De WannaCry-aanval die ongeveer 300 duizend systemen in 150 landen trof, kwam voor het eerst op de radar toen 48 Engelse en Schotse ziekenhuizen geïnfecteerd bleken te zijn. Maar liefst 70 duizend apparaten, zoals computers, MRI-scanners, koelkasten voor bloedopslag en apparatuur in de OK, werden getroffen door de aanval.
Hoewel de opmars van WannaCry inmiddels een halt is toegeroepen, kunnen we met zekerheid stellen dat deze aanval niet de laatste zal zijn. En ziekenhuizen die hun IT-omgeving op een klassieke manier blijven beveiligen, gaan hier mogelijk verstrekkende gevolgen van ondervinden. Het is tijd voor een nieuw beveiligingsparadigma in de gezondheidszorg.
Het beheer van IT-omgevingen in ziekenhuizen vormt een enorme uitdaging. Het zijn complexe organisaties, waar niet alleen chirurgen, artsen, verplegers en andere medewerkers rondlopen, maar ook studenten, patiënten en facilitair personeel. Voor elke functie zijn specifieke toegangsrechten nodig en een belangrijk deel van de data waar dagelijks mee gewerkt wordt, is bijzonder privacygevoelig. Tegelijkertijd moeten patiëntgegevens beschikbaar zijn op het moment dat het nodig is. Beschermde medische informatie kan alles omvatten: van een eenvoudig doktersrecept tot een volledig elektronisch patiëntendossier (EPD). De toegang tot dergelijke informatie kan het verschil tussen leven en dood betekenen.
Ook de locaties zijn intrinsiek complex. In ziekenhuizen zijn publieke en afgeschermde gedeelten en het zorgpersoneel wordt steeds mobieler. Data wordt opgevraagd onderweg van kantoor naar de OK, tijdens de dagelijkse rondes en soms zelfs in zusterinstellingen die artsen bezoeken voor consulten. Je moet voortdurend weten waar alle medewerkers zich bevinden en op welk apparaat ze gegevens opvragen. Het bijhouden van machtigingen en privileges voor alle verschillende rollen, locaties en apparaten in de steeds complexere IT-omgeving van ziekenhuizen kan zelfs voor de meest geavanceerde IT-afdelingen een zware belasting vormen. Tegelijkertijd heeft de gezondheidszorg te kampen met krimpende budgetten, een steeds hogere rapportagelast en een groeiende zorgvraag.
De klassieke manier van beveiligen
Het Pavlov-effect dat meestal volgt op grootschalige aanvallen zoals WannaCry, is het dichtmetselen van de IT-omgeving en het beperken van de toegangsrechten. Het is een begrijpelijke reflex, maar je lost er helaas niets mee op. Mensen moeten namelijk wel in staat blijven om hun werk goed te doen. Maak je ze het moeilijk om productief te zijn door alles op slot te zetten, dan gaan ze manieren verzinnen om de beveiliging te omzeilen.
Deze klassieke manier van IT beveiligen zorgt voor irritatie bij de gebruikers en een hoge werkdruk voor de IT-afdeling. Het handmatig toewijzen van de rechten en machtigingen is immers een kostbare en tijdrovende klus, die bij iedere in- en uitdiensttreding terugkeert. Daar komt nog bij dat menselijke tussenkomst de kans op fouten aanzienlijk vergroot, waardoor de beveiliging gevaar loopt. Een gevolg van handmatige processen is bijvoorbeeld dat mensen na verloop van tijd vaak meer toegangsrechten krijgen dan ze nodig hebben. Wanneer iemand eenmaal een verhoogd privilege is toegewezen, dan houdt hij het meestal ook. Dat kan zelfs voortduren tot maanden nadat iemand uit dienst is getreden. En dat zorgt voor ernstige blootstelling aan risico’s.
Automatiseren & selfservice
De juiste soort automatisering maakt het veel eenvoudiger voor IT-beheerders om gebruikers snel en makkelijk precies de rechten te geven die ze op dat moment nodig hebben. Met automatisering kan IT een uiterste houdbaarheidsdatum aan privileges meegeven, zodat ze niet eeuwig blijven bestaan. Deze toegangsautomatisering kan bovendien rekening houden met de context waarbinnen het personeel zijn werk uitvoert. Een context die gedefinieerd wordt aan de hand van allerlei verschillende variabelen, zoals de rol van de werknemer, de fysieke locatie van de werknemer, het type apparaat, de gebruikerslogin, de tijd van de dag en nog veel meer.
Gebruikers kunnen vanaf het moment van indiensttreding via selfservice de applicaties en diensten aanvragen die zij nodig hebben, zonder tussenkomst van de IT-afdeling. Een zakelijke IT store kan diensten en applicaties aanbieden op basis van informatie die in de systemen van de HR-afdeling aanwezig is. Bij uitdiensttreding kunnen de rechten en machtigingen bovendien automatisch worden herroepen, zodat er geen kans meer bestaat dat werknemers die allang uit dienst zijn, nog altijd toegang hebben tot de informatie en de systemen van het ziekenhuis.
Deze functionaliteit kan eenvoudig worden uitgebreid voorbij fysieke, lokale netwerken naar alle mogelijke mobiele apparatuur – waarmee aan de behoeften van het steeds mobielere zorgpersoneel tegemoet kan worden gekomen.
Een dergelijk automatisering maakt het mogelijk om het medisch personeel op een veilige en eenvoudige manier te voorzien van de IT-diensten die het nodig heeft. Personeel kan overal en op elk gewenst apparaat werken, terwijl gevoelige informatie veilig blijft. Iedere handeling in het systeem wordt automatisch en gecentraliseerd bijgehouden, wat zorgt voor een aanzienlijk vermindering van de rapportagelast waar ziekenhuizen aan moeten voldoen omdat de IT-afdeling direct de beschikking heeft over de informatie die nodig is voor audits.
Balanceren tussen context en control
De aard van de dreiging is voortdurend aan verandering onderhevig: twintig jaar geleden waren computervirussen het grootste probleem, vijf jaar geleden waren het wormen, nu is het ransomware. Over drie jaar is er waarschijnlijk weer een nieuwe dreiging die op de voorgrond treedt. Dit kun je alleen bestrijden door een overkoepelende strategie die IT als dienst ziet.
IT is van oudsher controlerend en voorschrijvend, maar dat is nu geen optie meer. IT moet zich meer gaan opstellen als dienstverlener, die de medewerkers snel en makkelijk voorziet van de middelen die ze nodig hebben. IT mag de medewerkers niet meer in de weg staan, met trage goedkeuringstrajecten en logge processen, maar moet er juist voor zorgen dat de weg vrij is voor een soepele en flexibele organisatie die snel kan reageren en die optimaal gebruik kan maken van de beschikbare technologieën.
Naast het bieden van verregaande automatisering en selfservice kunnen we de veiligheid nog verder verhogen door ‘whitelisting’. Whitelisting is het gebruik van een lijst waar alleen bewezen betrouwbare software op staat (‘whitelisting’). Iedere keer dat een gebruiker software wil gebruiken of installeren, wordt gecontroleerd of deze nog steeds op de “whitelist” staat. Staat software (dus misschien malware) niet op de lijst, dan kan het niet gebruikt worden. De combinatie van automatisering van het rechtenbeleid met whitelisting, is een omvattende beveiligingsoplossing, die ransomware-aanvallen zoals WannaCry misschien nooit helemaal kan voorkomen, maar die in ieder geval het risico aanzienlijk kan verminderen, zonder medisch personeel te belemmeren in hun werkzaamheden.