Privacy en security

Een betere cyberveiligheid in de zorg in 8 stappen

© Production Perig / stock.adobe.com

Zorginstellingen zijn nog altijd kwetsbaar voor hackers en malware, ook als straks nieuwe Europese regelgeving van kracht is. Jalal Bouhdada van Applied Risk ontwikkelde een securityplan in 8 stappen.

Om cyberrisico’s in de zorg aan te pakken, introduceert de Europese Unie in 2020  aangescherpte regels voor medische apparatuur. Inkopers van zorginstellingen zijn er dan van verzekerd dat nieuwe apparatuur voldoet aan stringente cyberbeveiligingseisen. Dit verkleint de kans op het hacken van pacemakers, MRI’s of andere medische apparatuur die met netwerken verbonden is.

Maar zorginstellingen kunnen het zich niet permitteren om uitsluitend op deze regulering te vertrouwen, zegt Jalal Bouhdada, ceo van securitybedrijf Applied Risk. “Een afdoende cyberveiligheid van een zorginstelling vergt veel meer. Ik weet dat de vereiste maatregelen complex kunnen zijn, maar een overzichtelijke lijst van aanbevelingen en stappen biedt leidraad bij het verstevigen van de broodnodige verdediging tegen cyberrisico in de zorg.”

Met het doorlopen van de volgende stappen bereik je Bouhdada “een behoorlijke basisveiligheid”.

1 Erken dat cyberrisico een reëel risico is

“Ik zie nog steeds dat zorg instellingen denken dat het allemaal zo’n vaart niet loopt met de hack-risico’s. Dit komt mogelijk deels doordat de beslissers vaak medisch geschoolde senior managers zijn die weinig van cybersecurity weten. De steun van het topmanagement is echter noodzakelijk om een afdoende cyberbeveiliging voor elkaar te krijgen.”

2 Breng in kaart wat je in huis hebt aan cybergevoelige ‘assets’

“Veel instellingen hebben onvoldoende overzicht van hun netwerken, gebouwen en apparatuur en welke daarvan kwetsbaar zijn voor digitale indringers. Dat is begrijpelijk, want de infrastructuur is doorgaans stapsgewijs ontstaan en iedere instelling kent zijn eigen historie. Ik adviseer om onderscheid te maken in gebouwen, medische apparatuur en ondersteunende datasystemen. Bij de gebouwen gaat het ook om systemen voor stroomvoorziening, verwarming en afvalverwerking. De medische apparatuur is veelomvattend, van grote, dure MRI’s tot betlaabare cardio-apparatuur voor individuele patiënten. Bij de datasystemen kun je denken aan zaken als patiëntendossiers, die vaak in de cloud staan opgeslagen en onderhevig zijn aan de privacywetgeving.

3 Verricht een audit van de aan netwerken gekoppelde systemen

“Veel aangekochte medische systemen zijn ‘plug and play’. Deze werken dus vrijwel meteen en worden daardoor vaak zonder veel nadenken aan een netwerk gekoppeld. Maar hoe is de toegang tot die systemen geregeld? Wie bepaalt wie welke toegangsrechten krijgt? Voordat je een systeem koppelt, is het zaak vast te stellen hoe dit veilig kan gebeuren. Dit betekent ook dat je de vereisten definieert waaraan je apparatuur en netwerken moeten voldoen, afgestemd op de behoeften van de instelling.

4 Kies voor ‘secure by design’

“Dit betekent dat cyberveiligheid van apparatuur en systemen vanaf het begin van het aankoopproces tot het einde van de levenscyclus een criterium is bij elke stap van besluitvorming.”

5 Zorg voor segmentatie van je infrastructuur

Hoe meer je netwerken zijn gesegmenteerd, hoe moeilijker een instelling als geheel digitaal valt over te nemen. Mocht een hacker één compartiment binnendringen, dan heeft hij nog niet zomaar toegang tot andere. Dit verkleint het cyberrisico aanzienlijk.”

6 Bouw een structuur voor monitoring van netwerken en reageren op incidenten

“Stel hiervoor een team samen van mensen die over de vereiste mix aan kennis en vaardigheden beschikken.”

7 Voer regelmatig test-hacks uit, samen met externe partners

“Deskundigen van buiten zijn onmisbaar, en hoe meer ervaring met hacken ze hebben, hoe beter het is. Zorg tegelijkertijd voor goede rapportagemogelijkheden zodat het management over de kwetsbaarheden en incidenten wordt geïnformeerd en daarop kan reageren.”

8 Bouw aan een bedrijfscultuur met aandacht voor cyberveiligheid op alle niveaus

“Last but not least: zorg ervoor dat al je mensen doordrongen zijn van het belang van cyberveiligheid. Dat gebeurt niet van de ene dag op de andere. Ontwikkel dus bewustwordingsprogramma’s over cyberrisico, inclusief bescherming van privacy. En geef dit een plaats in de HR- en opleidingsprogramma’s.

 

 

 

Reacties