Zorgbeveiliging op orde krijgen begint met de basis

Zorgbeveiliging op orde krijgen begint bij de basis

Door Phil Muncaster • 18 July 2023

Geen enkele organisatie wil te maken krijgen met een grote inbreuk op de beveiliging. Maar als het gezondheidszorgorganisaties zoals NHS-trusts overkomt, kan de impact op de lokale gemeenschap buitensporig groot zijn. De WannaCry-aanvallen van 2017 en de ransomware-aanval van Conti op de Ierse Health Service Executive (HSE) hebben tekortkomingen aan beide zijden van de Ierse Zee blootgelegd. Hoewel er verbeteringen zijn aangebracht, blijven veel onderliggende uitdagingen de sector blootstellen aan ernstige cyberrisico’s. Nu er zo veel op het spel staat, had een alomvattende, gezamenlijke aanpak voor het beheersen van deze risico's al lang moeten plaatsvinden.

De scène instellen

Waarom zijn HCO’s zo blootgesteld aan cyberrisico’s? Zoals de regering erkent in zijn eigen veiligheidsstrategie voor de sector tot 2030 komt een groot deel daarvan voort uit een reeks unieke factoren, waaronder:

De omvang en diversiteit ervan maken het moeilijk om de aanpak voor alle onderdelen te standaardiseren, van primaire tot sociale zorg voor volwassenen. Het betekent ook dat gegevens worden gedeeld door een potentieel groot aantal verschillende entiteiten, wat het risico kan vergroten.
Beperkte middelen en cyberbeveiligingsspecialisten om aan het probleem te besteden
Onduidelijke rapportage- en verantwoordingslijnen
Extreem hoge operationele druk, die door de COVID-19-achterstanden alleen maar is toegenomen
Een groot aantal uiteenlopende technologische middelen, van diagnostische machines tot patiëntboekingssystemen en receptdiensten. Veel operationele technologie (OT)-systemen kunnen moeilijk of vrijwel onmogelijk te patchen zijn

Wat zijn de belangrijkste cyberbedreigingen voor de gezondheidszorg?

Dat gezegd hebbende, zijn veel van de bedreigingen waarmee HCO’s worden geconfronteerd vergelijkbaar met die in andere sectoren. Ze bevatten:

Softwarekwetsbaarheden: vaak verergerd door het gebruik van niet-ondersteunde besturingssystemen. OT-apparatuur met een lange levensduur (> 10 jaar) ondersteunt mogelijk geen moderne software en besturingssystemen, waardoor patchen een dubbele uitdaging wordt. Volgens William Smart's Lessons Learned-overzicht van NHS Engeland werden meer dan 1200 diagnostische apparatuur geïdentificeerd als geïnfecteerd met WannaCry nadat de beruchte dreiging in 2017 opdook.

Social engineering: Phishing blijft een van de belangrijkste bedreigingsvectoren in alle sectoren, waarbij gebruik wordt gemaakt van de menselijke zwakke schakel in de beveiligingsketen. Onder druk is het zorgpersoneel wellicht eerder geneigd eerst te klikken voordat ze nadenken.

Werken op afstand: De gezondheidszorg heeft waar mogelijk hybride werken omarmd om de productiviteit en de balans tussen werk en privéleven te verbeteren. Maar de risico's die gepaard gaan met afgeleid personeel en onveilige apparaten/netwerken in huis blijven bestaan.

Kwaadwillige insiders: Interessant is dat meer dan een derde (35%) van de inbreuken werd geanalyseerd door Verizon dit jaar in de sector kwam van insiders. Het waarschuwt voor de dreiging van ontevreden werknemers en samenspanning tussen meerdere partijen.

Onbedoelde lekkages: Een andere trend die Verizon heeft opgemerkt, is de verkeerde levering van gevoelige informatie door zorgpersoneel. Naast eenvoudige webapplicatie-aanvallen vertegenwoordigen diverse fouten 68% van de inbreuken.

Bevoorradingsketen: Met een grote en complexe toeleveringsketen worden zorgaanbieders blootgesteld aan extra risico's. A ransomware-aanval over de Britse softwareleverancier Advanced heeft al wekenlang een wijdverbreide impact op de NHS, inclusief de cruciale 111-hulplijn. Recenter, De Ierse HSE heeft dit toegegeven de MOVEit-campagne voor gegevensdiefstal had hier invloed op.

Wat staat er op het spel?

WannaCry benadrukte voor het eerst de mate van afhankelijkheid die moderne gezondheidszorgsystemen hebben van digitale technologie. In totaal, het verstoorde 81 van de 236 trusts in Engeland (34%), wat leidde tot naar schatting 19,000 geannuleerde afspraken en operaties, waarbij veel patiënten naar verder weg gelegen spoedeisende hulpafdelingen werden doorverwezen.

“Met naar schatting dagelijks 950,000 huisartsafspraken, 45,000 bezoeken aan grote spoedeisende hulpafdelingen en 137,000 geregistreerde beeldvormingsgebeurtenissen, is de omvang van de impact – zowel direct als indirect – van een cyberaanval op de gezondheidszorg en de sociale zorgsector potentieel enorm”, geeft de regering toe. .

Hieraan zijn uiteraard financiële kosten verbonden. Ierland HSE heeft al uitgegeven tientallen miljoenen euro’s het beheersen van de gevolgen van zijn enorme omvang Ransomware-inbreuk in 2021. Een studie van ThreatConnect-claims dat HCO's met een omzet tot $500 miljoen gemiddeld naar schatting 30% van hun bedrijfsinkomsten verliezen als ze worden getroffen door een ernstige ransomware-aanval. Er bestaat zeker ook een risico op regelgevingsgebied, vooral als persoonlijke gegevens van werknemers en patiënten worden gestolen. Hoewel er tot nu toe geen significante AVG-boetes zijn opgelegd, hebben toezichthouders dat wel gedaan soms financiële boetes opgelegd, en de verordening classificeert de meeste medische gegevens inderdaad als een ‘speciale categorie’, wat betekent dat er strengere regels voor gelden.

Naast de financiële, reputatie- en compliance-impact, die het vertrouwen van patiënten ernstig kunnen aantasten, is er echter nog een duidelijker risico: patiëntveiligheid. Studies hebben aangetoond een groeiende correlatie tussen sterftecijfers en cyberaanvallen. Eén rapport vond zelfs een verband tussen gegevens inbreuken en sterfgevallen door hartaanvallen. Dat is afgezien van het schijnbare risico voor de gezondheid van de patiënt tegen ransomware-aanvallen die cruciale digitale systemen offline halen.

Hoe gaat het met de HCO’s?

Gezien deze hoge inzet is de vooruitgang op het gebied van cyberrisicobeperking in de Britse gezondheidszorg enigszins geruststellend. Volgens de regering Onderzoek naar cyberbeveiligingsinbreuken 2023, Organisaties in de gezondheidszorg, de sociale zorg en de sociale werksector zijn “significant” waarschijnlijker dan de gemiddelde organisatie om ‘best practice’-acties te ondernemen, zoals het implementeren van beveiligingsmonitoring, risicobeoordelingen, personeelstests, kwetsbaarheidsaudits, penetratietests en informatie over bedreigingen. Dit cijfer bedraagt 74% voor HCO's, tegenover 51% in alle sectoren. Het is ook waarschijnlijker (35% versus 18%) dat ze de afgelopen twaalf maanden een training voor beveiligingsbewustzijn van hun personeel hebben gegeven. En steeds meer gezondheidszorg-, sociale zorg- en maatschappelijk werkorganisaties hebben bedrijfscontinuïteitsplannen die cyberbeveiliging bestrijken (12% vs. 46%) en formeel veiligheidsbeleid (27% vs. 57%).

Er is echter nog meer te doen, en er is geen garantie dat deze inspanningen niet alleen maar afvinkoefeningen zijn van organisaties die actief zijn in een sterk gereguleerde sector.

Richard Staynings, Chief Security Strategist voor de Britse gezondheidszorgbeveiligingsspecialist Cylera, stelt dat het certificeren van zorgapplicaties, leveranciers en externe dienstverleners veel zou helpen.

“ISO27001-certificering is heel logisch voor sommige diensten die gecertificeerd kunnen worden, terwijl een SOC2 Type II-attest gebaseerd op toepasselijke ISO 27001-domeinen en -controles voor andere wellicht logischer is”, vertelt hij aan ISMS.online. “Hoe dan ook, leveranciers zouden niet elk jaar de risico’s van hun leveranciers moeten beoordelen, zoals nu het geval is. Op zijn minst moeten derde partijen worden gehouden aan een gelijk of hoger beveiligingsniveau dan de aanbieders die zij bedienen. Gemeenschappelijke normen zouden zeker helpen.”

Mohammad Waqas, CTO voor de gezondheidszorg bij Armis, stelt dat de NHS-toolkit voor gegevensbeveiliging en -bescherminggeeft Groot-Brittannië, naast ISO 27001 en de NIS-richtlijn van de EU, “een meer volwassen beveiligingsbasis” dan veel andere landen. Hij waarschuwt echter dat met name de beveiliging van medische apparatuur een aanzienlijk risico met zich meebrengt.

“Het kunnen monitoren van deze apparaten en het in realtime begrijpen van hun gedrag en risico’s is van cruciaal belang voor het garanderen van de patiëntveiligheid en een soepele werking. Het maakt ook de proactieve identificatie van risico’s en kwetsbaarheden mogelijk, waardoor trusts tijdig actie kunnen ondernemen”, vertelt hij aan ISMS.online. “Door een gecentraliseerde oplossing voor risicobeheer te gebruiken, kunnen HCO’s een uniforme aanpak hanteren voor risicoreductie op alle apparaattypen, wat een holistische beveiligingshouding zal garanderen en de algehele beveiliging zal verbeteren.”

Risico's op het gebied van de naleving van de gezondheidszorg beheren

Er valt veel aan te bevelen in de 2030-strategie van de regering, die voorschrijft dat alle organisaties in de publieke gezondheidszorg regelmatig moeten worden gecontroleerd op grond van het Cybersecurity Assessment Framework (CAF) van het National Cyber Security Centre. De strategie omvat vijf belangrijke pijlers voor succes:

Concentreer u op de grootste risico's en schade
Verdedig als één
Mensen en cultuur
Bouw veilig voor de toekomst
Voorbeeldige reactie en herstel

Een groot deel van wat de strategie probeert te bereiken is ervoor te zorgen dat HCO’s eerst de basisprincipes van cyberhygiëne op orde krijgen, om de risico’s te elimineren die voortkomen uit relatief fundamentele fouten zoals gemakkelijk te raden wachtwoorden, niet-gepatchte middelen en phishing. Waar preventie niet mogelijk is, is het de bedoeling ervoor te zorgen dat organisaties over de juiste tools voor beveiligingsmonitoring en incidentresponsprocessen beschikken om ervoor te zorgen dat ze bedreigingen kunnen detecteren en beheersen voordat deze een serieuze impact kunnen hebben.

ISO 27001 kan deze inspanningen ondersteunen door:

Het identificeren van beveiligingslacunes
Het minimaliseren van supply chain-risico's
Ondersteuning van inspanningen op het gebied van regelgeving/wettelijke naleving
Ervoor zorgen dat het personeel goed is opgeleid en zich bewust is van de veiligheid
Het verminderen van inbreukrisico's door goed gedocumenteerd beleid en processen
Beheer van risico's over het gehele oppervlak van cyberaanvallen

Het draait allemaal om het vergroten van de cyberveerkracht van kritieke IT-systemen, waardoor uiteindelijk het vertrouwen bij patiënten wordt opgebouwd en de financiële en operationele impact van cyberaanvallen in de gezondheidszorg worden verminderd.

Als u uw reis naar betere informatiebeveiliging en gegevensprivacy wilt beginnen, kan ISMS.online u helpen.

Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame benadering van gegevensprivacy en informatiebeheer mogelijk met ISO 27001 en versterkt andere raamwerken zoals SOC 2, AVG en meer. Ontgrendel vandaag nog uw compliance op het gebied van de gezondheidszorg.

Spreek met een expert

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster