicijnen. Biomedische apparaten, zoals infuuspompen, ventilatoren en crash carts die wifi of bluetooth gebruiken tellen ook mee als IoMT-apparaat.
Volgens onderzoek van Juniper Research zullen ziekenhuizen tegen 2026 meer dan 7 miljoen IoMT-apparaten in gebruik hebben. Dat is meer dan een verdubbeling ten opzichte van 2021. Kijken we echter naar de beveiliging van deze IoT- en IoMT- apparaten, dan blijkt dit niet altijd goed geregeld te zijn. Dat komt bijvoorbeeld omdat het niet altijd mogelijk is om van deze apparaten het besturingssysteem of de firmware te updaten. Ook het op afstand beheren behoort niet altijd tot de mogelijkheden. Dit zorgt voor een inconsistente beveiliging en dat maakt organisaties in de gezondheidszorg tot ideaal doelwit voor cybercriminelen.
Gaten in de beveiliging door IoT
Medische apparaten maken een instelling kwetsbaar. Deze apparatuur is ontworpen om de patiënt van dienst te zijn en de nadruk ligt op een correcte en betrouwbare werking. Bij Armis zien we dat het aspect beveiliging vaak te weinig aandacht krijgt en hierdoor ontstaan risico’s.
Vanwege de hoge kosten blijven zorginstellingen met medische apparatuur werken die geen ondersteuning meer krijgen van de fabrikant zoals garanties, patches of updates. Dit is vroeg of laat vragen om problemen. Zwakheden in het besturingssysteem of in de firmware worden dan niet meer verholpen. Zo ontstaan gaten in de beveiliging waar cybercriminelen misbruik van kunnen maken aangezien ze vaak genoeg hebben aan een enkel slecht of niet-beveiligd apparaat om toegang tot een netwerk te krijgen.
Waar ligt verantwoordelijkheid
Maar goed, wie is er dan verantwoordelijk? Bij medische instellingen maken we onderscheid tussen de reguliere IT en klinische technische workflows. De teams voor Healthcare Technology Management (HTM) houden zich primair bezig met alles rondom de werking van medische apparaten, terwijl de traditionele IT-teams zich meer richten op algemeen technisch beheer en informatiebeveiliging. De twee teams benaderen systemen voor Computerized Maintenance Management System (CMMS) en activatiebeheersystemen op verschillende manieren. Ze gebruiken verschillende kennisbanken en terminologie en er is sprake van beperkte interactie tussen de teams. Zo ontstaan risico’s bij de beveiliging van medisch apparatuur.
Bij het ontwikkelen van een effectieve cyberstrategie moeten HTM- en IT-teams daarom hun kennis bundelen en uitwisselen. Ze moeten een gezamenlijke terminologie ontwikkelingen en samenwerken om de cyberveiligheid te verbeteren. De eindverantwoordelijkheid komt dan te liggen bij een gezamenlijke Chief Information Officer (CIO), die beide teams kan aansturen en kan laten samenwerken.
Naast het bevorderen van de samenwerking tussen verschillende teams is het ook van belang dat we realtime inzicht hebben in alle gebruikte hardware en applicaties in de medische instellingen. De kwetsbaarheden moeten vroegtijdig bekend zijn en organisaties moeten in staat zijn om deze via upgrades en patches te elimineren. Tevens moeten ze een overzicht van actuele en latente cyberdreigingen hebben.
Inzicht in het IT-landschap
De beveiliging van kritieke infrastructuren is Europees een belangrijk onderwerp op de agenda. In mei 2022 is de Europese Commissie akkoord gegaan met NIS2, die geldt voor aanbieders van kritieke infrastructuur, zoals ziekenhuizen en andere zorginstellingen. NIS2 is een Europese richtlijn die de regelgeving op het gebied van cybersecurity aanscherpt, maar zal voor maart 2025 worden omgezet naar de Nederlandse wetgeving. In dat geval zijn zorginstellingen verplicht om te voldoen aan de NEN7510, een door het Nederlands Normalisatie-instituut ontwikkelde norm voor informatiebeveiliging voor de zorgsector in Nederland.
Medische instellingen kunnen daarnaast een beroep doen op het Center for Internet Security (CIS) dat 18 critical security controls uitvoert voor het optimaliseren van het volledige netwerk van het bedrijf tegen cyberdreigingen. De eerste CIS-controle is de inventarisatie en controle van alle apparaten, waaronder IoT en IoMT en overige medische apparatuur.
Ook kunnen medische instellingen het CVE (Common Vulnerabilities and Exposures) programma gebruiken om hun cybersecurity verder te verbeteren. Het gaat hier om een openbare lijst met bekende kwetsbaarheden in computersystemen, code en software. CVE-kennis helpt teams in de gezondheidszorg om nieuwe technologieën en verbonden systemen veilig in te zetten en te beheren.
De samenwerking tussen teams en het naleven van NIS2 verbeteren de bescherming van de gezondheidszorg. Belangrijk is dat instellingen een overzicht van actuele en latente cyberdreigingen hebben. Alleen door het volledig visualiseren van het IT-landschap kunnen medische organisaties zich wapenen tegen alle cyberdreigingen.