Search
Close this search box.
Search

Help, er zit een hacker aan het echoapparaat

Het lijkt een nachtmerriescenario voor de zorgsector: hackers in je systemen. Maar (onder de juiste voorwaarden) is het eigenlijk een heel goed idee. Met behulp van goedwillende hackers, zogenaamde Healing Hackers, kan de sector een grote stap voorwaarts zetten op het gebied van cybersecurity. Hoe? Dat leggen Wim Hafkamp (directeur Z-CERT) en Jonathan Bouman (huisarts en hacker) uit.

Er hangt sinds het begin van het internet een zweem van mystiek rond de term hacker. We kennen allemaal de stereotypen van bleke jongens in donkere hoodies, gebogen over laptops waar ontcijferbare codes overheen stromen. Die Hollywood-versie van hackers bestaat nog steeds. Maar er is ook een groeiende groep techneuten die in de openbaarheid systemen en software kraken: zogeheten ethische hackers. Stichting Z-CERT, het expertisecentrum voor cybersecurity in de zorgsector omarmt deze groep.

Sinds de oprichting in 2017 ondersteunt Z-CERT ruim 160 zorginstellingen. Van Universitaire ziekenhuizen tot GGZ-instellingen, verslavingszorg en jeugdzorg. De stichting deelt actief dreigingsinformatie en kennis met de aangesloten organisaties, vertelt Wim Hafkamp: “Ons team van securityspecialisten speurt dagelijks naar kwetsbaarheden in software en hardware die relevant zijn voor zorginstellingen. Het betreft zowel generieke hardware en software als specifieke software voor bijvoorbeeld medische apparaten. Bij een ‘hit’ krijgen de aangesloten zorginstellingen direct een melding en praktische informatie waarmee ze hun systemen veiliger kunnen maken. Zo voorkomen we dat cybercriminelen misbruik maken van deze kwetsbaarheden. Het is een kat en muisspel dat 24/7 doorgaat.”

Aangifte doen werkt averechts
Behalve via de eigen analisten ontvangt de zorgsector de meeste informatie over kwetsbaarheden via securitypartners zoals het Nationaal Cyber Security Centrum of internationale instanties. In enkele gevallen is het een hacker die een kwetsbaarheid ontdekt. In dat geval kan zo’n hacker meerdere kanten op:

  1. De hacker buit de kwetsbaarheid uit, door het zelf te gebruiken of door te verkopen aan tussenpartij die de bug uitbuit. Door bijvoorbeeld data te stelen, te verkopen en hier financieel beter van te worden.
  2. Hij/zij meldt de kwetsbaarheid bij de betreffende organisatie. De organisatie neemt de melding in behandeling, beoordeelt of het een serieuze melding is en neemt indien nodig direct noodzakelijke maatregelen om schade te beperken. De hacker wordt op een passende manier bedankt. Dit heet een Coordinated Vulnerability Disclosure (CVD).

Nummer 1 wil je koste wat kost voorkomen, legt Jonathan Bouman uit. Maar wat doe je als een hacker je mailt dat je systemen kwetsbaar zijn. Hoe weet je dat het waar is? Hoe pak je zo’n melding aan als zorginstelling? Doe je aangifte? Hacken is computervredebreuk en staat op gelijke voet met inbreken. In principe is een hacker die niet in opdracht van een organisatie werkt, strafbaar.
“Aangifte doen werkt juist averechts”, zegt Bouman. Naast zijn parttime werk als huisarts besteedt hij 14 tot 20 uur per week aan hacken. Hij is een groot pleitbezorger van het CVD-protocol (zie ook kader). “Organisaties met een CVD-protocol op hun website zorgen voor een veilige omgeving voor de hacker om bevindingen te melden. De organisatie zegt als het ware: wij doen geen aangifte tegen jou als jij je informatie deelt met ons. We spelen dit fair. De organisatie krijgt de kans om ‘digitaal te helen’ en de hacker krijgt een passend bedankje, zoals een T-shirt, cadeaubon of een geldbeloning.”
Het correct afhandelen van een CVD-melding kan soms veel tijd kosten. Daarom neemt Z-CERT hierin de leiding voor de aangesloten zorginstellingen. Z-CERT neemt de CVD-meldingen in ontvangst, voert triage uit (welke melding is fake, welke is echt; welke is al bekend en welke moet met spoed worden behandeld) en regelt de communicatie met de hacker.

admin

ICT&health World Conference 2024

Ervaar de toekomst van de gezondheidszorg tijdens de ICT&health World Conference van 14-16 mei 2024! Claim alvast jouw ticket en dompel je onder in baanbrekende technologieën en innovatieve oplossingen. Ga in gesprek met collega-experts en verken de kracht van wereldwijde samenwerkingen.

Deel dit artikel!

Lees ook
AI
Hoe AI urologische problemen bij baby’s voorspelt
acute zorg
Zorgsector pleit in kamerbrief voor betere databeschikbaarheid
Datalek Zuyderland
Datalek bij Zuyderland Medisch Centrum
verpleegkundige
1 op 5 zorgmedewerkers wil zonder ICT werken  
Parkinson Punt Zuyd
Website Parkinson Punt Zuyd gelanceerd
Narcolepsie
Nieuwe app voor brede behandelaanpak narcolepsie
Zorgorganisatie ZuidOostZorg pioniert in haar verpleegklinieken ondertussen al volop met de inzet van Medido medicijndispensers.
Verpleegklinieken pionieren succesvol met medicijndispensers
AI-opleiding
AI-opleiding voor medewerkers ETZ
zelfherstel
Zebravis onderzoek werpt nieuw licht op behandeling blindheid
Transparantie zorg
Politiek eist meer transparantie over kwaliteit van zorg
Volg jij ons al?

Je hebt een abonnement nodig om verder te lezen.

Je 3e gratis artikel is voorbij, klik op de button onderin om een abonnement af te sluiten.