Development

Dit is een bijdrage van Verizon Nederland
Security
Blog Verizon DBIR 2020 Healthcare

CISO: pak je kans, secure de zorg

Als zorginstelling moet je rekening houden met nieuwe kwetsbaarheden en risico’s

5 november 2020
Door: Verizon Nederland, partner

Als zorginstelling moet je rekening houden met nieuwe kwetsbaarheden en risico’s

COVID-19 heeft tijdelijk en mogelijk voor altijd de manier waarop we werken en zaken doen veranderd. Dit komt voor een groot deel door de massale verschuiving van fysieke naar online ontmoetingen, video-consults en e-commerce. Terwijl zorginstellingen alle zeilen bij moeten zetten om de gewenste zorg te kunnen leveren, hebben CISO’s hun handen vol aan het verantwoord en veilig uitbreiden van de digitale infrastructuur om zoveel mogelijk zorg op afstand te kunnen leveren. Uit het 2020 Data Breach Investigations Report (DBIR) van Verizon blijkt dat de zorgsector al zwaar getroffen wordt door cybercriminaliteit. Nu het netwerkverkeer drastisch toeneemt en zorgverleners op een andere manier werken, moet je als zorginstelling rekening houden met nieuwe kwetsbaarheden en risico’s.

Het was 11 maart 2020 toen de WHO de COVID-19 uitbraak uitriep tot een wereldwijde pandemie. Korte tijd later kwam het instituut met de mededeling dat het aantal cyberaanvallen op haar systemen met een factor vijf waren toegenomen. De data die zijn ontvreemd waren verouderd, dus bleef de schade beperkt, zo stelde de WHO. Je moet er hierbij niet raar van opkijken als lidstaten verbonden aan de WHO zelf schuldig zijn aan het aanvallen van de informatiesystemen. Sommige landen doen er alles aan om informatie te verzamelen zodat zij snel een goed vaccin kunnen ontwikkelen. Desalniettemin nam de VN-organisatie actie om cyberaanvallen in het vervolg af te wenden. Dezelfde trend valt waar te nemen bij zorgverleners. Het is natuurlijk ontzettend zuur om te moeten constateren dat zorginstellingen, die het al zo zwaar hebben, nu ook nog te maken krijgen met een hausse aan cyberaanvallen. Cybercriminelen hebben echter geen boodschap aan de benarde positie van zorgverleners.

Interne fouten belangrijke oorzaak
De zorgsector is al jarenlang een gewild slachtoffer. Het DBIR analyseert jaarlijks, nu voor de 13e keer op rij, cybersecurity incidenten. Daarbij wordt onderscheid gemaakt tussen incidenten die zonder gevolgen blijven, maar wel gerapporteerd moeten worden, en die leiden tot het verlies van data of het frustreren van bedrijfsprocessen. In totaal werden het afgelopen jaar 32.000 incidenten en 3.950 bevestigde datalekken geanalyseerd. Kijken we specifiek naar de zorg dan valt op dat het verschil tussen incidenten (798) en datalekken (521) veel kleiner is. Met andere woorden: in de zorg leiden issues met cybersecurity al snel tot een datalek. Hierbij moet worden opgemerkt dat er niet altijd kwade opzet in het spel is. Van de ruim 500 datalekken wordt een kleine 40 procent veroorzaakt door interne fouten.

Rechten en plichten
De belangrijkste fout die uit de analyse van het DBIR naar voren komt is het foutief versturen van informatie, in welke vorm dan ook. Er zijn talloze voorbeelden maar de bekendste gaat als volgt: Iemand verstuurt een e-mail maar adresseert deze verkeerd. Je drukt bijvoorbeeld op ‘allen beantwoorden’ zonder goed te kijken wie er in CC staat en voordat je het weet komt je bericht bij iemand terecht die niet geautoriseerd is om die informatie te zien. En dan maar hopen dat er geen patiëntendossier was bijgevoegd. Een andere interne oorzaak van een datalek is het verkeerd gebruiken van de rechten door een medewerker. Het is natuurlijk ontzettend interessant om te weten waarvoor een bekende acteur is opgenomen, maar als deze op een compleet andere afdeling verpleegd wordt en het geen raakvlakken heeft met je eigen werk, moet je als medewerker je nieuwsgierigheid bedwingen. Vaak ontstaan dit soort fouten doordat system administrators medewerkers verkeerde rechten toekennen of rücksichtslos de rechten van hun voorganger geven.

Security omzeilen
Het is niet ondenkbeeldig, zeggen we nog hoopvol, dat het aantal fouten en dus ook het aantal datalekken door COVID-19 aanzienlijk toeneemt. Ga maar na: zorgprofessionals spreken hun meer patiënten en cliënten steeds vaker via videoverbindingen. Dossiers worden heen en weer gemaild, zonder de benodigde controleslagen om bijvoorbeeld de identiteit te bevestigen. En tijdens het hoogtepunt van de pandemie nemen zorgverleners de snelste route naar de laatste patiëntendata, waarbij zij handig verschillende security checks weten te omzeilen. Je kunt het hen eigenlijk niet kwalijk nemen. Waar het feitelijk aan ontbreekt is een IT-infrastructuur die zorgverleners in staat stelt snel op te schalen en efficiënt informatie te delen zonder dat zij zich zorgen hoeven maken over cybersecurity. Dat moet intrinsiek goed geregeld zijn.

Ransomware
Toegegeven, CIO’s en CISO’s zijn overvallen door de omvang en de snelheid waarmee zij hun digitale infrastructuur moeten reorganiseren. In een hoog tempo zijn SaaS-oplossingen uitgerold en is cloudopslag uitgebreid, vaak zonder gedegen strategie en zonder gekwalificeerde IT-mensen die dit allemaal moeten beheren. Het is dus niet vreemd dat bepaalde updates niet zijn uitgevoerd en patches zijn blijven liggen. Daarmee staat wel de achterdeur open voor cyberaanvallers die deze kwetsbaarheden feilloos benutten. Bijvoorbeeld om ransomware of andere vormen van malware achter te laten. Dit is bij een kwart van alle security incidenten in de zorg, dus zonder bevestigd datalek, de oorzaak. In deze gevallen is het de cyberaanvallers puur om het geld te doen: als je niet betaalt, gaan de systemen plat. Blijf dan maar eens sterk in je schoenen staan.

Security awareness
Het is voor CISO’s in de zorg niet de tijd om met de handen in het haar af te wachten tot de storm is gaan liggen. Nu heb je de kans om werk te maken van een optimaal beveiligde netwerkomgeving die garandeert dat je als organisatie snel kunt schakelen. Nu kun je een werkomgeving inrichten die zorgprofessionals in staat stelt veilig en efficiënt zorg op afstand te leveren. En als je dit nu combineert met een continue security awareness campagne dan heb je goede kans dat je komend jaar het DBIR 2021 met een gerust hart kunt doorlezen.

Reactie toevoegen