Zorg voor de cliënt omvat ook diens privacy
Nederland levert topzorg en beschikt wereldwijd over de beste ict-infrastructuur. Om hiervan op de juiste manier te profiteren en de digitalisering te omarmen, blijkt voor veel zorginstellingen echter een brug te ver.
Zorgsectoren lijken afwachtend en zetten pas stappen als een ander dat eerst doet. Steeds meer CIO’s in de zorgsector krijgen te maken met ransomware. Toch neemt lang niet iedereen de juiste maatregelen. Investeringen in cloudtechnologie en ict-security helpt zorginstellingen hun kwaliteit te verbeteren en hiermee hun concurrentiepositie te versterken: er is dus voor zowel de CIO als voor het Bestuur winst te behalen.
Een schot hagel
Steeds meer zorgorganisaties worden het slachtoffer van ransomware. De kans dat gevoelige gegevens in verkeerde handen vallen is groot, vanwege verouderde systemen en beveiligingsmethoden. Security-experts schreeuwen moord en brand. Sijmen Ruwhof, beveiligingsonderzoeker die voor meerdere ziekenhuizen de ict-beveiliging testte, zei tegen de NOS: “Ransomware is eigenlijk een schot hagel. Een toevalstreffer. Kun je nagaan wat er gebeurt als hackers proberen gericht een organisatie te treffen.” Wanneer zijn raden van bestuur van zorginstellingen ervan overtuigd dat meer budget voor ict-beveiliging een must is? Volgens Manfred Pallencaöe – director delivery Managed Cloud Services bij Avensus – wordt de soep inmiddels even heet gegeten als hij opgediend wordt: “De CIO of CSO moet nú in actie komen. Het is de hoogste tijd voor een nieuwe mindset in de zorg bij CIO en medewerkers. Anders is de ellende straks niet te overzien.”
Budgetten
“Veel ict-beveiliging in Nederlandse zorginstellingen is niet meer van deze tijd”, zegt René van Loenen, Channel Manager bij cybersecurity-specialist Trend Micro. “Een vreemde constatering als we bedenken dat we in ons land de beste ict-infrastructuur ter wereld hebben. En helemaal merkwaardig wordt het als we weten dat gezondheidsinstellingen steeds vaker doelwit zijn van cybercriminelen. Dit hangt samen met het – overigens begrijpbare – principe in de zorg van ‘zoveel mogelijk budget voor de cliënt’, wat ten koste gaat van ict-investeringen. De druk op ICT neemt ondertussen toe door de toenemende stroom aan data en de noodzaak om compliant te zijn aan nieuwe wet- en regelgeving, zoals de aankomende GDPR in mei 2018. Bedreigingen worden groter, maar budgetten groeien niet evenredig mee. Schade als gevolg van een inbreuk kan aanzienlijk zijn: systemen op slot, imagoschade, kosten voor herstel enzovoort. En nergens is de dreiging van cybercrime meer relevant dan in de gezondheidszorg, waar alles, van datalekken tot ransomware-aanvallen, direct ernstige gevolgen kunnen hebben voor de patiëntenzorg. Het belang en zelfs de veiligheid van zorgnemers en -verstrekkers komen mogelijk in het geding. Voorkomen is beter dan genezen, wordt branchebreed gepredikt, maar op het gebied van ict-security zie je dat onvoldoende terug.”
Nieuwe mogelijkheden, zoals ‘managed’-cloudtechnologie, worden nog niet door iedereen toegepast. De aanname dat je patiëntgegevens beter ‘on premise’ kunt beveiligen, overheerst, terwijl dit maar ten dele waar is. Malware – zoals WannaCry of Petya – slaat zijn slag namelijk vaak in de directe nabijheid van de medewerker. Volgens Europol heeft WannaCry al 200.000 slachtoffers gemaakt in 150 landen, waaronder de nodige zorginstellingen. “Cybercrime is big business”, aldus Van Loenen. “Wat ons betreft maken we daar in Nederland zo snel mogelijk korte metten mee.”
Back-up
Pallencaöe constateert dat het aantal CIO’s dat meerdere malen de schade van één en dezelfde malware moet repareren zienderogen toeneemt. “Dat komt onder andere door het niet tijdig plegen van systeemonderhoud van je legacy-applicatielandschap en ict-infrastructuur. Onlangs werden in één ziekenhuis 75 met ransomware besmette desktops aangetroffen (bron: NOS). Vandaag de dag kun je al je ict-security op één platform laten onderhouden, monitoren en bijwerken. Je hele omgeving is dan optimaal ingericht en bovendien houdt het anti-malwareplatform ransomware effectief tegen. Wil je 24/7 continuïteit en de beste bescherming? Richt hier de juiste tools voor in en besteed het desnoods uit. Je weet dan zeker dat je het minste risico loopt en altijd controle houdt.”
Een bijkomend probleem is dat de back-up van gegevens niet altijd optimaal geregeld is. De consequenties na een inbreuk van ransomware zijn dan niet te overzien. Denk alleen al aan het herstellen van systemen en data zonder goede back-up. De primaire oorzaak van een gijzeling blijft de rol van de mens. Veelal is het openen van een onschuldig ogend niet-werkgerelateerd mailtje de oorzaak van een besmetting met ransomware. “Medewerkers zullen dit blijven doen”, weet Pallencaöe, “en dit risico moeten we nu eenmaal incalculeren. Juist daarom moeten we ervoor zorgen dat de cliëntendatabase geen gevaar loopt. Ransomware zit vaak allang in een donker hoekje van je systeem te wachten om geactiveerd te worden. Dus ook na het patchen van een besmetting.”
De positie van ICT
Volgens René van Loenen is bewustzijn rondom de investering in goede beveiliging binnen de zorg de eerste stap. “Belangrijk is ook dat de CIO precies weet wat hij aan beveiliging doet. Je kunt geen steek meer laten vallen, in geen enkele laag van je ICT, óók de business niet. Als je realtime met dossiers werkt, zoals bijvoorbeeld de declaraties voor de verzekeraars, maar ook met connected apparatuur, moet je enerzijds aanvallen kunnen afweren en anderzijds tijdig hacks kunnen detecteren. Het kasteel moet uitstekend beveiligd zijn, maar je medewerkers moeten ook mobiel kunnen werken, en er moet ruimte zijn voor gecontroleerde ‘shadow IT’. Daarom raad ik klanten aan gebruik te maken van cloud-security, zodat hun beveiliging altijd actueel is. Bovendien leert een dergelijke oplossing continu van incidenten, dankzij een realtime ‘threat intelligence’-platform. Zodoende kan er altijd adequaat en accuraat worden geanticipeerd op nieuwe malware.”
Naast een futureproof beveiligingsmethodiek, moet ook de positie van ICT binnen zorginstellingen opnieuw beoordeeld worden. De CIO zal zijn Raad van Bestuur ervan moeten doordringen dat ict-security, ondanks beperkte budgetten, hoog op de prioriteitenlijst moet staan nu dit direct invloed heeft op de kwaliteit van zorg en dus de patiënt. Zorgen voor de cliënt is ook zorgdragen voor zijn privacy. Daarnaast moeten medewerkers alert blijven op cybergevaren die voortkomen uit hun gedrag. Waarom nog langer wachten met het optimaliseren van veiligheidsmaatregelen? Verzekeraars, overheden, maar ook cliënten, eisen van iedere zorgverlener of -instelling adequate security. De meeste instellingen zien hun ict-beveiliging echter nog niet als business, terwijl het dat stiekem wel is. “Voor hen is het te hopen dat het alarm van de ict-afdeling net zo stil blijft als die op zijn kans loerende ransomware”, besluit Pallencaöe.