cybersecurity | ‘Je kunt echt goede voorzorgsmaatregelen treffen’ er een voltreff er. Nog eens 25 procent komt door kwetsbare systemen, omdat er geen updates gedraaid zijn of die updates er nog niet waren. Op de Z-CERT-website staat een top 10 van acties om te nemen om bijvoorbeeld die ransomware te voorkomen. “Dat is gebaseerd op incidenten die we tegenkomen. Je kunt echt goede voorzorgsmaatregelen treff en.” Groot punt van zorg is wel dat een ziekenhuis rechtstreeks aangevallen kan worden, maar net zo goed indirect via zijn vele leveranciers. Doemscenario Er wordt steeds meer gewerkt met Software-as-a-Service, waarbij applicaties van dienstverleners in the cloud draaien. Een waar doemscenario zou voor Jan Hanstede zijn als er een IT-leverancier getroff en wordt die meerdere zorginstellingen onder zijn hoede heeft, waarbij de data van al die organisaties gegijzeld worden. “In de GGZ staan veel patiëntendossiers online. In de VS is het gebeurd dat zo’n 110 zorginstellingen, waaronder veel verpleeghuizen, een tijd lang niet meer bij hun patiëntdata konden doordat die niet meer toegankelijk waren. Nederlandse ziekenhuizen hebben data vaak nog wel lokaal staan. Bij de ouderen- en jeugdzorg en de GGZ zie je meer cloudtoepassingen. Je moet je leverancier daarom heel goed vragen wat hij allemaal aan veiligheid doet en of hij een offl ine back-up heeft. Die ransomware-criminelen zijn er heel goed in om je back-up óók te gijzelen.” In Nederland is een aantal IT-leveranciers gespecialiseerd in software voor de zorg, dus die worden veel ingeschakeld. Ze leveren systemen voor patiënteninformatie, maar bijvoorbeeld ook voor ERP, enterprise resource planning voor operationele zaken en voorraadbeheer. Stel dat zo'n ERP-systeem op zijn gat ligt en het gaat twee weken duren, dan wordt het ook heel spannend. Jan Hanstede noemt de Citrix-crisis van eind 2019: honderden organiAvatar Jan Hanstede saties, waaronder de Rijksoverheid, maar ook Schiphol en Medisch Centrum Leeuwarden, zetten hun Workspace-software van het Amerikaanse Citrix acuut uit, omdat er een ernstig beveiligingslek bleek te zijn. Buitenstaanders konden heel eenvoudig op interne netwerken komen. “Het had heel veel impact omdat er bijvoorbeeld niet meer op afstand ingelogd kon worden. Sommige artsen bleven daarom maar slapen op hun werk. Dat was wel uitzonderlijk.” Warm bad Hanstede komt veel goede securityspecialisten tegen in de zorg, maar de cybercriminelen worden ook professioneler. Die hebben het over RaaS: Ransomware as a Service. Een operator levert kant-en-klare ransomware en zorgt voor de fi nanciële afwikkeling van het losgeld en de IT-infrastructuur. Affl iates stappen in een warm bad en vertonen hun kunstjes. Dan zijn er ook nog hackers die alleen maar bezig zijn om toegang te krijgen en log-in gegevens vervolgens te verhandelen. Er gaan stemmen op om het betalen van losgeld wettelijk te verbieden, maar houd maar eens vol om niet te betalen als de hele organisatie plat ligt. Behulpzame mensen Zorginstellingen en ook hun toeleveranciers kunnen zich laten certifi ceren volgens de norm NEN 7510 van het Nederlands Normalisatieinstituut. Die is speciaal bedoeld voor de informatiebeveiliging binnen de gezondheidszorg: hoe kunnen de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie voor de patiëntenzorg gewaarborgd worden? Los van de systemen is er echter ook nog het bonte gezelschap aan gebruikers in het ziekenhuis. “Het is een uitdaging om iedereen mee te krijgen in de security mindset. Er zijn campagnes om mensen bewust te maken van de gevaren. Sommige organisaties testen actief door zelf bijvoorbeeld phishingmails te sturen en te kijken hoe medewerkers reageren. Let wel, in de zorgsector werken allemaal heel behulpzame mensen. Ook als je een afdeling binnenloopt zonder pasje, hebben ze de neiging om de deur wagenwijd voor je open te houden.” Z-CERT publiceerde vorig jaar voor het eerst het voortaan jaarlijkse rapport ‘Cybersecurity Dreigingsbeeld Zorg’. Meer informatie: www.z-cert.nl 16 FMT | November 2021
17 Online Touch Home