Tijdens de ICT&health World Conference organiseert Philips op 28 januari, om 11u30, de sessie ‘Cyberbeveiliging in de zorg: het beschermen van mensenlevens, niet alleen van systemen’. Bezoekers van de conferentie kunnen deze sessie live in het MECC bijwonen.
Arno van der Heijden, Cyber Security Solution Specialist & Advisor bij Philips en Dirk de Wit, Head of Product Security van Philips bespreken tijdens de sessie diverse onderwerpen, zoals het belang van het beveiligen van medische apparatuur voor de veiligheid van de patiënt en wat de beveiliging van medische hulpmiddelen precies inhoudt en hoe het verschilt van het beveiligen van informatie en data. Aanmelden voor het webinar (en het congres) kan via deze link.
Cyberbeveiliging in de gezondheidszorg
Het gevaar van beveiligingslekken wordt elke dag duidelijker. Tijdens het webinar deelt Arno indrukwekkende cijfers. Ongeveer 90 procent van de gezondheidszorginstellingen wereldwijd heeft in de afgelopen drie jaar minstens één beveiligingslek gemeld (Becker's Health IT). Bovendien heeft ongeveer 53 procent van de aangesloten medische apparaten bekende kritieke kwetsbaarheden, gemiddeld 6,2 kwetsbaarheden per apparaat (FBI). Opvallend is ook dat een vijfde van de medische apparaten die in Europa in gebruik zijn, meer dan 10 jaar oud is (Cocir). Het risico op kwetsbaarheden neemt met de tijd toe, waardoor het duidelijk is dat actie noodzakelijk is.
Daarnaast treedt volgend jaar waarschijnlijk de nationale cyberbeveiligingswet (NIS2) in werking, waardoor actie nodig is. Deze nieuwe wet is bedoeld om de kritieke infrastructuren van landen te beschermen. De wet verplicht ziekenhuizen hun beveiliging op orde te hebben, met persoonlijke aansprakelijkheid en boetes tot 10 miljoen euro bij nalatigheid. Het is dus voor zorginstellingen van groot belang om hun beveiliging serieus te nemen. En voor ieder ziekenhuis kan die beveiliging anders zijn, vanwege andere netwerkomgevingen en apparaten, met andere risico's. Goed risicomanagement is maatwerk per ziekenhuis.
Segmentering IT-omgevingen
Veel ziekenhuizen segmenteren hun IT-omgeving segmenteren. "Vergelijk het met een soort slotgracht", zegt Arno. Een prima aanpak, maar geen gedegen oplossing om verouderede securitymaatregelen in een medisch systeem te compenseren. "We dienen bij voorkeur de securitymaatregelen in een medisch systeem in een topconditie te houden. De werking van het systeem blijft daardoor gewaarborgd, zelfs wanneer het netwerk van het ziekenhuis is platgelegd door een aanvaller. Wanneer een aanvaller het ziekenhuisnetwerk platlegt, inclusief de werking van de medische systemen, kan dit verstrekkende gevolgen hebben voor de patiënt", aldus Arno.
Om goede beveiliging nog duidelijker uit te leggen, gebruikt hij het voorbeeld van een ui. Elke laag van een ui stelt een beveiligingslaag voor. Hoe meer lagen de ui heeft, hoe sterker de beveiliging is. Denk bijvoorbeeld aan een firewall, malwarebescherming, encryptie en fysieke beveiliging. "Ieder medisch apparaat heeft zijn eigen 'ui', waardoor het steeds moeilijker wordt voor aanvallers om binnen te komen", zegt Arno. "Als je een ui pelt, ga je huilen. Dat willen we ook bereiken bij aanvallers", voegt hij toe met een knipoog.
Bewustwording
Bewustwording speelt een belangrijke rol als het gat om het optimaliseren van de beveiliging. Dit heeft ook te maken met het feit dat veel klinische gebruikers niet volledig begrijpen hoe hacks werken of wat de gevaren zijn.
"Een datalek gebeurt niet in één dag of week; vaak zitten aanvallers al langer in het netwerk voordat ze geïdentificeerd worden. Het is cruciaal om te begrijpen hoe ze werken, zodat je kunt handelen om je goed te beschermen. Want vroeg of laat word je slachtoffer van een aanval, maar je kunt de schade beperken door snel te reageren. Zo kun je het leed voor patiënten voorkomen. Door nu in actie te komen, kunnen we niet alleen systemen beschermen, maar vooral ook levens", vertel Arno.
