Sinds de Russische invasie in Oekraïne worden er bijna dagelijks cyberaanvallen uitgevoerd die gerelateerd zijn aan de oorlog. Zo zijn onder meer overheden, banken, luchthavens en bedrijven al het doelwit geweest van DDoS-aanvallen. Deze aanvallen worden vaak uitgevoerd door hacktivisme-groepen die Rusland steunen en wraak nemen voor bijvoorbeeld het leveren van wapens aan Oekraïne.
Zorginstellingen lijken vooralsnog niet direct een doelwit te zijn voor de cybercriminelen. Toch lopen ze het risico op bijvoorbeeld uitval van diensten van hun internet- of cloudprovider als deze getroffen wordt door een cyberaanval. Hoe zit het met het toezicht op de beveiliging van leveranciers?
Ketenafhankelijkheid
Steeds meer zorginstellingen gebruiken cloud- of andere vormen van digitale diensten. Verstoring hiervan kan grote gevolgen hebben voor de dagelijkse praktijk van de zorginstelling. Vorig jaar bijvoorbeeld konden zorgmedewerkers van een Nederlands ziekenhuis een aantal uren niet het EPD raadplegen dat was ondergebracht bij een clouddienst. Dit onderstreept waarom het goed is om die ketenafhankelijkheid in kaart te brengen.
In principe is het is aan de zorginstelling zelf om te zorgen voor een uitwijkmogelijkheid als een service provider geen diensten kan leveren. Ook de service provider zelf moet ervoor zorgen dat de dienstverlening te allen tijde kan doorgaan.
Vitaal of niet
Bepaalde organisaties zijn nu bestempeld als vitale infrastructuur, waaronder alles van de Rijksoverheid. Organisaties in vitale sectoren zijn verplicht om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) en de sectorale toezichthouder. Begin juli maakte minister Micky Adriaansens van Economische Zaken en Klimaat bekend dat ook DNS (Domain Name System)-providers en grote datacenters (die 50 megawatt of meer aan stroom verbruiken) worden aangemerkt als vitale infrastructuur.
Zorgplicht
Organisaties die zijn aangemerkt als vitale infrastructuur moeten zich houden aan de regels die eind 2018 zijn vastgelegd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Dat geldt ook voor andere bedrijven die vallen onder de categorie digitale service providers (DSP), zoals cloudproviders. Ze moeten daarom ‘technische en organisatorische maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen’. Dit is de zogenaamde zorgplicht. Het Agentschap Telecom controleert of de zorgplicht door de organisatie in kwestie juist is nageleefd.
De eisen en voorwaarden voor DSP’s zijn nu breed omschreven en geven ruimte voor eigen invulling. Voor veel bedrijven is het daarom onduidelijk waar ze precies aan moeten voldoen. Om die reden heeft het Agentschap Telecom op 1 juli zijn Wbni-zelftest voor digitale dienstverleners (DSP’s) gelanceerd. Die test beantwoordt twee vragen voor de DSP’s: val ik onder de Wet beveiliging netwerk- en informatiesystemen en voldoe ik aan de doelstellingen van de zorgplicht?
NIS2
Gelukkig is de weerbaarheid van de meeste cloudaanbieders op een hoog niveau. De clustering van meerdere zorgpartijen die diensten afnemen bij dezelfde DSP, kan echter een verhoogd risico opleveren op verstoring van dienstverlening als gevolg van cyberaanvallen. En met de toenemende digitalisering is dat een groeiend probleem.
Overigens is de kans groot dat er strengere eisen gesteld zullen worden aan de beveiliging van digitale diensten met de komst van nieuwe Europese wetgeving. Op dit moment geldt in Europa NIS1, een wet voor netwerk- en informatiesystemen, voor essentiële bedrijven, zoals water- en bepaalde energiebedrijven.
De opvolger is de NIS2, (Directive on Security of Network and Information Systems 2). En deze wet gaat strengere eisen stellen aan de digitale beveiliging van veel organisaties. De verwachting is dat managed service providers (MSP’s) en cloudproviders onder de vitale sector zullen gaan vallen. Waarschijnlijk moet de NIS2 uiterlijk in 2024 in nationale wetgeving zijn omgezet.
