Iedereen kent wel de jaarlijkse ontruimingsoefening waarbij wordt getest hoe snel mensen in geval van nood uit een pand geëvacueerd kunnen worden. Op het gebied van cybersecurity is oefenen misschien nog niet overal vanzelfsprekend. Z-CERT probeert op een gestructureerde manier oefenen en testen van de cybersecurity te promoten volgens de ‘OTO-methode’.
Zorgorganisaties staan voor grote uitdagingen op het gebied van cybersecurity. Ze beheren vaak veel gevoelige gegevens zoals persoonlijke en medische informatie van patiënten. Deze gegevens zijn een geliefd doelwit van cybercriminelen vanwege de hoge mate van vertrouwelijkheid en de mogelijkheid om organisaties te kunnen afpersen met het openbaar maken van gestolen data. De steeds grotere afhankelijkheid van elektronische patiëntendossiers (EPD’s), zorg op afstand en het gebruik van domotica, maakt zorginstellingen extra kwetsbaar voor cyberaanvallen.
Het laatste wat we willen, is dat een cyberaanval de werking van medische apparatuur of systemen verstoort en gevolgen heeft voor de gezondheid van patiënten. Zorgorganisaties kunnen zich beter voorbereiden op een cyberaanval door regelmatig te oefenen. Dit helpt om hun incident response-plannen te testen en te verbeteren. Het vermogen om snel en efficiënt te reageren kan immers het verschil maken tussen een klein incident en een grote calamiteit.
Door middel van training en opleiding vergroot je als organisatie het bewustzijn van medewerkers van potentiële cyberdreigingen. Door een cybercrisis te oefenen, leren medewerkers hoe ze veilig moeten handelen. Het helpt om het juiste gedrag bij medewerkers te stimuleren bij het versterken en het verkleint de kans op fouten zoals het openen van phishing e-mails of het gebruiken van zwakke wachtwoorden.
Proactieve maatregelen
Bovendien kunnen zorgorganisaties door regelmatig te oefenen en te testen aantonen dat ze proactief maatregelen nemen om de veiligheid van patiëntgegevens te waarborgen. Het regelmatig trainen en opleiden van personeel zijn vaak verplichte onderdelen van richtlijnen en normen in de zorg.
Door aantoonbaar te voldoen aan wet- en regelgeving zoals de NEN 7510 en de Cyberbeveiligingswet (NIS2), kunnen organisaties niet alleen boetes en sancties vermijden, maar ook het vertrouwen van klanten en partners behouden. Oefenen is dus nodig en (deels) verplicht, maar er zijn veel vragen te beantwoorden. Waar begin je bijvoorbeeld, hoe groei je naar een passend niveau of hoe blijf je op niveau, et cetera.
Doordachte aanpak
Over één kwesties zijn deskundigen het wel eens en dat is dat in het wilde weg gaan oefenen weinig toevoegt voor een organisatie. Effectief oefenen vraagt om een doordachte aanpak. Z-CERT adviseert daarom de Opleiden - Trainen - Oefenen (OTO)-methode.
Een heel belangrijk principe voor alle facetten van deze methode (opleiden, trainen en oefenen) is dat ze moeten aansluiten bij de organisatie in kwestie. Als de keuze voor een van deze aspecten onvoldoende past bij de organisatie (op dat moment), kom je niet verder, maar vermindert het juist het draagvlak binnen de organisatie.
Op de website van Z-CERT is een Eerste Hulp bij Cybercrises-document gepubliceerd. Dit is een in te vullen bellijst aangevuld met aandachtspunten voor de crisisorganisatie. Deze aandachtspunten zijn ook geschikt om te benutten tijdens een cyberoefening. Op dit moment is Z-CERT meer OTO-hulpmiddelen aan het ontwikkelen voor de zorgsector, zoals een handreiking voor het opstellen van een gedegen oefenplan. Binnenkort zullen deze beschikbaar worden gesteld op de website van Z-CERT.
CV
Edwin Feldmann is communicatieadviseur bij Z-CERT.
Hoe kunt u zich als zorgorganisatie goed voorbereiden op een cybercrisis? De Eerste Hulp bij Cybercrises is te downloaden via de website van Z-CERT.
