In de zorgsector is er bij veertig procent van de cybersecurity-incidenten, waarbij daadwerkelijk data in verkeerde handen is gevallen, sprake van handelen door een interne medewerker. Hier is dus winst te behalen op het gebied van bewustzijn. Zorginstellingen zullen op dit vlak hun inspanningen moeten intensiveren.
Wanneer datalekken in de zorgsector in het nieuws komen, wordt in eerste instantie gekeken naar medewerkers die steken hebben laten vallen. Begrijpelijk, omdat fouten in relatie tot security doorgaans op de werkvloer gemaakt worden. Maar wie verder kijkt, kan zich ook afvragen: hoe cyberbewust en cybervaardig is het bestuur van een zorginstelling en hoe dragen zij het belang uit naar de organisatie? Cybersecurity is net zoals de zorg voor patiënten- en cliënten, teamwork.
Wat is de impact van personeelstekort?
De zorg is altijd een sector geweest waarin datalekken voornamelijk worden veroorzaakt door de menselijke factor. Hierin verschilt de zorg niet van andere sectoren. Dit blijkt onder andere uit onderzoek van Verizon dat ieder jaar honderdduizenden security-incidenten en datalekken wereldwijd analyseert. Zij duiken specifiek in verschillende sectoren, waaronder de zorg. Kijken we naar de resultaten van het rapport van 2022 – met data uit 2021 – dan zien we een lichte daling in het aantal interne fouten relatief afneemt. Desalniettemin gaat het dus nog altijd om 40 procent van alle datalekken; geen aanleiding om achterover te leunen.
Fouten door medewerkers, waar hebben we het dan over? Meestal gaat het om fouten zoals:
- Een medisch dossier delen met de verkeerde mensen.
- Een USB-stick laten rondslingeren.
- Onderzoeksgegevens op de printer laten liggen.
- Het ontbreken van controle op toegangsrechten.
Er is vaak geen enkele sprake van kwade opzet, maar door hoge werkdruk is een fout snel gemaakt en kunnen de gevolgen groot zijn. Privacygevoelige gegevens komen in verkeerde handen of cyberaanvallers dringen binnen en kunnen kernsystemen versleutelen en losgeld eisen. Dit brengt de continuïteit ernstig in gevaar, wat voor een zorginstelling funest kan zijn.
Hoe ga je aan de slag met awareness?
Je moet dus als zorginstelling meer energie steken in bewustzijn in relatie tot security. Er zijn verschillende manieren voor het creëren van meer awareness. De start van awareness begint bij het managementteam. Ook hier kun je interventies doen, zoals:
- In gesprek gaan met het MT om hen meer inzicht te geven in de risico’s rondom Informatiebeveiliging en Privacy (IB&P) risico’s.
- Awareness sessies organiseren op boardroom niveau over informatiebeveiliging en privacy.
Voor de rest van de organisatie zijn er aanvullende manieren. Dit is te verdelen in grofweg twee methodes:
- Je benadert de gebruikers persoonlijk en gaat in gesprek met deze zorgverleners over het werk dat zij uitvoeren. Dit kan via gerichte gesprekken, je kunt aansluiten bij teamoverleggen, bij het koffiezetapparaat, etc. Zet een digicoach of innovatieambassadeur in om samen met de zorgverleners te kijken naar bewustwording en verbetering van hun gedrag in het omgaan met gevoelige informatie. Zo kan je tegelijkertijd awareness creëren en de digitale vaardigheden verbeteren.
- Je ontplooit generieke initiatieven richting de gehele organisatie. Je verstuurt phishing mails en monitort het gedrag van medewerkers en hoeveel mensen ‘erin trappen’. Je rolt een e-learning programma uit met examen en je biedt social engineering oefeningen aan. Vervolgens toets je periodiek wat de vooruitgang is en aan welke kennis nog behoefte is. Op deze wijze kan je goed de risico’s inzichtelijk maken en wordt duidelijk waar de potentiële lekken in de organisatie zich bevinden. Let wel op dat hierdoor geen angstcultuur ontstaat om dingen te melden.
Welke aanpak kies je dan? Het is goed mogelijk om te beginnen met een organisatiebrede benadering om vervolgens per team of individu tot een gerichtere aanpak te komen. Zo werk je stapsgewijs toe naar een grotere digitale weerbaarheid en meer bewust en veilig informatiegedrag.
Rob Feld is Accountmanager Healthcare bij Telindus.
Lees ook:
- Door SASE gaat het niveau van de beveiliging met sprongen vooruit
- Tijd voor een goed verband tussen zorg en IT