100% waterdichte ICT is een illusie

do 24 augustus 2017 - 15:31
Blog

Het is nog maar twee maanden geleden dat WannaCry en Petya grote bedrijven en instellingen platlegden. Het NOS Journaal opende zelfs met de ransomware-aanvallen. Niet omdat het een nieuw verschijnsel was, maar vanwege de maatschappelijke impact. Als zelfs energiebedrijven en ziekenhuizen kwetsbaar zijn, dan is er toch een zeer serieus probleem.

Ziekenhuizen en andere zorginstellingen blijken een relatief makkelijk doelwit. Daar is nog relatief vaak verouderde software in gebruik, zoals Windows XP. Volgens voorzitter Yvonne van Rooy van de Nederlandse Vereniging van Ziekenhuizen is dat mede te wijten aan een gebrek aan investering in ict: "De afgelopen jaren was er veel aandacht voor het beheersen van kosten en dat heeft er soms toe geleid dat er te weinig aandacht was voor ICT."

Apparatuur op Windows XP

Maar het ligt ook aan de leveranciers. Veel medische apparatuur draait nog op Windows XP. In het NOS Journaal meldde een ziekenhuis dat het 75 van dat soort apparaten heeft staan, die op zich prima werken. Zo lang de leverancier die niet updatet – en als ze in verbinding staan met internet - zijn dat kwetsbare punten in een verder moderne ICT-omgeving van het ziekenhuis.

Verouderde apparatuur en de steeds geavanceerdere malware vormen een riskante combinatie. Maar ook al zou je alle besturingssoftware van apparaten en alle beveiligingsoplossingen up-to-date hebben, is dat nog geen garantie voor veiligheid. De mens is zoals zo vaak de zwakste schakel in het geheel. Als het gaat om gerichte aanvallen, is vooral de onzorgvuldigheid van werknemers een van de kwetsbaarste schakels in de digitale beveiliging.

Recent onderzoek van Kaspersky Lab en B2B International laat zien dat elk jaar 46 procent van de IT-beveiligingsincidenten door eigen medewerkers wordt veroorzaakt. Verder blijkt dat het afgelopen jaar bij bijna een op de drie (28 procent) gerichte aanvallen op bedrijven, phishing/social engineering een rol speelde. Medewerkers die gevaarlijke mailtjes openen, onbekende bestanden downloaden of via social media iets te loslippig zijn. Uit het onderzoek blijkt ook dat bij 40 procent van de bedrijven werknemers dergelijke IT-beveiligingsincidenten onder de pet houden. Daardoor blijven maatregelen (lang) uit.

Wat doe je ermee?

Het gaat er dus niet om wat er gebeurt – ransomware-aanvallen, onzorgvuldigheid van medewerkers - maar om wat je er vervolgens mee doet. Om nog even bij dat ziekenhuis in de NOS-reportage te blijven, dat krijgt via de mail per dag gemiddeld 85 virussen binnen. Die worden succesvol afgeweerd. Er zijn bij het ziekenhuis volgens de bestuurder geen grote problemen geweest met virussen of hacks.

Technologie, beleid en gezond verstand

Digitale veiligheid is een kwestie van technologie, beleid en gezond verstand. Doe wat je technologisch kan, zorg ervoor dat medewerkers weten hoe ze risico’s voorkomen (en monitor en handhaaf het naleven van de regels) en schiet vooral niet in de paniekmodus als er wel een keer iets gebeurt. Wees voorbereid en zorg dat er een plan klaar ligt.

Alle verbindingen met internet afsluiten, dat is een redelijk waterdichte methode om gevrijwaard te blijven van hacks. Hoewel medewerkers natuurlijk prima in staat zijn om besmette USB-stickjes in te pluggen. Maar dat is geen reële optie. Dus zul je als zorginstelling moeten incalculeren dat je een hack of besmetting nooit kunt voorkomen. Het is een fact of life van de digitale wereld.

Door: Marcel Lucker | Directeur sales en marketing bij Winvision