De zorg is een complexe sector met een dito systeemlandschap, waarin (zeer) hoge eisen worden gesteld aan de veiligheid en privacy van patiënt- en medische gegevens. Om de zorgsector cyberveiliger te maken, is voor en door de zorgsector na een gedegen voorbereiding in 2017 Z-CERT opgericht. Ook het ministerie van VWS ziet Z-CERT op het gebied van cybersecurity als een belangrijke, richtinggevende partij. De instantie wil die rol ook spelen voor de zorg, maar benadrukt wel dat verdere doorontwikkeling – zowel in diensten als in sectoren – zorgvuldigheid vereist. Proeftuinen zijn de beste weg om daarin stappen te zetten.
‘Ziekenhuizen (en dus patiënten) kwetsbaar voor cyberaanvallen’. Een uitdagende kop, op de voorpagina van Elsevier, afgelopen februari. In de media verschijnen regelmatig dergelijke berichten en aan Z-CERT, maar ook aan de minister van VWS worden hierover dan ook vragen gesteld.
Hiernaast verschijnen regelmatig berichten over incidenten die zich in de zorgsector hebben voorgedaan en (onderzoeks)rapporten die waarschuwen over cybersecurity in de zorgsector. Aan aandacht in de media en in politiek Den Haag geen gebrek. Een belangrijke taak van Z-CERT is om dergelijke berichten in de juiste context te plaatsen en te duiden, maar ook haar deelnemers van passende informatie met betrekking tot cybersecurity te voorzien. Deelnemers van Z-CERT zijn momenteel alle ziekenhuizen (Universitaire Medische Centra, topklinisch en algemeen), categorale instellingen en enkele instellingen uit de GGZ en de care (langdurige zorg).
Op basis van een haalbaarheidsstudie (2015) en uitvoeringsplan (2016) begon Z-CERT in 2017 zijn eerste diensten te leveren en beleefde het op 1 januari 2018 haar officiële start als computer emergency response team (CERT). In eerste instantie voor de leden van de Nederlandse Federatie van Universitaire medische centra (NFU), de Nederlandse Vereniging van Ziekenhuizen (NVZ) en GGZ Nederland.
De grotere ziekenhuizen, maar ook multinationals, beschikten toen al over een CERT met als belangrijkste taak: (cyber)security incidenten zo snel als mogelijk oplossen, de schade zoveel als mogelijk beperken en herhaling voorkomen. Het is dan ook logisch dat de toenmalige zorginstellingen in 2015-2016 de koppen bij elkaar staken om op dit gebied tot samenwerking te komen. Want als het om cybersecurity gaat, ervaren ze in de kern dezelfde problemen.
Dienstverlening Z-CERT
Z-CERT levert vanaf einde 2017 (formeel vanaf 1 januari 2018) cybersecurity-diensten aan zorginstellingen. Momenteel bestaat de dienstverlening uit:
• Het ondersteunen en adviseren bij het oplossen van cybersecurity-incidenten;
• Het distribueren van informatie over kwetsbaarheden van hardware en software;
• Het monitoren of zorginstellingen op blacklists voorkomen en bij een ‘positieve hit’ het adviseren over te nemen vervolgstappen;
• Het distribueren van berichten en (onderzoeks)rapporten uit de media;
• Het beantwoorden van vragen over cybersecurity;
• Het bieden van een platform waar security specialisten informatie onderling delen.
Z-CERT opereert vanuit een zelfstandige en onafhankelijke positie en is bij uitstek een netwerkorganisatie. Met nationale en internationale (sectorale) CERT’s, ISAC’s, etc. wisselt de instantie continu informatie uit over cybersecurity. Dit alles met als doel om de zorgsector veiliger te maken. Met de inrichting van Z-CERT en de nu aangesloten instellingen is het volwassenheidsniveau voor cybersecurity in de zorg duidelijk toegenomen.
De wereld van cybersecurity staat niet stil. Voor Z-CERT is het dan ook zaak om de diensten te blijven ontwikkelen en te verbeteren. Reden voor Z-CERT om momenteel samen met een aantal deelnemers te verkennen welke nieuwe diensten in het verlengde van bestaande diensten kunnen worden (door)ontwikkeld. Opties die de revue passeren, zijn diensten om domeinnamen van zorginstellingen en kwetsbaarheden van websites te monitoren.
Dergelijke diensten worden steeds belangrijker, omdat zorginstellingen onderling en met patiënten steeds vaker medische gegevens uitwisselen. Deze gegevens mogen onderweg niet worden gemuteerd of in verkeerde handen vallen. De ontwikkeling van nieuwe diensten vindt plaats in proeftuinen, ofwel: kleinschalig, gefaseerd en met duidelijke evaluatiemomenten.
