NIS-regelgeving: een nieuw tijdperk van cyberbeveiliging voor de Engelse gezondheidszorgsector
Inhoudsopgave:
Als je denkt aan de uitdagingen waarmee de National Health Service wordt geconfronteerd, denk je misschien aan zaken als een gebrek aan financiering en personeel, lange wachtlijsten, een groeiende bevolking en voortdurend veranderende patiëntbehoeften.
Toch heeft één enkele cyberaanval de kracht om alle kritieke informatiecommunicatiesystemen van de NHS offline te halen, waardoor het voor eerstelijnsartsen en verpleegkundigen moeilijker wordt om hun werk te doen en uiteindelijk levens te redden. De beruchte WannaCry-cyberaanval, uitgevoerd door Noord-Koreaanse hackers, besmet computers in 595 dokterspraktijken in Engeland en verstoorde de werking van een derde van de Engelse NHS-ziekenhuistrusts.
Cyberaanvallen op de NHS hebben niet alleen invloed op de dagelijkse activiteiten van dokterspraktijken en ziekenhuizen in het hele land, maar kunnen ook resulteren in het lekken van gevoelige gezondheidsgegevens. In juni The Independent gerapporteerd dat cybercriminelen de persoonlijke gegevens van 1.1 miljoen NHS-patiënten in 200 ziekenhuizen hebben gestolen na het lanceren van een ransomware-aanval op de Universiteit van Manchester. Er wordt aangenomen dat deze gelekte gegevens de NHS-nummers van patiënten en een deel van hun postcodes bevatten.
Om toekomstige cyberaanvallen en datalekken die de NHS treffen te voorkomen, heeft de Joint Cyber Unit dit vrijgegeven nieuwe begeleiding met betrekking tot de uitrol van de netwerk- en informatiesystemen (NIS)-regelgeving binnen gezondheidszorgorganisaties in Engeland. Dit besluit suggereert dat toezichthouders gezondheidszorggegevens nu beschouwen als een kritieke nationale infrastructuur (CNI). Waarom is dit het geval en wat betekent de nieuwe richtlijn voor zorgaanbieders in Engeland?
Wat zijn NIS-voorschriften?
De NIS-regelgeving, die in mei 2018 in de wetboeken is opgenomen, heeft tot doel de cyberbeveiligingspositie van aanbieders van essentiële diensten (OES's) te versterken. Deze organisaties leveren diensten die cruciaal zijn voor een functionerende samenleving en economie, waaronder transport, water, elektriciteit en nu ook gezondheidszorg.
In nieuwe richtlijnen omschrijven overheidsfunctionarissen gezondheidszorg als “een essentiële dienst onder de NIS-regelgeving”. Het classificeert NHS-trusts, foundation trusts, geïntegreerde zorgraden (ICB's) en specifieke onafhankelijke aanbieders als 'OES's voor gezondheidszorgdiensten', wat betekent dat ze passende stappen moeten ondernemen om te voldoen aan de NIS-regelgeving.
Volgens deze regels moeten gezondheidszorgorganisaties in staat zijn om cyberveiligheidsbedreigingen te beheersen die van invloed zijn op de netwerk- en informatiesystemen die zij gebruiken om essentiële diensten te leveren. Dit omvat het voorkomen en minimaliseren van de gevolgen van cyberaanvallen op gezondheidszorgnetwerken en informatiesystemen, terwijl “de continuïteit van die diensten wordt gewaarborgd”.
De NIS-regelgeving houdt in dat zorgaanbieders “allesomvattende risicobeheerpraktijken” moeten toepassen, aldus Jack Porter, Public Sector Specialist bij Logpoint. Deze maatregelen omvatten “het beoordelen van potentiële risico’s, het implementeren van beveiligingsmaatregelen en het regelmatig beoordelen ervan om patiëntgegevens te beschermen”.
Zorgaanbieders moeten ook “meer beleid met betrekking tot de veiligheid van de toeleveringsketen” implementeren om te voldoen aan de NIS-regelgeving. Porter zegt: “Dit betekent ervoor zorgen dat partners en leveranciers zich houden aan strikte beveiligingsnormen voor zorgverleners, vooral bij het verwerken van patiëntgegevens of het leveren van kritieke diensten.”
Als het gaat om het beperken van cyberveiligheidsrisico's en uiteindelijk het voldoen aan de NIS-regelgeving, beveelt Porter zorgaanbieders aan om een Information Security Management System (ISMS) in te voeren. Hij voegt eraan toe dat de implementatie van een SIEM-systeem (Security and Incident Event Management) gezondheidszorgorganisaties in staat zou stellen “incidenten te detecteren en erop te reageren” en te voldoen aan industrienormen zoals ISO 27001.
Opkomende technologieën zoals blockchain kunnen zorgaanbieders ook helpen cruciale systemen te beschermen tegen cyberaanvallen en datalekken. Simon Bain, AI-expert en CEO van OmniIndex, legt uit dat de gedecentraliseerde technologie “betere beveiliging, privacy en transparantie biedt ten opzichte van de bestaande infrastructuur”.
Hij vervolgt: “Dit komt omdat het end-to-end gecodeerd is, geen centrale locatie heeft waar een crimineel kan aanvallen, en AI gebruikt om voortdurend de toegang te authenticeren en autoriseren om ervoor te zorgen dat alleen degenen die toestemming hebben om bepaalde gegevens te bekijken, deze kunnen bekijken. Bovendien zijn opgeslagen gegevens onveranderlijk. Dit betekent dat zelfs als een aanval succesvol was, de gegevens niet door een aanvaller kunnen worden gecodeerd en tegen losgeld kunnen worden vastgehouden.”
Cyberincidenten melden
Als het netwerk en de informatiesystemen van een zorgaanbieder worden getroffen door een cybersecurity-incident dat de continuïteit van zijn essentiële diensten aantast, moet hij/zij een melding doen via de Toolkit voor gegevensbeveiliging en -bescherming (DSPT).
Ze moeten het incident ten minste 72 uur nadat ze het hebben opgemerkt, melden en informatie toevoegen over hoeveel gebruikers zijn getroffen door een inbreuk, de duur ervan en de getroffen geografische locatie.
Porter zegt dat de NIS-regels vergelijkbaar zijn met GDPR in die zin dat zij tot doel hebben “de vereisten voor het melden van incidenten uit te breiden tot verder dan de vereisten die de continuïteit van de dienstverlening beïnvloeden. Hij legt uit: “Zorgaanbieders moeten significante incidenten die hun netwerk- en informatiesystemen beïnvloeden, melden met aanbevelingen voor een beveiligingsaudit.”
Hij zegt dat de adoptie van een SIEM-platform casemanagers van cyberveiligheidsincidenten in de gezondheidszorg in staat stelt “het onderzoek en de respons te versnellen”. Deze systemen bieden informatie over bedreigingen in logbestanden, waardoor onderzoekers een “compleet beeld krijgen van wat er aan de hand is” en ze “rechtstreeks van elke zaak rapporten kunnen maken”.
Waarom is NIS belangrijk voor de gezondheidszorg?
Er zijn verschillende mogelijke redenen achter het besluit van de Britse regering om de NIS-regelgeving van toepassing te maken op de Engelse gezondheidszorgsector. Misschien wel de grootste drijfveer is dat een complexe verscheidenheid aan onderling verbonden systemen een cruciale rol speelt in de dagelijkse levering van moderne gezondheidszorg.
Van elektronische medische dossiers tot op internet aangesloten diagnostische apparatuur: gezondheidstechnologieën kloppen in 2023 in het hart van de NHS. Maar ze zijn ook een lucratief doelwit van cybercriminelen en moeten worden beschermd om catastrofale cyberinbreuken te voorkomen die het Engelse gezondheidszorgsysteem zouden kunnen aantasten.
Matt JD Aldridge, hoofdoplossingenadviseur bij OpenText Cybersecurity, zegt dat de “extreem gevoelige” aard van gezondheidszorggegevens en de waarde ervan voor cybercriminelen waarschijnlijk belangrijke factoren zijn in het besluit van de regering om de NIS-regelgeving toe te passen op het Engelse gezondheidszorgsysteem.
“Als een aanval een medische faciliteit zou ontwrichten, brengt dit ernstige risico’s voor patiënten met zich mee. Dit is de reden waarom de sector sterk in de schijnwerpers staat en daarom de veiligheid op meerdere manieren moet aanpakken”, zegt hij.
“Bovendien zijn er de afgelopen jaren talloze, goed gepubliceerde aanvallen of inbreuken op de NHS geweest, die mogelijk tot deze herschikking hebben geleid om betere bescherming en begeleiding voor gezondheidszorgorganisaties als geheel te garanderen.”
De pandemie van het coronavirus heeft het belang van de NHS tijdens een noodsituatie op het gebied van de volksgezondheid benadrukt. Je zou dus kunnen stellen dat een ontwricht gezondheidszorgsysteem slecht zou zijn voor de Britse nationale veiligheid. Door de cyberveerkracht van de NHS te verbeteren, zullen de natiestaten het vermogen van Groot-Brittannië om kritieke zorg te verlenen tijdens toekomstige pandemieën en andere volksgezondheidscrises niet kunnen verstoren.
Door zorgaanbieders te onderwerpen aan de NIS-regelgeving kunnen zij best practices op het gebied van cyberbeveiliging implementeren om toekomstige cyberaanvallen en datalekken te beperken, die anders patiënten in gevaar zouden brengen, tot hoge boetes zouden leiden en reputatieschade zouden veroorzaken. Het besluit van Engeland om de cyberveiligheid van zijn gezondheidszorgsector op deze manier te versterken zal waarschijnlijk andere landen inspireren om soortgelijke stappen te ondernemen, waardoor de invloed van Groot-Brittannië op het wereldtoneel toeneemt.
Zorg ervoor dat de NIS-regelgeving werkt
Ondanks hun voordelen kunnen de NIS-regelgeving verschillende uitdagingen met zich meebrengen voor gezondheidszorgorganisaties in Engeland. Vooral kleinere aanbieders zullen getroffen worden door de financiële lasten die gepaard gaan met de aanschaf van cyberbeveiligingssystemen en het updaten van bestaande IT-systemen. Om dit te kunnen doen is er ook specifieke expertise nodig, die kleine zorgaanbieders vaak niet in huis hebben. Het trainen van personeel in het identificeren van en reageren op cyberaanvallen zal enige tijd in beslag nemen.
Over het geheel genomen zal de uitrol van NIS-regelgeving in de Engelse gezondheidszorgsector deze beschermen tegen bestaande en opkomende cyberveiligheidsbedreigingen. Maar om deze transitie succesvol te laten zijn, is nauwe samenwerking tussen overheden, toezichthouders, gezondheidszorgaanbieders en cybersecurity-experts van fundamenteel belang.
