Zorginstellingen zijn een populair doelwit van cyberaanvallen. De afgelopen tijd zijn er verschillende voorbeelden van phishing en ransomware aanvallen en hackpogingen geconstateerd. Eenmaal binnen het netwerk kunnen cybercriminelen bij de patiëntgegevens komen. Het gaat hierbij om vertrouwelijke informatie die optimale bescherming vereist.
Frank Ruijgrok, Principal Consultant Cyber Solutions bij Aon, begint zijn betoog met een positief verhaal. ‘De digitalisering die plaatsvindt binnen de gezondheidszorg gaat gestaag door, wat fantastisch is. De bereikbaarheid van zorginformatie voor patiënten wordt steeds beter. Je kunt tegenwoordig makkelijker inzage in je zorgdossier krijgen. De andere kant van de medaille is dat zorginstellingen hierdoor ook steeds kwetsbaarder zijn voor cyberaanvallen. Naast datadiefstal en cyberaanvallen kan een aanval gericht zijn op het verstoren van de processen of het gijzelen van data, waardoor de beschikbaarheid en/of de planning verstoord raken. Het maakt zorginstellingen een aantrekkelijk doelwit. De cybercriminelen weten dat gezondheidsinstellingen kwetsbaarder worden door de digitale transformatie die plaatsvindt. Ze maken daar dolgraag gebruik van.’ De cyberweerbaarheid tegen deze aanvallers vraagt om extra stappen, stelt Ruijgrok. ‘Niet alleen om een verbetering in de technologie, waarbij je allerlei extra beveiligingen aanbrengt, maar ook valt te denken aan sterk leiderschap. Het is bijzonder belangrijk dat de waakzaamheid voor het beschermen van de patiëntgegevens en systemen van bovenaf wordt uitgedragen. Dat je zorgt dat het leerproces binnen de organisatie om continu te beveiligen echt aanwezig is. Je moet met z’n allen bewust zijn van de dreigingen en kwetsbaarheden die door de digitale processen plaatsvinden.’
Cultuuromslag
Ruijgrok hamert er bij zijn opdrachtgevers op dat de cultuur binnen de gezondheidsorganisatie moet worden aangepast. ‘Men moet zich beter bewust worden van alle dreigingen, maar ook alle risico’s die bestaan binnen de gezondheidszorg. Wil je die verhoogde bewustwording realiseren rondom de vertrouwelijkheid van de patiëntdata, dat die goed is beveiligd, dan moet je zorgen dat iedereen daar continu mee bezig is en de beveiliging in lijn is met de vertrouwelijkheid. De communicatie naar en het bewustzijn van het personeel moet in goede banen worden geleid. Een cultuuromslag start bij de Raad van Bestuur (RvB). Wens je een verhoogde cyberweerbaarheid tot in de kleinste onderdelen van de gezondheidszorg, dan moet het initiatief op het allerhoogste niveau starten.’ Passende bescherming kost geld, benadrukt Ruijgrok. ‘De afhankelijkheid van technologie, kwetsbare systemen en vertrouwelijke data vraagt om een evenredig budget om te zorgen dat de beveiliging ook meegroeit, zodat cybercriminelen er niet bij kunnen.’ Daarbij gaat het om het monitoren van het dataverkeer binnen het netwerk en de training en de bewustwording van je mensen. ‘Doe je dat niet, dan neemt het risico heel snel toe.’ Europa zorgt met de NIS2-richtlijn voor de stok achter de deur om dat goed te regelen, aldus Ruijgrok. ‘Op het moment dat er geen wetgeving is, gaat iedereen de beveiliging van de systemen naar eigen inzicht en naar beste kunnen organiseren.’ De NIS2-richtlijn is uitgewerkt in de Nederlandse Cyberbeveiligingswet. Deze wet wordt de tweede helft van 2025 van kracht. Cyber Solutions van Aon helpt organisaties bij deze implementatie. ‘Met behulp van een zogenoemde NIS2 Gap Analyse zorgen we ervoor dat een organisatie goed is voorbereid. We maken een roadmap om de klant klaar te stomen voor de nieuwe wet.’ Dit kan handig zijn als men niet weet waar te beginnen.
Testen van het incident response plan
Het uiteindelijke doel van de Cyberbeveiligingswet is om de weerbaarheid van Europa aanzienlijk te versterken. ‘Om organisaties beter in staat te stellen te reageren op incidenten en de kwaliteit van weerbaarheid te verbeteren, moeten zij aansluiten bij de maatregelen in deze wet’, aldus Ruijgrok. ‘Als een onderdeel van de informatievoorziening uitvalt bij een IT-leverancier, is het belangrijk om te weten hoe je daarop kunt reageren. Je moet nadenken en vastleggen in een incident response plan hoe je in al dat soort situaties de zorg voor je patiënten toch kan continueren.’ Zo’n plan op papier heeft weinig waarde totdat je het hebt getest, benadrukt hij. ‘Pas dan wordt het duidelijk waar de risico’s zitten en kun je bijvoorbeeld je back-upstrategie aanpassen, zodat je bij een echte aanval snel je data kunt herstellen.’ Dat is een exercitie die je steeds weer moet herhalen, benadrukt Ruijgrok. ‘Het niet testen en steeds weer verbeteren van je incident response plan kan betekenen dat je een paar weken de tijd nodig hebt om te herstellen van een aanval of inbraak. Het is een continue cirkel van plan-do-check-act. Het gaat je een keer overkomen dat je wordt aangevallen. Dat betekent dat je er op dat moment klaar voor moet zijn en snel kan reageren en weet welke acties je moet ondernemen.’
Nieuwe rollen
De rol van een (Chief) Informatie Security Officer (ISO/CISO) gaat veranderen, verwacht Ruijgrok. ‘Waar een ISO/ CISO eerder tactisch bezig was met de cyberweerbaarheid en informatiebeveiliging, zie je dat deze ook een strategische rol gaat krijgen. Hij moet aan de bestuurstafel gaan zitten om afspraken te maken over de implementatie van de maatregelen.’ Daarmee komt hij terug bij zijn initiële betoog: het belang van een cultuuromslag. Zijn algemene indruk is dat de bewustwording er is, maar het bestuur niet meteen zit te wachten op de nieuwe rol. ‘Met de nieuwe wet ligt de verantwoordelijkheid bij het bestuur. Dit betekent dat ze kennis moeten opdoen van cybersecurity, die momenteel onvoldoende aanwezig is. Je hebt te maken met invloeden van buitenaf waarvan je je misschien niet zo bewust bent dat die ook jouw or- ganisatie kunnen treffen. Het lastigste aan de bestuurstafel is op dit moment: welke taal praat je? Hoe kun je als RvB zo goed mogelijk met de ISO/CISO praten? Vaak is dat in risicotermen. Dan vind je elkaar. Cyber Solutions van Aon helpt organisaties met risicomanagement en zo ook betere beslissingen te nemen bij het optimaliseren van hun cyberbeveiligingsbeleid.
