“Hackers lopen altijd twee stappen voor”

Databeveiliging komt steeds hoger op de agenda van het Nederlandse bedrijfsleven te staan. Het is een ontwikkeling die onder meer door de meldplicht datalekken is aangewakkerd. Deze meldplicht is een uitbreiding van de Wet bescherming persoonsgegevens en stelt dat bedrijven die privacygevoelige data verliezen of gehackt worden, verplicht zijn dit te melden. “Databeveiliging binnen de Nederlandse zorg kan nog wel wat optimalisatieslagen gebruiken”, stelt Mahdi Abdulrazak, Chief Information Security Officer bij Diagnostiek voor U in Eindhoven.

 

Diagnostiek voor U beschikt over een modern laboratorium voor bloed- en urineonderzoek. Naast laboratoriumonderzoeken biedt deze non-profitorganisatie onder meer ook röntgenonderzoek, radiologische echo’s, botdichtheidmetingen en zwangerschapsdiagnostiek. Mahdi Abdulrazak licht toe: “Per jaar genereren we vijf miljoen bepalingen die vervolgens aan de huisarts, verloskundige of specialist worden teruggekoppeld. Onze activiteiten nemen veel persoonlijke gegevens met zich mee. Denk daarbij bijvoorbeeld aan de uitslag van een bloed- of SOA-test. Dit is informatie die je niet open en bloot op straat wilt hebben, maar die goed beveiligd dient te worden om de vertrouwelijkheid en integriteit ervan te borgen. Voorheen werden gegevens in analoge dossiers opgeslagen, maar ook in de zorg wordt alles in rap tempo met de nieuwste technologieën gedigitaliseerd en met allerlei eHealth-toepassingen georganiseerd.”

 

Op straat

Binnen Diagnostiek voor U richt Abdulrazak zich op de organisatie van informatiebeveiliging met onder meer het beveiligingsbeleid, beveiligingsplannen en het maken van risicoanalyses. Want wat zou het betekenen als bepaalde informatie of applicaties op straat kwamen te liggen, en welke interne maatregelen dienen genomen te worden om risico’s zo goed mogelijk af te dekken? “Wanneer medewerkers een project opstarten, melden ze zich bij mij en kijken we samen naar de te nemen beveiligingsmaatregelen. Uiteindelijk gaat het om het veiligstellen van cliëntgegevens én het voorkomen van financiële en imagoschade. Bijzondere persoonsgegevens moeten daarom goed opgeslagen en beveiligd worden.”

 

Chantabele informatie

Een gedegen (data)beveiliging zou voldoende moeten zijn, maar het gevaar ‘van buiten’ ligt vaker op de loer dan je denkt. Abdulrazak: “Je merkt dat bedrijfssystemen continu het doelwit van inbrekers zijn. Vooral de zorg ligt de laatste tijd onder het vergrootglas van cybercriminelen, omdat de bewustwording van beveiliging binnen de zorg niet enorm hoog is. Zo is een aantal ziekenhuizen in de Verenigde Staten onlangs gehackt, waarbij miljoenen dossiers werden ontvreemd. Vervolgens worden deze ziekenhuizen hiermee gechanteerd; wanneer je niet betaalt, gooien cybercriminelen de dossiers op straat met alle gevolgen van dien. Recent is geschat dat cybercrime wereldwijd een schade van zo’n 500 miljard dollar veroorzaakt en dat de schade in 2019 richting de twee triljoen dollar gaat. Daarom is het niet verwonderlijk dat ‘the bad guys’ zich steeds vaker en meer op medische informatie richten en op deze manier organisaties in de zorg chanteren. Grote investeringen, kennis en kunde op het gebied van security zijn een vereiste om dit te voorkomen, maar in tegenstelling tot multinationals ontbreekt het de zorg aan financiële middelen om een gedegen beveiligingsbeleid te bewerkstellingen.”

 

Diversiteit

Hoe kun je je als zorginstelling het beste tegen het werk van cybercriminelen wapenen? “Beveiliging is een complexe aangelegenheid”, weet Abdulrazak. “Bedrijven zijn via het internet met partners, leveranciers en andere systemen verbonden. Dat maakt het een complexe aangelegenheid om te beheren en standaardoplossingen zijn helaas niet voorhanden. Dus niet tegen die complexiteit opboksen, maar zorgen dat je er gebruik van maakt om op die manier sterker te worden. Zo zijn homogene systemen makkelijker aan te vallen; voor een hacker is het lastiger zich door een diversiteit aan systemen heen te worstelen. Daarnaast kun je meer decentralisatie in je it-landschap aanbrengen. Wanneer je decentrale componenten hebt, is het makkelijker een specifieke tak direct ‘door te knippen’ waardoor de rest ongemoeid blijft.”

 

Continu proces

Beveiliging is een continu proces: technologieën, mensen en beveiliging veranderen voortdurend. “Met alles wat je binnen de vier bedrijfsmuren doet, moet je met veiligheid rekening houden”, vertelt Abdulrazak. “Zo geef ik geregeld interne presentaties, waarmee ik de beveiligingsbewustwording bij medewerkers aankaart. Hierdoor gaan zij hopelijk steeds beter over security nadenken en nóg voorzichtiger met bijzondere persoonsgegevens om. Security-gerelateerde incidenten meld ik op het intranet. Hackers lopen altijd twee stappen voor, wat dat betreft blijft het een wedloop.”

 

Outsourcen

Diagnostiek voor U maakt al jaren naar tevredenheid gebruik van meerdere beveiligingsoplossingen van Sophos. Dat organisaties (zoals die van Abdulrazak) steeds vaker hun security-uitdagingen uitbesteden, is volgens Pieter Lacroix van Sophos een goede zaak. “Het Nederlandse bedrijfsleven, en in het bijzonder partijen die dagelijks met gevoelige cliëntgegevens te maken hebben, dienen zich eigenlijk niet meer zelf met security bezig te houden. Waarom zou je je druk maken over iets wat geen kerntaak van de organisatie is en wat zo snel verandert dat het vrijwel niet bij te benen is?”

Eerder dit jaar kwam adviesbureau Deloitte met een rapport waaruit bleek dat het Nederlandse bedrijfsleven een mogelijke schadepost van tien miljard euro kent als het om cyberdreigingen gaat. De risico’s van cybercriminaliteit zijn onder te verdelen in onderbreking van de bedrijfscontinuïteit, verminderde betrouwbaarheid van producten en diensten én diefstal van intellectuele eigendommen of strategische informatie. Lacroix: “Veel organisaties zijn gewend om zaken aan specialisten uit te besteden, waarom geldt dit dan nog niet voor security? Het is een marktsegment dat rap verandert en waarin de dreigingen zo mogelijk nog sneller gaan.”

 

DNA

De consequenties van een falende (it-)beveiliging kunnen hoog zijn. Niet alleen wat betreft reputatieschade of omzetderving, maar ook de daaraan gerelateerde boetes. Sinds de meldplicht datalekken van kracht is, zijn bedrijven die privacygevoelige data verliezen of gehackt worden, verplicht dit bij de Autoriteit Persoonsgegevens te melden. Gebeurt dit niet, dan is deze toezichthouder vervolgens gemachtigd boetes tot 820.000 euro op te leggen. Nogmaals Lacroix: “Uit onderzoek dat wij vorig jaar in aanloop naar de nieuwe meldplicht hebben uitgevoerd, bleek dat het gros van de organisaties, met name in de zorg, onvoldoende kennis heeft van de gewijzigde wet en de consequenties. Het is spijtig genoeg dat deze wetgeving noodzakelijk is. Het beschermen van persoonsgegevens zou in het DNA moeten zitten, zeker bij organisaties die in de zorg actief zijn. Cybercriminelen en hackers worden steeds slimmer en de gebruikte technieken geavanceerder. De continuïteit van bedrijven komt daarmee onder vuur te liggen. Security vanuit de cloud is een solide it-beveiligingsoplossing. De configuratie, het beheer en het gebruik zijn een stuk eenvoudiger en de terugverdientijd is beperkt.”

 

 

Gerelateerde berichten...