4.2.2014 Springer Medizin online: Tod-bringender Krebs: Kampagnen, die Angst schüren, fruchten nichts. © rangizzz / fotolia.com for article DFZ 2014/01, fear © rangizzz / fotolia.com
Bestuurders en toezichthouders in de ziekenhuissector zijn zich onvoldoende bewust van het belang van cyberveiligheid. Dat betoogt voormalig commandant der strijdkrachten en veiligheidsconsultant Dick Berlijn in een interview op Radio1.
“Ziekenhuizen denken vaak: wat is er bij ons te halen?”, aldus Berlijn, tegenwoordig verbonden aan adviesbureau Deloitte, op Radio1. “Er is geen geld, we doen alleen maar goede dingen voor de mensen, dus wie kan er kwaad met ons in de zin hebben? Zo’n ziekenhuis realiseert zich niet dat het op een berg informatie zit die voor hackers razend interessant is, want daar kunnen ze allerlei dingen mee doen.”
De gevaren van cybercrime gaan in ziekenhuizen verder dan de diefstal van persoonlijke gegevens van patiënten, zoals verzekeringsnummers. In navolging van de Inspectie voor de Gezondheidszorg (IGZ) wijst Deloitte in een recente inventarisatie op de risico’s die het gebruik van high tech, digitale apparatuur met zich meebrengt. Volgens Deloitte nestelen computervirussen zich in toenemende mate in medische apparatuur, meestal door het ontbreken van een virusscanner. Besmetting kan de werking van de apparatuur beïnvloeden en daarmee de patiëntveiligheid.
Ook ziet Deloitte hackers steeds vaker op zoek gaan naar medisch apparaten die direct aan een netwerk verbonden zijn. Zodoende kunnen ze ongeautoriseerd toegang tot de apparaten krijgen en deze mogelijk zelfs ‘gijzelen’.
Reputatieschade
Ziekenhuizen staan wat Berlijn betreft niet alleen in hun onderschatting van het belang van digitale security. “Door een combinatie van onderschatting, gebrek aan kennis en onwil realiseren bedrijven zich vaak onvoldoende wat de relevantie van cyberveiligheid en -onveiligheid is voor hun organisatie. Men denkt vaak dat het iets is dat alleen in de financiële sector voorkomt, maar geen bedrijfstak is er vrij van. Het is geen kwestie of je gehackt gaat worden, maar wanneer, dat moeten bedrijven zich gaan realiseren.”
Daarbij is het volgens Berlijn van belang te bedenken dat cybercrime meer dan alleen directe schade veroorzaakt. “Cybercrime veroorzaakt ook reputatieschade, de samenleving wordt minder tolerant ten aanzien van organisaties die slordig met gevoelige informatie omgaan.”
Bestuurlijke opdracht
De bewustwording rond cybercrime is volgens Berlijn in de eerste plaats een bestuurlijke opdracht. “Het begint met awareness bij raden van bestuur en raden van commissarissen, want die moeten organisaties op het goede spoor zetten.” Die bestuurlijke boodschap moet vertaald worden in praktische stappen. “Doet een bedrijf regelmatig aan penetration testing? Is er een systeem dat laat zien of de software op tijd gepatcht wordt? Is er een awareness program? wordt er aan monitoring gedaan? Is er een incident response capacity?”, vat Berlijn enkele belangrijke digitale veiligheidsmaatregelen samen. Als het aan Berlijn licht berichten organisaties uiteindelijk ook in hun jaarverslagen over hun cyber security-beleid. “Dan kun je zien tenminste zien of een bedrijf het probleem serieus neemt”, stelt Berlijn.
