Ziekenhuizen gaan gemiddeld genomen professioneler met cybersecurity om dan VVT-instellingen (langdurige zorg), onder meer door het aanstellen van CISO’s (chief information security officer). Maar in beide segmenten zie je volgens Van der Heijden dat bij cyberaanvallen de zogeheten ‘human firewall’ een vaak vergeten aandachtspunt is.
“Iedereen in een zorginstelling heeft een bepaalde verantwoordelijkheid, maar de meeste zorgmedewerkers zien cybersecurity nog als een feestje van de IT-afdeling. 85 procent van de cyberproblematiek komt voort uit menselijk falen. De basis van security is dus het bewust maken van mensen over zaken zoals een link in een e-mail en welke informatie men op welke wijze verstuurd. Denk maar aan het recente voorbeeld waarbij een medewerker gevoelige data op een USB-stick zet en die vervolgens verliest.”
“Wanneer ik dat vertaal naar IoT-apparatuur (slimme verbonden devices die ook data verwerken, red.), die steeds meer wordt ingezet in zorginstellingen of om mensen langer thuis te laten wonen, dan zie je dat aankopen vaak plaatsvinden zonder betrokkenheid van de IT-afdeling. Dit gebeurt vaak pas als een apparaat met het internet verbonden wordt, bij wijze van spreken. IT moet echter vanaf het begin meegenomen worden bij de selectie van dergelijke apparatuur. Want ook de basis van security moet op orde zijn, het liefst al in de apparatuur zelf.”
Blijft het lastig om IT en zorgpraktijk samen te brengen en ervan te overtuigen dat men dit samen moet doen?
Van der Heijden: “Het is onze ervaring dat het heel lastig is om cybersecurity een onderwerp te laten zijn op de werkvloer en aan de bestuurstafel. IT’ers vinden het lastig om deze materie op begrijpelijke wijze inzichtelijk te maken voor bestuurders.”
Hulzinga: “Men ziet IT ook vaak als kostenpost en als de club waar niets van mag. Sommige maatregelen die je moet treffen, bijvoorbeeld wegens wet- en regelgeving, werken restrictief. Mensen proberen daar dan omheen te werken. Ik denk, om bij een recent voorbeeld te blijven, niet dat het security-beleid van een ziekenhuis het toestaat om gevoelige informatie op een USB-stick te zetten. Toch gebeurde dat onlangs wel.”
“Ik zie deze vaak al gespannen relatie in de toekomst nog verergeren. De kennis over security, nu vaak beperkt tot de IT-afdeling, moet zich gaan verbreden tot de primaire processen van een instelling. Het toenemend gebruik van slimme, verbonden devices en sensoren introduceert een aantal security-risico’s die niet alleen door de IT-afdeling aangepakt moeten worden, maar waar iedereen rekening mee moet houden. Bij de beslissers, vaak de vakinhoudelijke mensen, ontbreekt het echter vaak aan security-inzicht omdat de IT-afdeling niet of nauwelijks betrokken wordt. Een extra probleem kan zijn dat patiënten straks massaal hun eigen data opsturen naar instellingen of zelf meenemen. Dergelijke ontwikkelingen kun je niet tegenhouden, dus moet je er nu al organisatiebreed mee bezig gaan.”
“Het grote probleem is dat de cybercrimineel slechts één keer hoeft te slagen”
