Security en ziekenhuizen, het blijft een moeizame combinatie. Ziekenhuizen zijn afhankelijk geworden van IT. Maar ondanks alle aandacht die er al jaren aan besteed is, blijft de beveiliging ver achter. Het probleem is bekend, maar wordt nauwelijks opgelost, want waar te beginnen?
Ik was laatst aanwezig op een bijeenkomst van zorgbestuurders, waar digicommissaris Bas Eenhoorn het woord voerde. Hij wond er geen doekjes om: securityproblemen zullen de zorgbestuurders echt zélf moeten oplossen. De overheid doet het niet. Die voelt misschien een verplichting, maar mist de noodzakelijke snelheid. Bovendien, ziekenhuizen behoren niet tot de vitale infrastructuur, al bestaat er op securitygebied wel een samenwerkingsverband. Verder is er nu een Zorg-Computer Emergency Respons Team (Z-CERT), een klein team dat ziekenhuizen bijstaat na een incident. Fijn dat er nu deze spoedeisende hulp is, maar wie wil daar terecht komen? Je wilt gezond blijven en dat betekent preventief maatregelen nemen. Of op zijn minst een aanval in de kiem kunnen smoren.
Een complicerende factor is dat patiënten om zorg vragen, niet om security. Het speelt geen enkele rol in de concurrentie tussen ziekenhuizen. Is het dan vreemd dat geld besteed wordt aan bijvoorbeeld een nieuwe MRI-scanner en niet aan security? Nee, want zo’n scanner is een investering die het ziekenhuis in staat stelt patiënten betere zorg te bieden. Bovendien, wiens probleem is die security eigenlijk?
Veiligheidsbewustzijn
Toch hebben ziekenhuizen in de basis wel een veiligheidsbewustzijn. Medicijnen liggen, in tegenstelling tot medische gegevens, achter slot en grendel om te voorkomen dat ze in de verkeerde handen vallen. Medische gegevens brengen op de zwarte markt geld op, op internet circuleren bedragen van enkele centen tot 10 à 20 dollar. Net als medicijnen zijn ze daarom aantrekkelijk om te stelen. Dat wil je vanzelfsprekend voorkomen. En dat kan ook best, want ziekenhuizen kunnen veel meer zelf doen dan ze denken. Zonder dat ze daar een externe securityspecialist voor hoeven in te schakelen!
Hackers zijn lui en schieten graag met hagel. De minst beveiligde organisaties zijn de klos. Begin daarom met een passwordbeleid af te dwingen, nauwgezet patches door te voeren en niet klakkeloos allerlei apparatuur aan internet te koppelen. Vergeet vooral niet dat ziekenhuizen een openbare plek zijn, iedereen kan in en uit lopen. Scherm de netwerkpoorten af en zorg dat de toegang tot computers afgeschermd is. Een kwartier wachten op een arts, terwijl de pc op zijn bureau gewoon aanstaat, is vragen om moeilijkheden. Een ziekenhuis kan dit soort maatregelen in zijn eigen tempo doen, in de wetenschap dat elke actie het huis veiliger maakt dan dat van de buurman.
Crisis voorkomen
Zijn al die maatregelen genomen, dan is het verstandig om in de gaten te gaan houden wat er op het netwerk allemaal voorbij komt, zodat securityissues in een vroeg stadium ontdekt en verholpen kunnen worden. Zo voorkom je een crisis die op een ongunstig moment direct en dus tegen hoge kosten moet worden opgelost!
Deze aanpak is een tweesnijdend zwaard. De security wordt stap voor stap verbeterd, terwijl de kosten binnen de perken blijven. Het meeste geld kan met een gerust hart aan zorg besteed blijven, daar waar het een ziekenhuis en zijn patiënten uiteindelijk om gaat.
Marcel van Oirschot
Fox-IT
