We accepteren het dat artsen en medisch personeel volledige toegang krijgen tot onze medische gegevens en achtergrondinformatie. Dit draagt tenslotte bij aan een zo snel en juist mogelijke diagnose. De hoeveelheid informatie die binnen de zorgsector wordt bewaard, maakt het een belangrijk en winstgevend doelwit voor criminelen.
De zorg is een kwetsbare sector als het gaat om cybersecurity. Primaire systemen en processen waken over onze gezondheid. Informatie is per definitie gevoelig. Er zijn voorbeelden uit de praktijk te over dat de beveiliging in deze kritische omgeving niet toereikend is.
Om persoonlijke gezondheidsinformatie veilig te bewaren is het cruciaal op de hoogte te zijn van beveiligingsrisico’s. We hebben een top-5 opgesteld van de cybersecurity dreigingen in de gezondheidszorg en de maatregelen die ertegen genomen kunnen worden.
- Ransomware-aanvallen: betalen voor gegijzelde data
Ziekenhuizen zijn een aantrekkelijk doelwit van ransomware-aanvallen. De aanvallen zijn steeds gerichter en beter gepland. Het besmet de systemen en netwerken en maakt bestanden onbereikbaar. Pas na het voldoen van de opgelegde financiële transactie wordt beloofd de gegijzelde data vrij te geven.
- Phishing: foute linkjes in e-mails
Een andere dreiging binnen de zorgsector komt net zoals bij andere sectoren binnen via mailservers, namelijk phishing. Medewerkers worden verleid om op foute linkjes te klikken in e-mailberichten om vervolgens allerlei credentials achter te laten. Deze worden misbruikt om toegang te krijgen tot de cloud-based mail-omgeving van de medewerker. Iedere vorm van cliëntendata die zich in welk mapje dan ook bevindt kun je als aangetast en verloren beschouwen.
- DDoS aanval: system overload
DDoS staat voor Distributed Denial of Service. Door het massaal en gelijktijdig aanspreken van één server wordt deze server traag of werkt zelfs helemaal niet meer. Het slecht of niet functioneren van zo’n server kan voor zorginstellingen en ziekenhuizen op elke afdeling grote gevolgen hebben. Zelfs levensbedreigende gevolgen voor de patiënten.
- Datalek: verlies informatiedrager
Informatiedrager zijn laptops, telefoons en USB sticks. Het mag voor zich spreken dat het verlies of zelfs diefstal in de zorg kan leiden tot pijnlijke privacy schade. Dit nog los van de ernstige imago schade voor de zorginstelling. Het is één van de meest voorkomende cyber security dreigingen. Een dreiging die meer dan eens heeft geleid tot het verlies van kritische data met grote operationele en financiële gevolgen als resultaat.
- Internet of Medical Things: verlies medische gegevens
Met de kansen die Internet of Things voor de gezondheidszorg biedt, nemen ook de experimenten met slimme technologieën toe. De wereldwijde markt van Internet of Medical Things (IoMT) neemt alleen maar toe, waarbij de cyberdreigingen helaas ook stijgen. In Nederland zijn al bijna vier miljoen medische apparaten die met elkaar in verbinding staan en medische gegevens van de patiënt opslaan. Dat is een groot beveiligingsrisico en vergt een grote verantwoordelijkheid van de zorginstanties die ze moeten beheren.
Te nemen maatregelen voor de zorg tegen cyberdreigingen
- Gebruik een beveiligd privénetwerk
Gebruik een beveiligd privénetwerk, ook wel bekend als VPN. Door de verbinding te beveiligen met een VPN wordt alle data direct versleuteld en ontstaat er een veilige internettunnel. Doordat het internetverkeer tijdens het gebruik van deze tool wordt versleuteld, hebben onwelwillende partijen het erg moeilijk om gegevens te onderscheppen en om te zien waar de gebruiker online mee bezig is. Het gebruik van een beveiligde verbinding zou voor het personeel van zorginstellingen een vanzelfsprekendheid moeten zijn, aangezien het meer veiligheid biedt tijdens de internetsessies.
- Geven van voorlichting en creëren van draagvlak
Collega’s zijn de zwakste schakel in de keten van oplossingen. Want als IT-manager kun je het allemaal nog zo goed voor elkaar hebben qua ICT beveiliging. Maar wanneer door gebrek aan inzicht, kennis of betrokkenheid er gaten geslagen worden in jouw veiligheidsprotocollen is al het werk voor niets geweest. Het creëren van draagvlak moet dan ook een prioriteit zijn voor de zorg. Voorlichting en richtlijnen voor het veilig gebruik van mobiele devices en alle overige ICT–middelen is hierbij een speerpunt.
- End point security
Steeds meer mobiele apparaten worden gebruikt in de zorg. Deze data moet beschermd worden. Mobile Device Management is daarom van groot belang om de bedrijfskritische en privacy gevoelige data in ziekenhuizen en zorginstellingen te beschermen. End Point Security zorgt er hier voor dat alle data die zich op een mobile device bevindt veilig is opgeborgen. Als IT-afdeling kun je hiermee onder andere organisatie breed blokkeren, wissen, lokaliseren en op afstand eenvoudig apps toevoegen op één of juist alle devices.
De zorgsector zal zich constant moeten weren tegen kwaadwilligen die data willen stelen. Implementatie van veiligheidsmaatregelen en strategische acties op de lange termijn zijn daarom noodzakelijk. Daarnaast moeten werknemers regelmatig bijgeschoold worden om ervoor te zorgen dat de basis veiligheidsmatregelen worden toegepast en de bewustwording van cyber criminaliteit constant aanwezig is.