Awareness informatiebeveiliging en privacy: mens als zwakste schakel

ma 16 april 2018
Awareness informatiebeveiliging en privacy: mens als zwakste schakel
Security

Nu onze samenleving vergrijst en het zorgsysteem onder druk staat, worden digitale zorgoplossingen steeds belangrijker. Relatief simpele handelingen zoals hartfilmpjes maken of bloeddruk meten kunnen al op afstand worden uitgevoerd. De patiënt wordt zelfstandiger, de kosten dalen en de hoeveelheid data over patiënten groeit. Maar hoe goed zijn die data beveiligd? Wat betekent de Algemene verordening gegevensbescherming (AVG) voor zorgaanbieders? Wat kan er fout gaan – zoals via medewerkers of patiënten – en hoe kunt u het bewustzijn verbeteren?

Elke betrokken zorgverlener wil graag een zo volledig mogelijk (ziekte)beeld van de patiënt. Om dit mogelijk te maken, worden steeds meer gegevens van patiënten digitaal geregistreerd en opgeslagen. Zo groeit automatisch de vraag naar hergebruik, uitwisselen en verwijderen van data. Door de decentralisatie van zorg groeit ook het aantal partijen dat bij een patiënt is betrokken – zoals huisarts, specialist, wijkverpleegkundigen en mantelzorgers. Al deze partijen én de patiënt willen graag toegang tot de data en maken hiervoor gebruik van verschillende softwareleveranciers. Daardoor neemt het aantal data-‘verantwoordelijken’ en -‘bewerkers’ sterk toe – net als het risico op een mogelijk datalek. De kans is immers groter dat één of meer partijen of de patiënt zich onvoldoende bewust zijn van de risico’s. Net als op alle andere vlakken geldt nu eenmaal dat de ketting zo sterk is als de zwakste schakel.

Wat is awareness?

Steeds vaker proberen hackers toegang te krijgen tot vertrouwelijke informatie. Met vaak relatief simpele aanvalstechnieken maken zij misbruik van menselijke factoren zoals behulpzaamheid. Een voorbeeld hiervan is een deur openhouden voor iemand in een doktersjas omdat deze haastig overkomt. Deze techniek wordt ook wel een vorm van ‘social engineering’ genoemd. De voornaamste reden dat dit gebeurt, is omdat medewerkers behulpzaam van aard zijn (zeker in de zorg) en zich vaak niet bewust zijn van de veiligheidsrisico’s die dit met zich meebrengt. Een ander voorbeeld is phishing. Phishing is een vorm van online oplichting, maar kan ook per telefoon. De betrokkene ontvangt meestal een e-mail waarin een link staat opgenomen naar een vals webadres. De e-mail lijkt van een betrouwbare bron te komen zoals je bank of de bestuursvoorzitter van je eigen ziekenhuis. Het verzoek van de oplichter is vaak om je inloggegevens te controleren of andere betrouwbare profielinformatie door te geven. In 2016 heeft Deloitte in opdracht van de Nederlandse Vereniging van Ziekenhuizen (NVZ) een omvangrijke ‘phishing’-campagne mogen uitvoeren. In totaal deden 27 zorginstellingen mee en werden er in drie dagen tijd ruim 60.000 phishing e-mails verstuurd. In de specifieke gekozen casus kon de geadresseerde een collega nomineren voor het winnen van een taart. Een simpel, maar zeker niet onrealistisch, bericht. Het resultaat was dat ongeveer 17% van de populatie de link had aangeklikt en dat 12% ook (persoons)gegevens had achtergelaten. In enkele van de gevallen was de e-mail als ‘onbetrouwbaar- gerapporteerd aan de afdeling informatiebeveiliging van het de betreffende zorginstelling. Je ziet in beide voorbeelden dat er ten aanzien van bewustzijn (awareness) nog veel te verbeteren valt. Behulpzaam is een cruciaal goed in de zorg, dit hoeft zeker niet te veranderen. Wat je wel wil bewerkstelligen, is dat iedereen binnen de zorginstelling zich bewust is van de mogelijke risico’s en dus bijvoorbeeld bij het eerste voorbeeld kort navraagt wie er de afdeling op wil en bij wie hij/zij moet zijn. Loop vervolgens even mee met die persoon zodat je een kleine controle hebt gedaan. Je bent dan ook nog behulpzamer voor de betreffende individu. In het tweede voorbeeld is het belangrijk dat je goed naar e-mails kijkt en bij een vermoeden van een onbetrouwbare e-mail de afdeling informatiebeveiliging ernaar laat kijken. Klik niet zomaar op links in e-mails die niet helemaal betrouwbaar overkomen. Dit is lastig, de kwaliteit van phishing e-mails neemt steeds verder toe, maar iedereen kan bewustzijn aanleren of de e-mail logisch is om te ontvangen. Verder is het belangrijk te realiseren dat de kans groot is dat je (of iemand binnen de organisatie) per ongeluk op een phishing e-mail drukt. Probeer dus ook van te voren te bedenken hoe je de schade kan beperken. Het is bijvoorbeeld goed om ongebruikte gevoelige data niet meer op je computer op te slaan. Als dan een hacker weet binnen te komen, is ten minste de gevoelige data niet eenvoudig binnen bereik.

Wachtwoordgebruik en WiFi-gebruik

Er zijn andere, relatief eenvoudige, voorbeelden waarbij awareness van iedere medewerker van een zorginstelling belangrijk is. Dit gaat bijvoorbeeld over het gebruik van wachtwoorden en het gebruik van (publieke) WiFi-punten. Hackers maken gebruik van simpele software om snel alle mogelijke combinaties van wachtwoorden af te gaan. Op het moment dat gebruik wordt gemaakt van simpele wachtwoordklassiekers als 12345 of 00000, maar denk ook aan april2018 of je geboortedatum, is het achterhalen van dit wachtwoord echt een kwestie van 5 minuten voor een bedreven hacker. Ook hier start dus een stuk awareness dat het belangrijk is om een zogenaamd complex wachtwoord te kiezen. Een wachtwoord met verschillende tekens, een hele zin of een wachtwoord met wat foutief geschreven karakters voorziet hierin al snel. In veel zorginstellingen is het ook policy om aan wachtwoordvereisten te voldoen en is het afgedwongen dat periodiek (vaak per kwartaal) het wachtwoord wordt gewijzigd. Dat heeft vaak precies met dit punt te maken en om je sterker te wapenen tegen dit soort, helaas alledaagse, criminele activiteiten. Belangrijk is natuurlijk wel om bewust te zijn dat als een wachtwoord ontvreemd is, de complexiteit hiervan per definitie niet uitmaakt. Het is daarom verstandig om bij bovengemiddeld gevoelige systemen en/of data ook een extra vorm van identificatie toe te voegen zoals een code via sms te versturen (2-factor) die naast je wachtwoord ingevuld moet worden.
ER IS TEN AANZIEN VAN AWARENESS NOG VEEL TE LEREN

Risico verbonden apparatuur

Iedereen gebruikt WiFi-punten. Onze telefoon, maar ook steeds meer medische apparatuur, is aan het internet verbonden. Dit geeft onbegrensde mogelijkheden maar brengt ook een additioneel risico met zich mee. Ook hier is bewustzijn voor iedereen een goede start. Maak geen verbinding met een publiek WiFi-netwerk op het moment dat je betrouwbare gegevens of zelfs patiëntgegevens gaat uitwisselen. Op een publiek netwerk zit meestal onvoldoende beveiliging waardoor de verbinding eenvoudig afgelezen (onderschept, ook wel ‘man-in-the- middle attack’) kan worden. De hacker die dit doet, leest op dat moment letterlijk al het verkeer dat u langs laat komen. Dit kunnen op dat moment eenvoudige wachtwoorden zijn, of erger, patiëntinformatie. Ook voor dit punt bestaan, ongetwijfeld, binnen uw zorginstelling procedures en richtlijnen. Vraag die na bij de afdeling informatiebeveiliging, zij kunnen u helpen hoe u, volgens policy, veilig kunt inloggen en daarmee uw werk zo veilig mogelijk kunt doen. Veel systemen met gevoelige informatie hebben namelijk een extra beveiligingslaag zoals encryptie ingebouwd, waardoor het inloggen via dat systeem direct veilig gaat.  

Door innovation partner