Informatiebeveiliging in de zorg: voorkomen is beter dan genezen

Ziekenhuizen en andere zorginstellingen vormen bij uitstek een doelwit voor cybercriminelen. De reden ligt voor de hand: ze werken met kritieke, gevoelige data, zoals medische dossiers en persoonlijke patiëntendata. Die kunnen en moeten zij uiteraard zo goed mogelijk beveiligen. Dat veronderstelt dat zij zich voldoende bewust zijn van de potentiële risico’s en gevaren: een blijvende uitdaging, maar zeker geen onmogelijke. 

Zorginstellingen zijn zich bewust van het belang van informatiebeveiliging. Bovendien zet de wetgeving hen ook aan tot de nodige actie. Naast Europese regelgeving, zoals de algemene verordening gegevensbescherming (AVG, beter bekend onder de Engelse naam GDPR), al dan niet omgezet in of aangevuld met nationale rechtsregels, bestaan er tegenwoordig ook sectorspecifieke standaarden voor informatiebeveiliging. 

Een mooi voorbeeld van zo’n beveiligingsstandaard is de NEN 7510-norm waaraan zorgorganisaties in Nederland in 2023 wettelijk moeten voldoen. Die norm, een afgeleide van de internationale ISO 27001-standaard, is speciaal ontwikkeld op maat van de zorg- en welzijnssector in Nederland. Hij moet de beschikbaarheid, integriteit en vertrouwelijkheid waarborgen van alle informatie die een verantwoorde zorg voor patiënten mogelijk maakt en ondersteunt.

Security awareness: het menselijke luik

Zorginstellingen weten dat informatiebeveiliging belangrijk is, maar dat betekent niet noodzakelijk dat zij zich ook voldoende bewust zijn van de mogelijke risico’s en gevaren. Die hoeven zich ook niet altijd in de criminele sfeer te bevinden, voor alle duidelijkheid. De gevoelige aard van de data die zorginstellingen beheren vereist per definitie dat je er zorgvuldig en zorgzaam mee omspringt. Ook zonder dat er criminele intenties in het spel zijn is het de bedoeling dat die data zo goed wordt mogelijk beveiligt. Dit zodat mensen die geen gegronde reden hebben om gegevens in te zien dat ook daadwerkelijk niet kunnen.

Bewustzijn creëren rond informatiebeveiliging begint bij mensen. De allerbeste bescherming bestaat erin dat de medewerkers zich bewust zijn van alle mogelijke veiligheidsrisico’s én dat ze hun handelen daarop afstemmen. Dat ze een verdacht bestand niet openen bijvoorbeeld. Of een verdachte link niet aanklikken. Zo kom je als zorginstelling tot een gedragsverandering en uiteindelijk zelfs tot een cultuurverandering. Dat is trouwens ook wat de NEN 7510-norm voorschrijft aan zorginstellingen: dat je aantoonbaar investeert in het verhogen van het bewustzijn binnen de organisatie rond het werken met gevoelige data. 

Aantoonbaar investeren, dat kan bijvoorbeeld door het opzetten van bewustmakingscampagnes of het organiseren van opleidingen voor je personeel. Of je plant een vast agendapunt bij elke teammeeting waarin je telkens even stilstaat bij een beveiligingsaspect. Wil je nog ingrijpender te werk gaan en mensen effectief met hun gedrag confronteren, dan kun je bijvoorbeeld zelf een (fake) phishing campagne opzetten. Dat laat jou toe om de reacties van je medewerkers te registreren en te analyseren. Melden ze het bij de servicedesk als ze een verdacht mailtje ontvangen? Of klikken ze toch op de link? Op basis van die campagneresultaten kan je vervolgens de inspanningen bijsturen.

Security awareness: het technologische luik

Voor het opzetten van zo’n campagne heb je enkele technische tools nodig. Maar in beveiligingstechnologie moet je hoe dan ook investeren om aan de vereisten van de NEN 7510-norm te beantwoorden. Zo ben je als zorginstelling ook verplicht om gevoelige data met de juiste technische maatregelen te beschermen. Concreet moet je bijvoorbeeld minimaal in tweefactorauthenticatie voorzien om de toegang tot je digitale werkomgeving, inclusief al die gevoelige data, ook fysiek zo goed mogelijk te beveiligen. 

Geen toegangsbeheer zonder identiteits- of, beter nog, rollenbeheer. Ook als zorginstelling richt je je beveiliging het best zo in dat niemand binnen en buiten je organisatie toegang heeft tot informatie waar die persoon vanuit zijn rol niet bij hoeft te kunnen. Voorzie daarom voor elke rol slechts een minimale toegang. Ook het scheiden van beheer- en werkaccounts, met extra beveiliging voor beheeraccounts, is een praktijk die aanbeveling verdient.

Bescherm ook de endpoints 

Vervolgens is er nog de bescherming van het apparaat dat aangevallen wordt. Met traditionele antivirus oplossingen kan je enkel bekende gevaren tijdig op het spoor komen en afwenden. Daarom is het raadzaam om ook te investeren in Endpoint Detection & Response (EDR) op basis van artificiële intelligentie. Die detecteren verdacht gedrag. Stel dat er ineens een proces opstart dat het ene na het andere bestand op je harde schijf versleutelt, dan kan die toepassing dat proces automatisch stopzetten en het getroffen apparaat isoleren van het netwerk, zodat de infectie zich niet verder verspreidt. In het ideale scenario kan je de al aangerichte schade bovendien ongedaan maken en terugkeren naar de toestand van voor de infectie. 

Om je data te herstellen, kan je in principe ook terugvallen op een back-up systeem. Alleen moet je er dan wel voor zorgen dat die back-ups op hun beurt bestand zijn tegen aanvallen. Want het eerste wat iedere indringer doet (daar kan je helaas geld op inzetten) is de data van je back-up versleutelen.

Hoe dan ook is voorkomen ook bij informatiebeveiliging beter dan genezen. Geef voorrang aan preventie via bewustmaking en gedragsverandering. De beveiligingstechnologie zelf volgt daarna op de tweede plaats. Gaat het op een dag toch eens helemaal fout, bijvoorbeeld door een aanval met ransomware, dan beschik je dankzij een back-up over een goede laatste verdedigingslinie.

Wil je meer weten over de NEN 7510, security, ransomware bescherming en compliant backups?

Schrijf je dan in voor onze 3-maandelijkse webinarserie waarin we samen met CertificeringsAdvies Nederland op deze onderwerpen induiken.