ICT-security van ziekenhuizen hoort thuis in de boardroom

CAM is de aangewezen gesprekspartner voor het senior management

Het beschermen van bijzondere persoonsgegevens van patiënten en het veiligstellen van de continuïteit van de zorgverlening staan steeds hoger op de prioriteitenlijst van ziekenhuisbestuurders. Privacy en ICT-security zijn niet langer alleen kwesties voor techneuten, maar vergen een strategie en een gedegen uitvoeringsplan.

Het verlenen van zorg is en blijft de voornaamste prioriteit van ziekenhuizen. Bekwaam personeel is hiertoe uiteraard de eerste onmisbare factor. Daarnaast speelt ICT in toenemende mate een belangrijke ondersteunende rol. Digitale informatievoorziening is de laatste jaren zodanig essentieel geworden dat we ICT ook als een onmisbare factor binnen de zorgsector kunnen beschouwen. ICT-dienstverlener CAM IT Solutions staat al jaren aan de technische basis van de veilige werkplek in ziekenhuizen. Zij constateren dat de structurele aanpak van digitale risico’s in menig ziekenhuis onderbelicht blijft. Een ontoelaatbare situatie, zeker gezien de toename van cybercriminaliteit. In het licht van deze reële dreiging is CAM de ideale gesprekspartner voor het senior management om security in ziekenhuizen naar een hoger niveau te brengen.

Security-by-design

CAM IT Solutions staat bekend als technisch specialist op het gebied van ICT-infrastructuur voor ziekenhuizen. Met de CAMCUBE verzekert een ziekenhuis zich van zorgeloze werkplekken voor iedere medewerker, 24×7, vanaf iedere locatie, op ieder device. Aangezien veel van de invoerverwerking en uitvoer van data via de meer dan 60.000 CAMCUBE-werkplekken verloopt, zijn state-of-the-art security en privacy een vereiste. CAM heeft dan ook ruime ervaring in het borgen van strenge veiligheids- en privacy-eisen. Het platform is een ecosysteem waarbinnen alles op elkaar is afgestemd, wat ook geldt voor de veiligheid. CAM en hun leveranciers werken op basis van security-by-design en privacy-first. Mede daardoor is het identificatie- en authenticatieproces van alle applicaties die op de CAMCUBE draaien superveilig. Met hun ervaring en zicht op het bredere securityplaatje van het ICT-landschap kan CAM op strategisch niveau van grote waarde zijn. Op dat niveau gaat het over risicobeoordeling en -behandeling, over keuzes als wel of geen cloud en welke restricties er worden gesteld aan de werkplekken van ambulante zorgwerkers.

Franse slag

Meer dan ooit is het management in ziekenhuizen bezig met vragen als: Welke risico’s loopt het huis als het gaat over informatieveiligheid? Hoe voorkomen we datalekken? Hoe maak ik een securityplan? Hoe richt ik de maatregelen in en hoe krijg ik een en ander georganiseerd? Naast de bekende technische expertise voor de CAMCUBE levert CAM strategisch advies rondom deze en andere securitykwesties. Security begint namelijk bij de strategische invulling ervan. Niemand kan het zich meer veroorloven om het verminderen en afdekken van risico’s met de Franse slag te doen. Evenmin kunnen organisaties het zich nog veroorloven om geen herstelplan te hebben, disaster recovery. Als data ondanks alle voorzorgsmaatregelen toch door ransomware wordt gegijzeld, moet je heel snel weten wat te doen. Kun je herstellen of moet je losgeld betalen? Is je back-up in orde en kun je die gebruiken? Kun je de malware van de systemen verwijderen en het lek dichten waardoor het is binnengekomen? Kortom, welk noodplan heb je op de plank liggen?

Strategie is het startpunt

Omdat malware een organisatie volledig kan lamleggen, hoort het onderwerp ICT-security thuis in de boardroom. Het gaat namelijk om strategische keuzes in het managen van de risico’s. En in het geval van een ziekenhuis kan de uiterste consequentie het verschil betekenen tussen leven of dood. De geformuleerde strategie is het startpunt voor het ontwikkelen van een information security managementsysteem (ISMS) conform de ISO 27001 en NEN 7500 normen. Security zonder visie of richting ontaardt in een lappendeken van puntoplossingen; een firewall van leverancier X, een virusscanner en anti-malwareproduct van leverancier Y, partij Z verzorgt het datamanagement en nog een andere aanbieder doet iets met SIEM (Security Information & Event Management). Sommige ziekenhuizen werken met vijftien of nog meer security-aanbieders. Een groot nadeel van deze wirwar is dat je voor al die verschillende bouwsteentjes expertise in huis moet hebben of moet inkopen. Een andere consequentie van deze onbeheersbare spaghetti aan tools is dat ze niet of nauwelijks op elkaar aansluiten, laat staan dat ze met elkaar samenwerken. Er is dan geen enkel overzicht meer.

Structureel beleid

In de huidige praktijk hanteren veel ziekenhuizen een reactief niveau van risicobeheersing. In plaats van alle potentiële zwakheden van onderaf aan te pakken, is het veel slimmer en effectiever om van bovenaf een structureel beleid te formuleren. Door een heldere strategie te ontwikkelen op risicobeheersing kun je werkprocessen en systemen op elkaar afstemmen. Nu gaat het afdekken van risico’s binnen de zorg lang niet altijd gelijk op met de eis voor toegankelijkheid. In sommige situaties moet een zorgmedewerker letterlijk binnen een seconde patiëntgegevens beschikbaar hebben. Dat deze gevoelige informatie ook veilig moet worden benaderd, vinden zorgspecialisten doorgaans ondergeschikt aan het argument dat het gaat om het redden van mensenlevens. Securitymaatregelen die in een noodsituatie tot vertraging of zelfs blokkering van de zorg kunnen leiden, zijn onbespreekbaar. De keerzijde daarvan is dat zwakke ICT-security het risico met zich meebrengt dat alle bedrijfsprocessen worden platgelegd. Dit kan zodanig ernstig zijn dat niet één patiënt wordt geraakt, maar alle patiënten in het hele ziekenhuis. Om in dit spanningsveld de juiste balans te vinden, is een strategisch overzicht een absolute noodzaak.

Onzorgvuldig handelen

Veel van de ICT-inspanningen binnen ziekenhuizen gaat naar het EPD. Daarbij wordt er doorgaans van uitgegaan dat de leveranciers van deze systemen hun security op orde hebben. Het is de vraag of dat vertrouwen wel terecht is. Maar de zwakheid hoeft niet in het EPD zelf te zitten. De voornaamste veiligheidsrisico’s komen voort uit de handelswijze van zorgmedewerkers. Stel dat iemand op haar/zijn persoonlijke smartphone naast de EPD-app allerlei andere veel minder veilige apps heeft geïnstalleerd. Een zwakke plek in een willekeurige app kan zomaar de toegang tot het EPD op datzelfde device ontsluiten. En helaas bestaat er geen patch voor onzorgvuldig handelen.
Daarnaast gaat er in het elektronisch patiëntendossier heel veel ongestructureerde data rond, waar eigenlijk geen toezicht op is. Om hier grip op te krijgen, zijn er in de markt bijzonder ingewikkelde oplossingen beschikbaar die onder meer dataclassificatie verzorgen. Qua inrichting en tijd vergen deze systemen enorme investeringen. Deze en vele andere security-capaciteiten zijn ingebouwd in de CAMCUBE. Dus in plaats van dat je allerlei puntoplossingen op de bestaande systemen schroeft, kun je security beter tot een integraal onderdeel maken van het platform. De CAMCUBE is per slot van rekening onder enorm hoge kwaliteits- en veiligheidseisen tot stand gekomen.

Integraal onderdeel

Traditioneel wordt technologie vanuit een financiële as benaderd. Ooit was ICT de sluitpost van het kostenplaatje, maar inmiddels is het binnen veel organisaties van een ‘cost centre’ getransformeerd naar een ‘value centre’. ICT voegt waarde toe aan het bedrijfsresultaat. Bij financieel benaderde ICT-projecten besteedt men meestal pas aan het einde van een traject aandacht aan security. Anders dan bij security-by-design wordt het hele traject daarom nog eens dunnetjes overgedaan. Hierdoor lijkt het alsof security erg duur is. Dit is niet het geval wanneer security een integraal onderdeel is van het geheel aan technologie. Precies daarom is het essentieel dat je tijdig nadenkt over hoe het één met het ander integreert en samenwerkt. Zolang je losse elementen op het bestaande blijft schroeven, groeit de complexiteit, wordt het beheer een drama en span je het paard eigenlijk achter de wagen.

Security-schakelpunt

CAM is de aangewezen partij om het securitygesprek te voeren met het management van een ziekenhuis. Het bedrijf heeft een specifieke visie op de gezondheidszorg die geijkt is rondom security. De architectuur wordt ontwikkeld binnen strakke processen volledig volgens security-by-design en is omgeven met veel toetsmomenten. Het is zo vanzelfsprekend dat de CAMCUBE is ontwikkeld onder normen als ISO 27001 en NEN 7510, dat de medewerkers het vaak niet eens meer vermelden. Aangezien de expertise op het gebied van architectuur en infrastructuur sterk in de security is geworteld, kan CAM uitstekend de risico’s in kaart brengen en deze duiden. Met hun jarenlange ervaring weten ze als geen ander wat de kroonjuwelen zijn van een ziekenhuis. Juist daarom is CAM het ideale SPOC (Single Point of Contact) voor de security binnen ziekenhuizen; het schakelpunt in de formulering, sturing, uitvoering en bewaking van security.

Een inherent veilig ecosysteem

CAM kan ziekenhuizen ondersteunen bij het treffen van de juiste securitymaatregelen op basis van beschikbaarheid, integriteit en vertrouwelijkheid. Dat CAM sinds 2019 deel uitmaakt van het grote KPN biedt veel vertrouwen in de toekomst. Niet alleen is daarmee de continuïteit van de dienstverlening gegarandeerd. Indien nodig kan men in de uitvoering terugvallen op de grote groene broer. KPN beschikt namelijk over een zeer ervaren en robuuste security-afdeling. Het mooie is dat CAM op ieder niveau binnen het ziekenhuis haar menselijke touch van dienstverlening blijft behouden. Hun boodschap staat dicht bij de boodschapper en ze maken die boodschap ook waar. En die boodschap? Een inherent veilig ecosysteem; secure by design, privacy first. Klik hier voor de whitepaper. 

 

 

Betrokken en gedreven

Dat CAM tot veel meer in staat is dan puur technische ondersteuning, hebben veel ziekenhuizen reeds ondervonden. Zodra een zwakke plek of een concrete bedreiging wordt ontdekt, zet de betrokken en gedreven ICT-dienstverlener alle zeilen bij. Toen in 2017 het bericht over de Wannacry-ransomware enkele CAM-medewerkers op vrijdagavond om 21 uur bereikte, werkte het team het hele weekend door om de eigen systemen en die van de klanten veilig te stellen.
Een ander voorbeeld is het ernstige lek in de software van Citrix dat werd ontdekt op kerstavond. Hoewel de ernst van het lek toentertijd nog niet duidelijk was, is CAM nog diezelfde avond aan de slag gegaan om zoveel mogelijk risico’s af te dekken. Op dat soort momenten betaalt het feit dat de security tooling ingebouwd is zich ruimschoots terug. Als je te maken hebt met een lappendeken, is het zeer onwaarschijnlijk dat al die andere leveranciers op kerstavond zijn te mobiliseren.

Download de CAM whitepapers

Lees ook:

Gerelateerde berichten...

X