We hebben het er niet dagelijks over, maar er is iets groots gaande: de digitale transformatie. Het vertegenwoordigt een van de belangrijkste kantelpunten in de geschiedenis van de wereldeconomie. Elke organisatie heeft ermee te maken en omdat de digitale risico’s zo groot zijn, is een goede it-beveiliging essentieel. Het is niet alleen een verdedigingsmechanisme, maar ook een pijler van digitale transformatie. Tenminste, zo zou het moeten zijn.
Om security een fundament van de digitale transformatie te maken, moeten instellingen nadenken en investeren in een uitgebreide beveiligingsarchitectuur die hun organisatie en patiënten altijd en overal beschermt. Dit vraagt om een beveiligingskader dat in staat is om informatie over bedreigingen te verzamelen, die uit te wisselen, zich aan te passen aan wijzigingen binnen het netwerk en automatisch te reageren op beveiligingsincidenten, waar die zich ook maar voordoen.
Plan of daad
Omdat de meeste instellingen niet over een dergelijk systeem beschikken, voldoen ze niet aan de nieuwe privacywet. Zo blijkt uit een recent onderzoek van Ernst en Young[1] dat een op de drie Nederlandse bedrijven (37%) nog geen idee heeft hoe ze aan de GDPR (of AVG), de komende nieuwe privacywetgeving, moeten voldoen. Op de vraag hoe bedrijven zich voorbereiden op de GDPR, antwoordt 63 procent met ‘we hebben een plan’.
Een plan is mooi, maar zonder daden houdt dat in dat er op 25 mei veel organisaties zijn die niet aan de GDPR voldoen. Hoe kan dit? Dit probleem is gedeeltelijk te wijten aan het feit dat de meeste beveiligingsoplossingen nooit zijn ontwikkeld voor de geavanceerde bedreigingen waartegen ze nu bescherming moeten bieden. Hierdoor duurt het vaak weken of zelfs maanden voordat beveiligingsincidenten worden opgemerkt. Wat GDPR-compliance verder bemoeilijkt, is dat de meeste beveiligingsoplossingen geen bedreigingsgegevens verzamelen, uitwisselen en met elkaar in verband brengen. De meeste forensische analyses worden nog altijd met de hand uitgevoerd. Daar kunt u alleen verandering in brengen door uw beveiligingsinfrastructuur te herzien en uw beveiligingstools te moderniseren.
De realiteit is dat er zich onvermijdelijk beveiligingsincidenten zullen voordoen, welke voorzorgsmaatregelen organisaties ook treffen. Het geavanceerde karakter en de snelheid van moderne cyberaanvallen zijn daar debet aan. Daarbij zijn zorginstellingen door de waardevolle gegevens die zij in hun bezit hebben, een extra aantrekkelijk doelwit voor cybercriminelen. De kwetsbare medische applicaties en apparatuur en het uitdijende aanvalsoppervlak hebben een uitgebreide beveiligingsaanpak nodig.
Herstel van vertrouwen
In plaats van deze nieuwe richtlijn als een probleem te zien, kunt u de GDPR ook zien als een kans. Het geeft zorginstellingen de mogelijkheid nieuwe technologie in te zetten, zodat er veiliger en productiever gewerkt kan worden. De nieuwe wet dwingt ons om afscheid te nemen van onveilige systemen en werkmethodes, en dat is een goede zaak. Want het vertrouwen van patiënten en cliënten wordt beïnvloed door hun perceptie van de risico’s die samenhangen met zorgsystemen. Er bestaat immers de kans dat hun persoonlijke gegevens in de verkeerde handen vallen. Zorginstellingen die ruimschoots voldoen aan de eisen van de GDPR zullen deze zorgen voor een groot deel kunnen wegnemen.
GDPR aandachtspunten
Welke punten zijn essentieel bij een volledige beveiliging? Uiteraard is het zaak om in kaart te brengen welke privacygevoelige gegevens gevaar lopen. Vervolgens moet u een strategie voor risicobeheer implementeren die voorziet in bescherming, detectie en rapportage en tegenmaatregelen, waar er binnen uw netwerk ook maar een beveiligingsincident optreedt. De volgende aandachtspunten helpen u hierbij:
- Het is belangrijk om de beveiliging niet langer als preventieve maatregel te zien. Vraag uzelf af wat u anders zou doen als u wist dat uw netwerk vandaag door een succesvolle cyberaanval zou worden getroffen. Bereid u voor op het onvermijdelijke met de juiste strategieën voor detectie, herstel, back-ups en disaster recovery.
- Zorginstellingen kunnen niet langer beveiligingsoplossingen los van elkaar gebruiken, dat is namelijk vragen om problemen. Het antwoord is geïntegreerde tools die bedreigingsinformatie in real time delen en met elkaar samenwerken voor automatische detectie en blokkering van beveiligingsincidenten. Deze tools moeten daarnaast blijk geven van aanpassingsvermogen, zodat u uw beveiliging kunt opschalen zodra er veranderingen binnen uw IT-omgeving optreden of u nieuwe netwerktechnologie in gebruik neemt.
- Verwerf inzicht in wat u nodig hebt – breng alle persoonlijk herleidbare informatie en interne gegevens in kaart. Ga na welke incidenten u moet melden en welke data u na een aanval snel veilig moet stellen/desinfecteren (en hoe u dat gaat doen). Dat betekent dat u in staat moet zijn om data zowel tijdens de opslag als overdracht te volgen, beveiligingsincidenten binnen het hele netwerk te detecteren, voor snelle tegen- en herstelmaatregelen te zorgen en incidenten snel te rapporteren – zelfs als die plaatsvinden in een multi-cloud-omgeving of op mobiele en IoT-apparaten buiten de instellingsmuren.
- Het is niet voldoende om aanvallen te blokkeren, de GDPR wil ook dat u kunt aantonen dat u aan de eisen voldoet. Dit vraagt om governance-maatregelen zoals documentatie, het bijhouden van logboeken en voortdurende risicobeoordeling. Een systeem dat voorziet in centraal beheer, orchestration en rapportage en in staat is om met beveiligingsvoorziening binnen uw netwerk te communiceren, is onmisbaar voor elke compliance-strategie. Dit moet worden aangevuld met beveiligingstools die gebruikmaken van een gemeenschappelijk communicatiekader voor het uitwisselen en met elkaar in verband brengen van netwerkdata, beleidsregels en bedreigingsinformatie.
- Ten slotte moet u uw organisatie beschermen tegen geavanceerde bedreigingen. Dat vraagt om veel meer dan traditionele next generation firewalls. ATP (advanced threat protection) oplossingen bieden u dynamische beveiliging op basis van technieken als sandboxing, microsegmentatie, gedragsanalyse, machine learning en automatisering.
Hoe helpt Fortinet?
De security fabric van Fortinet is een nieuwe architectuurbenadering voor informatiebeveiliging. Het is een allesomvattende oplossing, opgebouwd uit firewalls, cloud-beveiliging, bescherming tegen geavanceerde bedreigingen, unified threat management (voor kleinschalige omgevingen zoals doktersposten en klinieken), applicatiebeveiliging, veilige toegang en diensten voor network operations centers (NOC) en security operations centers (SOC). Het security fabric-model biedt integrale grip op het voortdurend veranderende netwerk.
Fortinet biedt zorginstellingen:
- Een centrale beveiligingsarchitectuur die het makkelijker maakt om patiëntgegevens te beschermen.
- Robuuste klinische beveiliging dankzij ons advanced threat protection (ATP)-framework.
- Internal Segmentation Firewalls voor optimale bescherming van medische apparatuur.
- Effectief centraal beheer van de beveiliging, draadloze access points en LAN-switches.
- Verbeterde prestaties dankzij het indelen van applicaties op prioriteit, optimalisatie van het dataverkeer en beveiliging op apparaat-niveau ter ondersteuning van nieuwe zorgverleningsmodellen.
Fortinet helpt bij uiteenlopende beveiligingsbehoeften van zorginstellingen. Met naadloos geïntegreerde en schaalbare oplossingen zorgen we ervoor dat u nooit concessies hoeft te doen aan de beveiliging of prestaties.
Wil u meer weten over Fortinet’s oplossingen voor de zorg? Kijk dan op www.fortinet.com/solutions/industries/healthcare of bel Fortinet NL: 030-7991008
Vincent Zeebregts is country manager Fortinet Nederland
[1] http://www.ey.com/Publication/vwLUAssets/ey-how-can-you-disrupt-risk-in-an-era-of-digital-transformation/$FILE/ey-how-can-you-disrupt-risk-in-an-era-of-digital-transformation.pdf
