Je zorgprofessionals, patiënten en cliënten wil je zo goed mogelijk beschermen tegen cybercriminelen. Je moet er niet aan denken dat een fraudeur ervandoor gaat met je cliëntgegevens. Dat een crimineel je medische apparatuur kan ontregelen. Dat je patiëntgegevens met ransomware gegijzeld worden en je zorgprofessionals er niet meer bij kunnen. Security is een steeds grotere opgave voor zorgorganisaties, groot en klein. Maar wat houdt die opgave precies in? Wat zijn de grootste uitdagingen?
Om te weten wat de beste cybersecuritybescherming is voor je zorgprofessionals, patiënten en cliënten, wil je eerst bevatten waar je dan precies mee te maken hebt. Welke grote security-uitdagingen er voor je liggen. Wij zetten die uitdagingen voor grote en kleine zorgorganisaties – van fysiopraktijk tot ziekenhuis – hier voor je op een rij. Inclusief de manier waarop je ze te lijf kunt gaan.
1. Meer technologie, grotere aanvalsoppervlakte
Zorgorganisaties gebruiken steeds meer technologie en applicaties – bij grote organisaties loopt dat al snel in de honderden. Denk aan EPD’s, cliëntvolgsystemen of applicaties voor medicatiebeheer, beeldvorming en zorgplanning. Zorgdomotica en sensoren vergroten die aanvalsoppervlakte nog eens en zorgen voor een enorme aanwas van zorgdata. Van al die data gaat een groeiend deel naar de cloud, terwijl een deel achterblijft in datacenters op locatie. Data, applicaties en hele systemen verspreiden zich dus over (eigen) datacenters en verschillende cloudomgevingen.
Ondertussen groeit ook het aantal ‘endpoints’: apparaten die – vaak draadloos – zijn verbonden. Dat betekent dat bijvoorbeeld patiënten zich vrij door het ziekenhuis kunnen bewegen, omdat hun hartmonitor gewoon mee kan. Maar daardoor hebben naast endpoints als laptops, smartphones en tablets, nu ook medische instrumenten en apparatuur of zorgdomotica extra bescherming nodig. Een laatste factor waardoor de aanvalsoppervlakte steeds verder vergroot, zijn samenwerkingsverbanden: als zorginstelling werk je bijna dagelijks met andere zorgprofessionals, leveranciers of organisaties samen. Die ketensamenwerking kan niet zonder uitwisseling van data of koppeling van applicaties.
Wat je alvast kunt doen
Kies bewust voor passende landingsplaatsen voor je data en applicaties: (eigen) datacenter, private of publieke cloud.
Zorg voor goede basishygiëne, zoals patchmanagement en logfilemanagement.
Beveilig endpoints met multifactorauthenticatie en zorg voor gegevensversleuteling.
Gebruik een intelligente firewall en netwerksegmentatie, zodat partners maar bij een beperkt deel van je netwerk kunnen komen.
Voorkom dataverlies, gebruik een data-exchangeoplossing waarmee je data niet naar de server van een ander gaan.
2. Snelle professionalisering criminaliteit
Op de grotere en complexere aanvalsoppervlakte met meer zwakke plekken, bewegen zich steeds professioneler georganiseerde criminelen. Van solitaire techneuten zijn het goed geoliede machines geworden, in efficiënt gestructureerde organisaties waar gespecialiseerde teams nauw samenwerken. Zo zijn er teams die aanvallerssoftware ontwikkelen en andere teams die de aanvallen uitvoeren.
Technische kennis is voor dat laatste nauwelijks meer nodig: ook ransomware wordt steeds gebruiksvriendelijker. Als relatieve leek kun je op het dark web Hacking-as-a-service (HaaS) en Ransomware-as-a-service (RaaS) afnemen inclusief SLA-afspraken, DDos-aanvallen kopen voor enkele tientjes of een aanvalsabonnement afnemen tegen een vast maandelijks tarief. Dat zorgt voor een groeiend aantal (succesvolle) aanvallen.
Wat je alvast kunt doen
Tegen de HaaS- en RaaS-aanvallen helpt goede basishygiëne (zie ook punt 1).
Tegen DDoS-aanvallen kun je al het verkeer door ‘een wasstraat’ in de cloud leiden.
Zorg voor bewustwording in je organisatie en vergroot de kennis van de risico’s.
Werk met applicaties en systemen die ‘secure by design’ zijn.
3. Artificiële Intelligentie (AI): extra versnelling
Een groter wordend aanvalsoppervlak plus de professionalisering van criminelen is – bij elkaar opgeteld – al een forse uitdaging. Daar komt AI nog eens bij, als een extra versnelling. Met AI kunnen criminelen hun aanvallen steeds geavanceerder opzetten, ze automatiseren en ervoor zorgen dat ze moeilijker te detecteren zijn. Daarnaast gebruiken criminelen AI om phishingtactieken te ontwikkelen die het amateuristische niveau ontstijgen en griezelig echt zijn.
Inmiddels is er ook zelflerende en ‘polyforme’ malware. Dit is malware die zichzelf automatisch aanpast aan de verdedigingssystemen die het tegenkomt, waardoor detectie en succesvolle bestrijding steeds lastiger wordt.
Wat je alvast kunt doen
Laat AI je helpen: gebruik algoritmes die helpen bij het analyseren van logdata.
Zet AI in als een vraagbaak voor je securityspecialisten en analisten.
Opnieuw: zorg voor goede basishygiëne en oplossingen die ‘secure by design’ zijn (zie ook punt 1 en 2).
4. Wet- en regelgeving
Wil je voldoen aan wet- en regelgeving, dan zul je op de hoogte moeten blijven van veranderingen, de nieuwste vereisten kennen, jezelf en je teams trainen, systemen en processen aanpassen én zorgen voor naleving. Voldoet je organisatie niet aan wet- en regelgeving, dan loop je forse risico’s. Denk aan reputatieschade of boetes. In sommige gevallen zijn bestuurders zelfs hoofdelijk aansprakelijk.
Algemene wetgeving die over security gaat of je securitybeleid raakt, zijn onder meer de Europese AVG, NIS2 (de Network and Information Security-richtlijn) en de AI-act. Daarnaast is er zorgspecifieke regelgeving, zoals NEN7510 of EGIZ (besluit elektronische gegevensverwerking in de zorg). Dan zijn er nog diverse standaarden waarvan je moet aantonen dat je eraan voldoet, zoals ISAE-, SOC2- en ISO-certificeringen. Tal van Europese initiatieven geven bovendien relevante securityaanbevelingen, zoals eIDAS of Gaia-X.
Wat je alvast kunt doen
Verdiep je in NIS2: deze wet verhoogt niet alleen je werkdruk, maar geeft ook houvast en inzicht in maatregelen.
Wanneer je nieuwe technologie en AI inzet, is het belangrijk een check te doen op de AVG.
Bekijk het security- en compliancebeleid van partners en leveranciers: voldoen ze aan alle relevante wet- en regelgeving?
5. Tekort aan securityprofessionals
Niet alleen in Nederland, overal ter wereld is een tekort aan securityprofessionals. Uitdagingen 1 tot en met 4 vergroten de werkdruk al, het tekort komt daar nog bovenop. Naast diepgaande kennis van systemen – inclusief de vaak omvangrijke legacy bij de grote zorginstellingen – en inrichting van securitybeleid, is bovendien een breed scala aan vaardigheden nodig om ook niet-technische mensen te begeleiden. Waar de risico’s voorheen vooral technisch van aard waren, is de menselijke factor nu steeds belangrijker. Denk maar aan de phishingmails die steeds professioneler worden. En deepfakes die niet meer van echt te onderscheiden zijn.
Als zorgorganisatie kun je daarom het best een heldere keuze maken. Of je doet de security volledig zelf óf je besteedt het uit. Kies je ervoor om het zelf te doen, realiseer je dan dat investeren in het opbouwen van specifieke securitykennis gedurende een langere tijd erbij hoort. Organisaties concurreren hevig om het beschikbare talent, wat de salarissen en andere arbeidsvoorwaarden omhoog stuwt. Dit kan het voor zorgorganisaties moeilijker maken om gekwalificeerde mensen aan te trekken.
Wat je alvast kunt doen
Onderzoek waar je ICT-budgetten de meeste toegevoegde waarde hebben: in primaire zorgprocessen of in ondersteuning, zoals security.
Zijn toegevoegde waarde en kosten niet meer in evenwicht? Kies dan voor uitbesteding.
Besteed je security uit? Houdt minimale basiskennis in huis – als organisatie blijf je immers zelf verantwoordelijk.
Download het eBook en ontdek hoe
In dit blog geven we je een eerste indruk van de reikwijdte en impact van nieuwe security-uitdagingen. Deze 5 uitdagingen vind je veel uitgebreider terug in het eBook Zo helpt security je zorgorganisatie vooruit. Daarin lees je bovendien hoe wij je daarbij kunnen helpen. Je hoeft het dus niet allemaal zelf te doen!