Online Data Security Concept
De digitale informatieketen in de zorg, meer in het bijzonder het landelijke schakelpunt (LSP), is kwetsbaar voor cyberaanvallen door onvoldoende beveiliging van PC’s, laptops, tablets en smartphones van eindgebruikers zoals huisartsen. Hierdoor kunnen computers die met honderden virussen en malware besmet zijn toegang krijgen tot het digitale informatienetwerk.
Dat zegt Daniëlle van Leeuwen van databeveiliger G Data in Skipr magazine 01, januari 2016. Van Leeuwen baseert zich op onderzoek naar de digitale veiligheid in de eerste lijn. De spil in het digitale dataverkeer in de zorg is nog altijd het Landelijk Schakelpunt (LSP). Om toegang tot het LSP te krijgen moet een zorgaanbieder voldoen aan de vereisten van een Goed Beheerd Zorgsysteem. Die vereisten hebben onder meer betrekking op de inrichting van het digitale patiëntendossier en de bijbehorende opslag en beveiliging van gegevens. Maar over de computer of laptop die de huisarts gebruikt wordt met geen woord gerept, zo constateert Van Leeuwen.
Daarbij zijn de eisen volgens Van Leeuwen ook nog eens verouderd en worden ze niet meer geactualiseerd. Tot 2013 zag het nationaal IT-instituut NictiZ hier op toe, maar nadat minister Schippers noodgedwongen de stekker uit het project voor een landelijk EPD trok, hield ook de bemoeienis van het NictiZ op. “Een totaal geïnfecteerde computer met daarop honderden virussen en malware, kan zodoende zonder problemen aangemerkt worden als een Goed Beheerd Zorgsysteem”, stelt Van Leeuwen. “De gebruiker krijgt zo toegang tot het LSP en daarmee in principe ook tot alle medische dossiers die zijn opgenomen in het LSP.”
Met de nieuwste generatie bank-trojanen is het volgens Van Leeuwen voor kwaadwillenden een koud kunstje om ongemerkt mee te liften.
Daarnaast staan de digitale dossiers van de huisarts zelf ook wijd open. “De huidige EPD-systemen worden niet ten onrechte als heel veilig verkocht. De cloud waarin het EPD zit is goed beveiligd”, zegt van Leeuwen. “Maar wanneer een huisarts iets met zijn eigen computer ophaalt uit de cloud vervalt die beveiliging. Het is van groot belang dat de gebruiker ook zelf voortdurend anti-malware installeert, maar dat is nergens verplicht. In de praktijk werken veel huisartsen juist met verouderde software die niet langer wordt geserviced.”
De huidige dubbele authenticatie van een Goed Beheerd Zorgsysteem is volgens Van Leeuwen in de praktijk vaak een wassen neus. Tachtig procent van de gebruikers hanteert het standaard ingestelde wachtwoord ‘welkom’ of een variant hierop. De bijhorende UZI-passen zitten door laksheid van de gebruikers of omdat de bijhorende software dat vereist bovendien vaak continu in de houder.
IT-directeur Ton Hafkamp van Ziekenhuis St Jansdal in Harderwijk deelt de zorgen over de dunne plekken in de digitale informatieketen. “In de keten zitten nog grote verschillen in het beveiligingsniveau”, aldus Hafkamp in Skipr magazine. “In een zorgecosysteem waarin steeds meer informatie wordt uitgewisseld levert dat risico’s op. Als er ergens niet consequent veiligheidsupdates worden uitgevoerd kun je als organisatie die dat wel doet alsnog in de problemen komen.”
De digitale veiligheid in de zorg wordt verder gecompromitteerd door de groeiende complexiteit van het applicatielandschap. Een beetje ziekenhuis heeft al snel vijfhonderd tot duizend applicaties draaien en telt tot dubbel dit aantal aan workstations. “Daarmee ontstaat een digitale infrastructuur waarvan je niet van A tot Z weet hoe die in elkaar zit”, constateert Martijn van de Beek, operationeel directeur van Hoffmann bedrijfsrecherche. “Zo loop je het risico dat zo’n systeem zonder er erg in te hebben niet up to date is, maar wel in verbinding staat met het internet en andere netwerken.”
Het Ministerie van Veiligheid en Justitie wees er dit najaar in het meest recente Cybersecuritybeeld op dat de zorg “gezien de hoeveelheid geld die ook in Nederland in deze sector wordt omgezet, mogelijk een aantrekkelijk doelwit is”. Vrijwel alle aanbieders en zorgverzekeraars die serieus werk hebben gemaakt van digitale veiligheid zeggen te merken dat “er dagelijks aan de deur gemorreld wordt”.
Lees het verhaal over digitale veiligheid in de zorg in Skipr magazine 01, januari 2016.
