Het ecosysteem van de CAMCUBE

Het is voor iedere zorgorganisatie essentieel dat informatie beschikbaar is, integer en vertrouwelijk. Alleen als informatie aan deze drie voorwaarden voldoet, kunnen de bedrijfsprocessen soepel verlopen. Daartoe moet dan wel de veiligheid van alle informatie op orde zijn.

Binnen de zorgsector in Nederland zit de schrik er goed in. Deze sector heeft veelvuldig te maken met ransomware. Uit cijfers van Z-Cert, het computer emergency response team voor de zorg, blijkt dat er in 2021 vijf zorginstellingen slachtoffer waren van ransomware. Dat zijn de officiële meldingen; de kans is groot dat het in werkelijkheid een veelvoud betreft.

Per incident kostte het gemiddeld € 2,5 miljoen om alle zorgprocessen weer draaiend te krijgen. De hersteltijd bedroeg gemiddeld 25 dagen, waarbij dan ook nog eens slechts 70 procent van alle data in gelijke mate beschikbaar, integer en vertrouwelijk waren als vóór de aanval. Wat nog erger is: een cyberaanval kan voor de zorg zelf grote consequenties hebben. Met een beetje pech raakt de zorgfunctie van een hele regio verminkt en hoe langer dat duurt hoe ernstiger de gevolgen.

Het gehele ecosysteem

Al geruime tijd klinken er geluiden dat informatieveiligheid op een hoog niveau in de organisatie thuishoort. Een verstandige inschatting. Maar het verrijken van iemands functienaam met ‘Chief’ en ‘Officer’ en hem of haar een toegangspas tot de boardroom te geven, betekent niet automatisch dat die persoon de essentie van het vakgebied begrijpt.

Die essentie? Cybersecurity werkt alleen goed als je het gehele ecosysteem in ogenschouw neemt. Maar zelfs als een CISO doordrongen is van deze essentie, dan nog kunnen issues als budgetbeperkingen, een tekort aan vaardig personeel en gebrek aan beschikbare kennis en kunde roet in het eten gooien. In de dagelijkse ICT-praktijk van ziekenhuizen en andere zorginstellingen ligt de focus vrijwel uitsluitend op de beschikbaarheid van de infrastructuur.

Onder de druk van bovengenoemde beperkende factoren zoekt men naarstig naar het beste voor het minste geld bij allerlei aanbieders. Nog steeds bestaat cybersecurity bij veel zorginstellingen uit een lappendeken aan verschillende (punt)oplossingen. Dit wordt meer gedicteerd door krappe budgetten en het ontbreken van kennis en een goed overzicht, dan door inhoudelijke argumenten. Het onderscheid tussen kosten en waarde is niet altijd even helder. Wanneer er een probleem is, worden er links en rechts firewalls, tools, certificaten of encryptie ingezet, zonder oog voor het gehele ecosysteem. Dit verergert de complexiteit en de beheersbaarheid. Geen wonder dat cybercriminelen juist hier hun digitale pijlen op richten.

Zorg bezig met zorg

De overkoepelende visie van CAM bestaat uit de volgende vier woorden: ‘Zorg bezig met zorg’. En om dat waar te kunnen maken, staat veiligheid voorop. Dankzij jarenlange ervaring in de zorgsector is het standaard veiligheidsniveau van de CAMCUBE enorm hoog.

Dit is voor CAM zo vanzelfsprekend, dat deze dienstverlener hierover zelden of nooit spreekt. Het hoge veiligheidsniveau hangt samen met het feit dat het als een compleet ecosysteem is opgebouwd, met als doel het veilig ontsluiten van informatie voor de zorgprofessional. Zoals gezegd staan de techniek, product- en leverancierskeuze in dienst van het beleid en de processen, met een scherp oog voor wetgeving, richtlijnen en normeringen.

Het geheel aan maatregelen heeft één helder doel: het waarborgen van de heilige drie-eenheid van informatieveiligheid, de zogeheten BIV-classificatie: 1) Beschikbaarheid; de mate waarin de benodigde informatie beschikbaar is, 2) Integriteit; de mate waarin de informatie foutloos is en 3) Vertrouwelijkheid; de mate waarin gerechtigden toegang hebben tot informatie.

CAM IT Solutions is uitgegroeid tot een gesprekspartner van formaat op strategisch niveau. Met de eigen ervaring in de zorgwereld én de ondersteuning van KPN weten de professionals van CAM precies wat er speelt op het gebied van cybersecurity.

De cirkel van invloed

In de dagelijkse praktijk wordt er veel gemopperd op leveranciers en op trage systemen. De werkelijkheid die daarachter verscholen gaat, is dat een zorginstelling erg weinig FTE’s beschikbaar heeft om één of een paar applicaties te configureren en te beheren.

Taken die vaak worden toegewezen aan iemand die al overbelast is en geen duidelijk mandaat heeft. Concreet komt dat er vaak op neer dat sommige systemen al alarmerend lang niet zijn geüpdatet. Achterstallig applicatiebeheer heeft een negatieve invloed op het niveau van de informatiebeveiliging. Wanneer je te maken hebt met vijftien of meer partijen, is het niet eenvoudig om het overzicht te bewaren. Laat staan dat je ze allemaal in één richting kunt aansturen.

Daar is een veelvoud aan FTE’s voor nodig. Een probleem dat voortkomt uit deze situatie is een erg kleine cirkel van invloed. Een beheerder heeft invloed op de binnenste cirkel, dat wil zeggen de partijen met wie er een actieve relatie wordt onderhouden. Het is niet moeilijk om in te schatten hoe klein die cirkel is met die spreekwoordelijke ‘halve kracht’. Hoe kleiner de cirkel van invloed, hoe problematischer het wordt als er een echt probleem is. Wanneer acuut externe expertise nodig is, wordt de beheerder van het kastje naar de muur gestuurd.

Aansturing van leveranciers

CAM verzorgt voor haar klanten de aansturing van een groot aantal leveranciers. Dit is een belangrijke diensteverlening, zeker nu er vanuit het Europees Parlement nieuwe regelgeving aankomt. (Hier gaan we in deel 2 van dit drieluik nader op in.) Omdat CAM een actieve werkrelatie heeft met tientallen leveranciers scheelt dit enorm veel werk voor zorginstellingen. Het aansturen van de supply chain zit dus ingebouwd in het CAMCUBE ecosysteem.

In dit kader is het belangrijk om te begrijpen dat je niet zomaar een onderdeel uit dat ecosysteem kunt verwijderen om het te vervangen door iets dat op het eerste gezicht bijvoorbeeld goedkoper lijkt. Niet alleen vervalt daarmee de aansturing van die ene leverancier, maar het tast ook onherroepelijk de stabiliteit en robuustheid van het ecosysteem aan. Met als gevolg dat er elders gegarandeerd een veelheid aan kosten zal opduiken.

Visie en organisatorisch inzicht

Uit een eigen onderzoek van CAM IT Solutions – onderdeel van KPN – blijkt dat informatieveiligheid zorgenkind nummer één is in de zorg. Met name de angst voor ransomware is erg groot, omdat daarmee direct de beschikbaarheid van het zorgproces in het geding komt. CAM – maker en leverancier van de CAMCUBE – is van oudsher een organisatie met een hoog technisch gehalte.

Dat moet natuurlijk ook om de complexe en robuuste architectuur te kunnen bouwen die de applicatie- en informatiestroom voor de verschillende werkplekken verzorgt in ziekenhuizen en care-instellingen. Techniek is belangrijk, maar toch moet security niet vanuit de technologie worden bestuurd. Zoals gezegd hoort het thuis bij de CISO of een soortgelijke managementfunctie, althans daar begint het.

Techniek is het gevolg van beleid en van een inschatting van risico’s, niet andersom. Voordat je technische maatregelen gaat toepassen, is er een visie nodig en organisatorisch inzicht. CAM benadert de architectuur van de CAMCUBE op drie lagen: 1) bedrijfsvoering, 2) informatievoorziening en 3) technologie. Specifiek in die volgorde.

Nu al ontsluit CAM 24×7 de data voor meer dan 100.000 zorgprofessionals. Veel van deze informatie is privacygevoelig – per cliënt gaat dat om vele gigabytes aan data. Aangezien deze enorme hoeveelheden data door haar ecosysteem stromen, heeft CAM een maatschappelijke plicht dit te beschermen. Omdat CAM deze plicht serieus neemt, wordt er veel aandacht besteed aan serieuze uitdagingen als handhaving, toetsing en wetgeving. Natuurlijk komt daar ook technologie bij kijken, maar puur ter ondersteuning van een visie.

Lees ook:
  • De noodzaak van professioneel applicatiebeheer in de zorg
  • CAM Application Management Services

Gerelateerde berichten...