Nut en noodzaak van continu inzicht in digitale security

ma 22 juni 2020 - 11:00
Cyber-aanval-1
Onderzoek
Blog

Nederlandse ziekenhuizen scoren niet slecht als het gaat om digitale beveiliging. Uit een eerder dit jaar uitgebracht benchmarkrapport van KPN Security in samenwerking met Bitsight blijkt dat 80 procent van de ziekenhuisorganisaties hun digitale veiligheid redelijk tot goed op orde hebben. Snelle ontwikkelingen op het gebied van cybercriminaliteit, maken het echter nodig om voortdurend in de gaten te houden of het securitybeleid nog wel voldoet aan de laatste standaarden.

Weten de voor cyber-security verantwoordelijke bestuurders en managers bijvoorbeeld wat de belangrijkste risico’s en kwetsbaarheden voor hun dienstverlening zijn? Hoe staat het met de security van ketenpartners en de veiligheid van patiëntgegevens? KPN Security en BitSight hebben mede om deze vragen te beantwoorden het securitybenchmarkrapport voor ziekenhuizen opgesteld.

Het rapport biedt inzicht in het securityniveau van Nederlandse ziekenhuizen als groep en ten opzichte van elkaar. Ook biedt het andere zorginstellingen, zowel in de care- als in de cure-sector (waarin KPN ook met dochter KPN Health actief is), inzicht in de toepasbaarheid van de informatie die security rating-rapporten bieden. Zo’n Security Rating-rapport geeft inzicht in de specifieke securityrisico’s en -prioriteiten voor een organisatie.

Juiste security: meer digitale weerbaarheid

Zorgbestuurders hebben de taak om met een effectief securitybeleid en gerichte investeringen de cyberrisico’s voor de organisatie, medewerkers en hun patiënten of cliënten te verkleinen. Met de juiste cybersecuritymaatregelen neemt de weerbaarheid van een organisatie immers snel toe.

Maar hoe bepaalt het zorgbestuur welke risico’s het grootst zijn en dus maatregelen prioriteit hebben? Hiervoor is goede stuurinformatie nodig. Een Security Rating-rapport kan hierbij helpen. Dit soort rapportages maken securityrisico’s en -prioriteiten begrijpelijk en tonen snel het effect van mogelijke maatregelingen aan.

Online sporen

Iedere organisatie laat op het internet sporen na, bijvoorbeeld door online activiteiten van medewerkers, e-mailverkeer of data-uitwisseling. Security-experts van KPN en Bitsight analyseren dagelijks ruim 70 miljard security-events uit 120 bronnen die gekoppeld zijn aan de publieke IP-adressen van 200.000 organisaties wereldwijd. Een algoritme berekent voor iedere organisatie een Security Rating. Deze score geeft een indicatie van de performance van securitymaatregelen en -processen.

De manier waarop een Security Rating tot stand komt, is vergelijkbaar met de methodiek die wordt toegepast bij financiële ratings. Hierbij duidt een waarde tussen 250 en 900 de kredietwaardigheid van een financiële instelling aan. Hoe lager de score, hoe lager de kredietwaardigheid. De Security Rating gebruikt dezelfde duidingswaarden als de financiële rating. Een lage Security Rating duidt dus op een lagere veiligheidsscore en een hoger risico op securityincidenten.

KPN onderscheidt binnen de Security Rating drie niveaus:

  • Basic: score tussen de 250 en 639
  • Intermediate: score tussen de 640 en 739
  • Advanced: score tussen de 740 en 900

Organisaties met een Basic-rating lopen vier tot vijf keer meer risico op een datalek dan organisaties met een Advanced-rating.

NL ziekenhuizen scoren Intermediate

Om een helder beeld te krijgen van hoe Nederlandse ziekenhuizen er op dit moment voor staan wat betreft digitale veiligheid, heeft KPN een analyse gemaakt van 75 Nederlandse ziekenhuizen. Deze analyse is uitgevoerd op 2 april 2020 en geeft dus inzicht in de Security Rating van ziekenhuizen op dat moment. De gemiddelde score bedraagt 720 (Intermediate-rating). Van de onderzochte ziekenhuizen hadden er 13 een Basic-rating (tussen de 250 en 639).

In de verschillende Security Ratings die we over het afgelopen jaar hebben uitgevoerd, zien we een geleidelijke stijging van het aantal ziekenhuizen dat van een Basic- naar een Intermediate-rating is gegroeid. Het aantal ziekenhuizen met een Advanced-rating blijft ongeveer gelijk. Vergeleken met alle organisaties binnen de Nederlandse zorgsector (zowel cure als care) zien we wel dat de gemiddelde rating van de ziekenhuizen iets lager ligt dan de gemiddelde rating voor de gehele zorgsector.

Security incidenten en -infecties

In de periode tussen 2 maart en 2 april 2020 zijn er 17 infecties waargenomen bij de onderzochte 75 ziekenhuizen. De infecties variëren van het gebruik of de installatie van ongewenste software die bijvoorbeeld instellingen in de browser aanpast, advertenties weergeeft of gebruikersactiviteiten vastlegt, tot botnetinfecties die de volledige digitale dienstverlening tot stilstand brengen.

Een waargenomen infectie kan ook afkomstig zijn van gastennetwerken van een ziekenhuis. Deze zijn doorgaans gescheiden van het bedrijfsnetwerk en vormen zo een lager risico op een securityincident dat de gehele infrastructuur van een organisatie bedreigt. Hierbij plaatsen we de kanttekening dat infecties ook van gastennetwerken komen die in de meeste gevallen gescheiden zijn van het bedrijfsnetwerk.

Ook zijn in dezelfde periode vier typen kwetsbaarheden waargenomen bij 36 ziekenhuizen op 82 systemen. De meeste kwetsbaarheden zijn bekende zwakheden in het SSL-protocol. Hierin is wel een positieve trend zichtbaar vergeleken met de periode van 2 februari tot 2 maart 2020.

Belang van voortdurend inzicht

Het dreigingslandschap verandert voortdurend. Om te voorkomen dat een organisatie getroffen wordt door bijvoorbeeld een cyberaanval, is het belangrijk dat continu te weten of securitybeleid nog de benodigde bescherming biedt en onnodige risico’s te voorkomen. Daarnaast heeft de digitale transformatie van de zorg een enorme impact op het risicoprofiel.

Het zijn niet alleen security-prestaties van de eigen organisatie die impact hebben op de beveiliging van patiëntgegevens, maar ook die van ketenpartners. Zorginstellingen moeten daarom continu weten waar in hun eigen of hun verbonden infrastructuur ze kwetsbaar zijn en snel en eenvoudig toegang kunnen hebben tot de Security Rating-rapporten van leveranciers en partners.