Tip 1: Verdiep je (een beetje) in cybersecurity.
Dit vinden alle experts: Als bestuurder hoef je niet álles van te weten van cybersecurity, maar verdiep je enigszins om er controle over te krijgen. Leg risicorapportage van de CISO niet in een lade, maar bespreek die met hem of haar. Stel vragen. Luister naar informatie van IT’ers, Z-CERT of andere experts en leveranciers. Zo heeft Philips verschillende processen die nuttige informatie opleveren voor ziekenhuizen en andere zorgorganisaties.
Tip 2: Zorg dat de basishygiëne op orde is.
Als je vraagt wie is de ‘vijand’, dan zijn dat niet de hackers maar dan zijn we dat zelf, vindt Inge Bryan. “Het is de onzorgvuldige manier waarop men in de zorg soms omgaat met IT. Cybersecurity begint bij een goede basishygiëne. Zorg ervoor dat je alleen applicaties gebruikt die je nodig hebt. Denk goed na over welke data je echt moet delen.” Eigenlijk heb je je hygiëne in de kern goed voor elkaar als je voldoet aan de normen van het NEN7510-certificaat, zegt Wim Hafkamp, al is de certificering niet verplicht. “Dat is anders voor de internationale wetgeving als de Network and Information Security Directive (NIS2). Daar gaat ook in Nederland meer toezicht op komen. Hou er rekening mee dat ze een keer voor je deur staan.”
Tip 3: Je moet het samen doen. Deel informatie met elkaar.
Bijvoorbeeld: Meld veiligheidsincidenten bij Z-CERT. Dan kan die andere zorg organisaties waarschuwen over nieuwe cyberdreigingen zoals actuele varianten van ransomware aanvallen. Daar wordt iedereen beter van.
Tip 4: Het gaat vooral om communicatie.
Ook binnen zorgorganisaties staat communicatie centraal, vindt Joost Boele. “Er heerst soms het beeld dat veiligheid ten koste gaan van gebruiksgemak, maar dat is helemaal niet zo. Integendeel. Vaak bespaart het tijd. Slimme pasjes kunnen er bijvoorbeeld voor zorgen dat alle patiëntinformatie direct bij het bed beschikbaar is. Dat moet je laten zien. Geef als bestuurder het goede voorbeeld. Voert je organisatie een nieuwe beveiligingspasje in? Draag die dan ook zichtbaar.”
Tip 5: Het gaat om awareness, op lange en korte termijn.
Wim Hafkamp: “Let met name op kwetsbaarheden in je systemen, want daar zijn hackers continu naar op zoek. Dus als je een waarschuwing krijgt, kom dan direct in actie!” Maar zorg vooral dat de beveiliging op lange termijn op orde blijft en maak een plan voor als je organisatie onverhoopt toch slachtoffer wordt, zodat je weet hoe je moet handelen om de schade te beperken.” En last-but-not-least: oefen regelmatig aan de hand van het crisisplan.”
Tip 6: Maak goede afspraken met leveranciers over beheer en beveiliging.
Bewustwording geldt ook voor het gebruik van medische apparatuur. Ga niet alleen af op de certificeringen die leveranciers hebben, maar maak goede afspraken. Sommige apparaten hebben een levensduur van vijftien tot twintig jaar, waardoor de software – waaronder het besturingssysteem – verouderd raakt. Dat heeft gevolgen voor de beveiliging. “Philips lost dat op door van tevoren afspraken te maken over updates of upgrades”, zegt Dirk de Wit. Wet- en regelgeving vraagt daar ook om. Maar ligt de verantwoordelijkheid bij de zorgverlener of bij de leverancier? Bij beide partijen, vinden de deelnemers. Dat vraagt om goede onderlinge afstemming.
Tip 7: Ga oefenen.
Radioloog Sietske Rozie is adviseur gedragsverandering bij het ECP-programma Informatieveilig Gedrag in de Zorg, want meer nog dan bewustzijn gaat het om gedrag. “Het programma draait om het empoweren van personen in de organisatie die anderen kunnen helpen of aanspreken op hun gedrag. Want gedragsverandering bereik je niet door een poster of een e-learning”, aldus Rozie. “Je moet een voorbeeld geven.” Maak het concreet, zeggen alle experts. Oefenen is een belangrijk onderdeel van cybersecurity, legt Eric Annema uit. “ Ziekenhuis Nij Smellinghe oefende de veiligheidsplannen met het personeel. Dan ontdek je altijd weer dingen, ook al heb je de basishygiëne goed voor elkaar. Van tijd tot tijd laten we ethische hackers los op onze systemen, inclusief de systemen van Philips die in de cloud staan.”
Tip 8: Cybersecurity is niet alleen voor IT’ers of CISO’s. Betrek alle disciplines.
Zoek ‘champions’ binnen de hele organisatie die zich hard maken voor cybersercurity. Het is niet alleen een zaak van IT’ers, zegt Sarah van Drumpt: “Het is een technisch vraagstuk, een juridisch vraagstuk en een zorgvraagstuk. Dus breng die disciplines bij elkaar in dialoog.” Zorg dat de disciplines niet langs elkaar gaan praten. Zet ze letterlijk bij elkaar in één ruimte om dingen op te lossen.
Tip 9: Maak cybersecurity een ‘people-vraagstuk’. Een call-to-action voor iedereen.
Het lastige aan het voeren van een afdoende cybersecurity-beleid is de krapte op de arbeidsmarkt. Het aantal mensen die dat kunnen, schiet tekort. “De experts zijn er wel, maar we moeten ze verleiden naar de zorg”, vindt Joost Boele. Ondertussen moet iedereen in de zorg – IT’ers, artsen, verpleegkundigen, bestuurders, noem maar op – samenwerken aan veiligheid. Want de mens is de zwakste schakel.
Hoe helpt Philips zorginstellingen bij het beveiligen van medische apparatuur – lees het artikel op Skipr.
