Security is niet alleen in de zorg een grote uitdaging. Overal brengen hoge werkdruk en gebrek aan personeel extra problemen met zich mee als het gaat om het beveiligen van netwerken, ICT-systemen en data. De gevolgen van dataverlies, malware- en andere aanvallen, kunnen in de zorgsector echter verregaande gevolgen hebben. De afdelingen Health en Security van KPN werken dan ook intensief samen en ontwikkelen zorgspecifieke oplossingen op het gebied van veiligheid. Los hiervan, stelt KPN Security-CTO Erno Doorenspleet, tillen samenwerking en kennisuitwisseling tussen zorgaanbieders en met andere sectoren cybersecurity naar een hoger plan.
In de zorg zie je groeiende tekorten aan zorgprofessionals en IT-professionals en een stijgende werkdruk, stelt Doorenspleet. “Aan IT-zijde kan dat betekenen dat beheerders wel eens toegangsrechten uitgeven die eigenlijk niet uitgedeeld moeten worden. Met het risico dat er fouten gemaakt worden. Bijvoorbeeld toegang geven tot data waar iemand eigenlijk niet bij moet komen.”
Aan de zorgkant wordt er in een hoog tempo gedigitaliseerd, ook om patiënten, cliënten en zorgpersoneel te faciliteren. Zorg en monitoring op afstand betekent meer (veilige) data-uitwisseling. Doorenspleet hierover: “Voor betere netwerkzorg moeten medische gegevens vaker gedeeld worden tussen zorgpartijen. De vraag is dan: zijn servers en netwerken voldoende afgeschermd tegen hacks - waardoor data op straat terecht komt of ransomware alles blokkeert? Het laatste dat je als ziekenhuis wil, is dat je geen goede zorg meer kunt verlenen omdat je geen toegang meer hebt tot je dossiers.”
Lastige balans
Er is, kortom, sprake van een lastige balans die soms naar de verkeerde kant doorslaat. KPN helpt cure- en care-instellingen al langer om die balans op orde te brengen en denkt dit met verdergaande samenwerking tussen de divisies Security en Health te kunnen verbeteren. Vanuit de security-tak draagt KPN een aantal best practices aan, die gecombineerd worden met de oplossingen van KPN Health.
Doorenspleet: “Zo kunnen we specifieke zorgomgevingen en toepassingen beveiligen op een manier die het beste bij de zorg past. Denk aan mail, chat, medische berichten, onze beveiligde Health Exchange en een end-to end beveiligd KPN-netwerk. Een vrij unieke combinatie. Zo krijg je een eindproduct dat onder de motorkap al secure is. Daar hoef je je als IT-afdeling van een zorgaanbieder niet meer mee bezig te houden.”
Hierbij houdt KPN ook rekening met de budgetuitdagingen en -keuzes van zorgaanbieders, meent Doorenspleet. “Het is een cliché maar klopt wel: kunt je geld maar één keer uitgeven. Een arts zal dat geld liever besteden aan nieuwe diagnostische apparatuur dan aan security-oplossingen. Het is dan onze taak als security-aanbieder dat zo’n device end-to-end secure is. Zodat data die voortkomt uit een scan beveiligd en versleuteld verstuurd wordt naar een EPD of – als er meer zorgpartijen bij een behandeling betrokken zijn - naar een andere zorgaanbieder. De zorgprofessional moet hier helemaal niet over hoeven na te denken. Die heeft het beter maken van een patiënt op nummer één staan, voor ons is security nummer één.”
Bewustzijn belangrijk
Niet hoeven nadenken maakt overigens cyberbewustzijn bij zorgprofessionals over security-gevaren niet overbodig, onderstreept Doorenspleet. “Je bent er niet met technische oplossingen alleen. Techniek zet je in om secure te zijn en dreigingen tegen te houden – preventief dus. Aan deze voorzijde, denk aan e-mail, wil je vooraf zoveel mogelijk dreigingen wegfilteren voordat ze gevaarlijk kunnen worden. En je zet technologie in, om als er toch iets fout is gegaan, het beveiligingsprobleem zo snel mogelijk aan te pakken. Zo minimaliseer je de impact – reactief - met tools zoals monitoring van afwijkende activiteiten in je netwerk.”
Maar, benadrukt Doorenspleet, technologie is nooit 100 procent waterdicht. Dan is het zeer belangrijk dat medewerkers zich bewust zijn van hoe zaken zoals phishing in de praktijk werken. Zijn ze erop getraind om niet zomaar ergens op te klikken, geven ze het door als er een mail binnenkomt die ze niet vertrouwen?
“Het is in de zorg vooral belangrijk dat medewerkers erop getraind zijn om dit ook onder hoge werkdruk bijna automatisch te doen, aangezien dergelijke werkdruk bijna standaard is. Het moet dus een soort spiergeheugen zijn, een automatische reactie. Een beetje op de manier waarop zorgprofessionals getraind zijn om in acute situaties en onder hoge druk toch de juiste beslissing te nemen. KPN kan hierin helpen met bijvoorbeeld trainingen, waarbij specifiek gekeken wordt naar de uitdagingen in de zorg.”
Positieve blik
Ondanks alle soms alarmerende berichten over geslaagde ransomware-aanvallen, gestolen data en andere security-problemen, wil Doorenspleet benadrukken dat hij positief is over de ontwikkelingen op security-gebied. “Wat we niet meer moeten doen in de security-sector, is bij wijze van spreken ‘moord en brand’ schreeuwen. Want als je goed kijkt, is er de afgelopen jaren in de kern niet zoveel veranderd. Ransomware, kwetsbaarheden, ze krijgen telkens mooie nieuwe namen, maar het is als fenomeen niet nieuw meer.”
We moeten niet doen alsof cyberdreigingen uit de hand lopen
Natuurlijk: cybercriminelen verschuiven hun activiteiten naar sectoren waar ze meer kans hebben op succes, om geld te verdienen. Zij stortten zich tussen 2007 en 2015 op de financiële sector, toen daar in hoog tempo gedigitaliseerd werd. Banken hebben hun cybersecurity echter inmiddels zo goed op orde, dat cybercriminelen verhuizen naar sectoren waar men nu de digitaliseringsslag maakt, zoals de zorg en consumenten.
“De kosten als het echt mis gaat, fluctueren per bedrijf en instelling, van 50.000 euro tot een miljoen. Het kan een grote impact hebben. Door verdergaande digitalisering worden steeds meer processen in de bedrijfsvoering geraakt. Maar we moeten niet doen alsof cyberdreigingen uit de hand lopen.”
Goed werk CISO’s
Zo ziet Doorenspleet bij ziekenhuizen veel meer security-bewustzijn ontstaan. “Ik vind dat CISO’s in de zorg over het algemeen erg goed werk leveren. Aan de ene kant hebben ze de taak op de kosten te letten, aan de andere kant is er het urgente belang om voortdurend in de gaten houden of ze nog wel up to date zijn met hun cybersecurity.”
Nu dat in afzonderlijke zorginstellingen steeds beter gaat, kijken cybercriminelen meer naar de toeleveringsketen: kunnen ze daar via een ander kanaal alsnog binnenkomen bij zorginstellingen. Doorenspleet: "Het is aan de zorgsector zelf, maar ook aan ons als security-professionals, om daar proactief mee bezig te zijn. Op onze lauweren rusten kunnen we zeker niet, maar het is ook geen rat race die we als security- en zorgsector aan het verliezen zijn.”
Belang kennisdeling
Positief is ook dat er ook steeds beter wordt samengewerkt, om kennis en ervaring uit te wisselen. Doorenspleet: “Het probleem gaat niet weg, maar je kunt het wel kleiner maken. Dat kun je binnen de sector doen, maar ook tussen sectoren, wat deels ook al gebeurt. Want waarom zou je niet als CISO van een bank ervaringen en kennis kunnen delen met zorgcollega’s? In de basis gaat het om het beschermen van gevoelige data. Ik denk dat we hier ook goede slagen in maken met de NLSecure community. Je moet van elkaar leren en best practices delen.”
Een goed voorbeeld hiervan is volgens Doorenspleet het KPN Security Policy (KSP). “Hiermee delen we standaarden die, als je ze toepast, in de basis al een hoge mate van secure zijn garanderen. We hebben onze kennis op dit gebied vrijgegeven en delen graag alle kennis met elke organisatie, klant of geen klant.”
Een ander goed voorbeeld is de samenwerking tussen security-aanbieders en partijen zoals het NCSC (National Cyber Security Centrum) tijdens corona, met ‘Wij helpen ziekenhuizen’. “We hebben toen veel ziekenhuizen geholpen met ‘dijkverhoging’ op security-gebied, zodat ze ook tijdens die zeer snelle digitaliseringslag voor werken en zorg op afstand veilig bleven. Dat was niet overbodig, gezien de toename destijds van het aantal cyberaanvallen door criminelen. Alleen door kennis te delen en samen te werken in de breedste zin van het woord, kun je Nederland als geheel veiliger maken, ook de zorg.”
Leren van elkaar
Overigens is het niet zo dat de zorg alleen van andere sectoren kan leren, stelt Doorenspleet tot slot. “Er lijkt een beeld te staan van dat de zorg op digitaal en security-gebied overal achterloopt. Maar als er in de zorg iets goed geregeld is, dan is het wel hoe snel en effectief te handelen tijdens crisissituaties. Daar kunnen heel veel sectoren nog heel veel van leren.”