Ziekenhuizen gaan gemiddeld genomen professioneler met cybersecurity om dan VVT-instellingen (langdurige zorg), onder meer door het aanstellen van CISO’s (chief information security officer). Maar in beide segmenten zie je dat bij cyberaanvallen de zogeheten ‘human firewall’ een vaak vergeten aandachtspunt is. Dat blijkt onder meer uit onderzoek van KPN en Bitsight.
Ook is het goed onderhouden van eenmaal uitgerolde digitale security van systemen en apparatuur vaak een pijnpunt. Uit dit onderzoek van KPN, onder andere uitgevoerd bij 78 ziekenhuizen, blijkt bijvoorbeeld dat technische security-maatregelen vaak goed doorgevoerd worden. Desondanks was er bij 32 ziekenhuizen zogeheten command & control-verkeer zichtbaar, dat door digitale infecties worden veroorzaakt. Dat duidt er vaak op dat er sprake is van onvoldoende effectief beheer.
Verbeteren basis cybersecurity
Arno van der Heijden en Sjoerd Hulzinga van KPN Security, benadrukken in een interview in ICT&health dan ook dat het – zoals in elke sector - van belang is om het cyberbewustzijn van medewerkers te vergroten, de security-basis op orde te krijgen en te houden, maar ook om noodscenario’s klaar te hebben liggen.
Van der Heijden: “Iedereen in een zorginstelling heeft een bepaalde verantwoordelijkheid, maar de meeste zorgmedewerkers zien cybersecurity nog als een feestje van de IT-afdeling. 85 procent van de cyberproblematiek komt voort uit menselijk falen. De basis van security is dus het bewust maken van mensen over zaken zoals een link in een e-mail en welke informatie men op welke wijze verstuurd. Denk maar aan het recente voorbeeld waarbij een medewerker gevoelige data op een USB-stick zet en die vervolgens verliest.”
Hulzinga voegt toe: “Men ziet IT ook vaak als kostenpost en als de club waar niets van mag. Sommige maatregelen die je moet treffen, bijvoorbeeld wegens wet- en regelgeving, werken restrictief. Mensen proberen daar dan omheen te werken. Ik denk, om bij een recent voorbeeld te blijven, niet dat het security-beleid van een ziekenhuis het toestaat om gevoelige informatie op een USB-stick te zetten. Toch gebeurde dat onlangs wel.”
Voorbereiden met noodscenario’s
Het grote probleem is volgens Hulzinga dat de cybercrimineel slechts één keer hoeft te slagen, terwijl een organisatie zich structureel en 24/7 moet verdedigen. "Het is een gegeven dat het bij elke organisatie een keer fout zal gaan. Je moet je daarop voorbereiden met noodscenario’s, bijvoorbeeld voor een geslaagde ransomware-aanval of een groot datalek via die slimme medische apparatuur. Er liggen al plannen klaar voor bijvoorbeeld uitval van stroom, maar vaak niet als het gaat om een aanval die de hele IT-infrastructuur kan lamleggen.”
Cybercriminelen lijken ook gebruik te maken van de Covid-19-pandemie. Zo zijn er de afgelopen tijd in veel landen ransomware-aanvallen geweest die ziekenhuizen hebben platgelegd, juist nu de zorg als gevolg van de coronacrisis al zo onder druk staat. In Nederland heeft een aantal organisaties, waaronder KPN, de zorgsector aangeboden om hen gratis te helpen bij het op orde krijgen van hun cybersecurity.
ICT&health 2 verschijnt rond 20 april.