Cybersecurity: sámen de echte problemen aanpakken

Elke euro die je aan cybersecurity uitgeeft, gaat niet naar de zorgverlening, zo wordt wel eens gesteld. Maar cybersecurity is inmiddels zo cruciaal voor de continuïteit van zorgverlening dat die vlieger niet langer opgaat. Security gaat over de zorg. Over de bescherming van mensenlevens en over de veiligheid van patiënten, cliënten en zorgprofessionals. Dat zeggen wij niet alleen, maar ook ICT-verantwoordelijken bij de zorginstellingen zelf. Zij voelen zich, veel meer dan in andere sectoren, onvoldoende geëquipeerd voor de cyberdreigingen die op de zorg afkomen.

Van een crimineel die patiëntgegevens gijzelt tot medische apparatuur die door een hack een paar uur niet beschikbaar is: het is de nachtmerrie van elke zorgorganisatie. Toch voelen IT-managers en CISO’s bij zorgorganisaties zich vaak niet gehoord. Hun budgetten zijn gewoon niet groot genoeg om de security fatsoenlijk aan te pakken.

Dit blijkt uit een rondetafelgesprek dat we recent voerden met 10 IT-verantwoordelijken, van CISO tot IT-manager. De deelnemers vormen een dwarsdoorsnede van de zorg in Nederland: ziekenhuizen, de VVT, GGZ en gehandicaptenzorg. Voorafgaand aan dit gesprek hadden we vanuit KPN het onderzoeksbureau Motivaction opdracht gegeven onderzoek te doen naar de grootste securitybedreigingen en -zorgen waar bijna 400 organisaties in onder andere de zorg mee kampen (zie ook kader ‘Wakkerliggers en uitdagingen’).

Druk neemt toe

Zowel uit het rondetafelgesprek als uit het onderzoek blijkt dat veel IT-managers en -verantwoordelijken in de zorg zich alleen voelen staan. Zorgorganisaties zien het belang van security wel. Ook zien ze de druk vanuit wet- en regelgeving toenemen. Maar in de praktijk maken directie en bestuurders desondanks te weinig middelen vrij.

Dat relatief veel ondervraagde IT’ers aangeven onvoldoende toegerust te zijn, is veelzeggend. En dat terwijl met nieuwe wetgeving, zoals de Cyberbeveiligingswet (de Cbw, voortkomend uit NIS2), bestuurders hoofdelijk aansprakelijk zijn als bij een incident blijkt dat risico’s onvoldoende gemitigeerd zijn of er geen goed beleid is. Die hoofdelijke aansprakelijkheid komt natuurlijk bovenop de persoonlijke drama’s als cliënt- of patiëntdata op straat komen te liggen – en de reputatieschade voor de organisatie als gevolg daarvan.

Nieuwe kwetsbaarheden

De cyberdreigingen die op de zorg afkomen zijn niet mals, zo beamen de deelnemers aan het rondetafelgesprek. Dankzij AI bijvoorbeeld, dat niet alleen een praktische ondersteuning kan zijn voor zorgprofessionals, maar het ook criminelen makkelijker maakt.

Het is griezelig eenvoudig om met de hulp van AI schadelijke software te maken en in te breken. Eenmaal binnen kan zo’n kwaadwillende op zoek gaan naar zwakke plekken. Omdat zorgorganisaties te maken hebben met een lappendeken aan oude systemen en apparatuur, hoeven criminelen niet lang te zoeken. Goed zicht op wat er allemaal op het netwerk is aangesloten – potentiële zwakke plekken dus – ontbreekt, zeker bij organisaties met meerdere locaties waar de ICT en security decentraal is georganiseerd.

Tegelijk is er een groot tekort aan goede securitymensen. Zij die op de markt zijn, zoeken doorgaans de uitdaging van een groot bedrijf waar ze met de nieuwste technologie en veel andere securityspecialisten kunnen samenwerken.

Geen zwart-wit keuze

Voor sommige deelnemers aan het rondetafelgesprek is het een eye-opener dat ‘zelf doen’ versus ‘uitbesteden’ geen zwart-wit keuze hoeft te zijn. Je hoeft niet alles alleen te doen, je hoeft niet alles uit te besteden – je kunt het ook sámen doen. Een goed voorbeeld is een SOC, een security operations center. Dit kun je natuurlijk helemaal zelf, in eigen huis, inrichten, bemensen en operationeel houden. Je zult alleen vrij snel aanlopen tegen het tekort aan goede securitymensen en de hoge investeringen om de kennis en capaciteit up-to-date te houden.

Zo’n SOC kun je ook voor een deel uitbesteden. Laat een externe specialist de arbeids- en kapitaalintensieve monitoring doen, daarbij ondersteund door AI (prettig voor het budget!) en alvast alle false positives eruit filteren: alerts die geen bedreiging blijken te vormen. Zelf kun je, in eigen huis, vervolgens de echte inhoudelijke triage doen: wat is een bedreiging voor de continuïteit van je zorgverlening en wat niet? En: welke maatregelen zijn eventueel nodig?

Samen oppakken

Een andere grote uitdaging voor zorgorganisaties die je samen kunt oppakken, is het vergroten van het securitybewustzijn van zorgprofessionals. Iets waar veel zorgorganisaties mee worstelen, zo bleek uit ons onderzoek. De achterliggende reden is dat je in de zorg te maken hebt met een medewerkerspopulatie die gemiddeld genomen minder digitaal vaardig is, en daardoor ook minder bewust van cyberrisico’s is. Dit tekort aan bewustzijn is iets dat veel zorgorganisaties herkennen en graag samen op zouden willen pakken. En dat is niet de enige uitdaging die vraagt om intensievere samenwerking.

Meepraten

De deelnemers aan de ronde tafel willen graag meer samenwerken. Met andere zorgorganisaties, maar ook met leveranciers zoals wij. Ons idee van een klantenpanel wordt met enthousiasme beantwoord. Begin 2025 willen we dat idee daarom een concreet vervolg gaan geven. Zou je ook mee willen praten en denken? Neem dan contact met ons op.

Wat veel zorgorganisaties nog niet weten over ons

Je kunt bij KPN niet alleen terecht voor de bekende veilige connectiviteit – van een lokaal netwerk tot 5G – maar ook voor kennisintensieve diensten. Zo kun je bij ons SOC-diensten afnemen of een abonnement op ons Computer Emergency Response Team (CERT) nemen. Dan lossen we securityproblemen sámen op.

Wil je meer weten? Kijk op kpn.com/health en download het eBook ‘Zo helpt security je zorgorganisatie vooruit’.