Dat verouderde medische systemen een digitaal veiligheidsrisico vormen spreekt bijna voor zich. Maar als je bedenkt dat één vijfde van de medische apparatuur in zorgorganisaties meer dan tien jaar oud is, begrijp je ook een beetje hoe omvangrijk de uitdaging is, zei Arno van der Heijden van Philips op het congres Data & Security in de Zorg van afgelopen 8 oktober 2024.
Vaak weten zorgorganisaties niet eens precies welke patches en updates beschikbaar zijn voor hun systemen. Het gevolg: zorginstellingen zijn zich niet, of maar ten dele, bewust van alle kwetsbaarheden. “Maar hackers hebben maar één kwetsbaarheid nodig om binnen te komen,” waarschuwde Cyber Security Solution Specialist Van der Heijden. Als zo’n kwetsbaarheid een indringer toegang geeft tot het netwerk van de zorginstelling, kan die indringer veel tijd nemen om te zoeken naar zijn/haar eigenlijke doel.
Patiëntveiligheid
Is dat ‘lek’ eenmaal gevonden, dan zijn de mogelijke gevolgen nauwelijks nog te overzien. Niet alleen omdat vertrouwelijke gegevens van patiënten in handen kunnen raken van kwaadwillenden, maar ook omdat de integriteit van data in het geding kan zijn. Hoe kan een ziekenhuis nog vertrouwen op medische gegevens als deze mogelijk gemanipuleerd zijn? Cybersecurity is, kortom, niet alleen een IT-probleem; het raakt direct aan de veiligheid van de patiënt – en die staat niet alleen voor de zorginstelling op nummer één, maar ook voor een fabrikant van medische apparatuur zoals Philips. Niet voor niets beschikt het bedrijf over verschillende afdelingen met een paar honderd medewerkers die zich uitsluitend bezighouden met digitale veiligheid.
Van der Heijden beschreef Philips’ beveiligingsstrategie van medische apparatuur als de ringen van een ui. De eerste ring is de fysieke bescherming van een apparaat, daar overheen komen beveiligingslagen als data-encryptie, toegangscontrole, malwarebeveiliging, een firewall, enzovoorts. “Die ui moet effectief blijven,” simplificeerde Van der Heijden de uitdaging. “Daarom moeten we die ui goed onderhouden. En hoe meer regels er komen, hoe meer lagen we aan de ui toevoegen.”
Verantwoordelijk
Van der Heijden schetste tijdens zijn presentatie ook de wet- en regelgeving waar een fabrikant van medische apparatuur als Philips mee te maken heeft. Het komt erop neer dat het bedrijf ook na levering en installatie van een systeem deels verantwoordelijk blijft voor enkele belangrijke securityprocessen om het systeem veilig te houden tijdens de levensduur. Maar Philips kan dat niet alleen; ook het ziekenhuis heeft daar een belangrijke rol in. Het beveiligen van medische apparatuur is dan ook een gedeelde verantwoordelijkheid.
Philips houdt 24 uur per dag en overal ter wereld alle systemen in de gaten die verbonden zijn met het Philips monitoring systeem. Daarnaast worden patches gevalideerd, dreigingen van buiten gesignaleerd en op de loer liggende gevaren gereduceerd tot een ‘acceptabel risico’. Deze mitigatie stelt Philips beschikbaar middels een patch/update, of soms zelfs een upgrade.
De bestaande regelgeving met betrekking tot medische apparatuur is sterk gericht op de fabrikant, aldus Van der Heijden, al gaat dat met de binnenkort van kracht wordende NIS2-richtlijn (NL: cyberbeveiligingswet) veranderen. Aan de andere kant levert die permanente monitoring Philips weer gegevens op, die het bedrijf kan gebruiken voor de ontwikkeling van nieuwe apparaten en systemen en deze nog veiliger te maken.
Dreigingen
Dit betekent niet dat de eindgebruiker rustig achterover kan leunen en alleen af en toe een update hoeft door te voeren. “Met alleen maar patches ga je alle dreigingen niet buiten de deur houden,” zei Van der Heijden. “Het is van belang de ui effectief te houden. Je moet als zorginstelling weten wat voor apparatuur je allemaal in huis hebt, welke software erin zit en hoe deze beveiligd is. En dat is niet eenvoudig, want op één medisch systeem kunnen honderden applicaties staan. Bovendien hebben sommige apparaten een lange levensduur, wat kan betekenen dat ze mogelijk draaien op een verouderde Windows-versie.”
Zorginstellingen die hulp nodig hebben bij het in kaart brengen van hun infrastructuur, kunnen bij Philips terecht voor hulp bij het opstellen van een complete lijst van medische apparatuur, met alle bijbehorende applicaties of software. Daarnaast heeft het bedrijf ook een dashboard ontwikkeld, waar klanten kunnen zien met welke lagen van de ui hun apparatuur en hun systemen van Philips beveiligd zijn, en of deze nog effectief zijn.
Security by design
Zorg er als zorginstelling voor dat je het overzicht bewaart, focus op alle geïnstalleerde apparatuur, ontwikkel best practices en zoek nadrukkelijk het partnerschap met de fabrikant, vatte Van der Heijden zijn aanbevelingen samen. “Security by design is ons dagelijks werk bij Philips. Maar daarvoor zijn we ook afhankelijk van goede communicatie en samenwerking met de eindgebruiker. We moeten het samen doen.”
Ten slotte benadrukte Van der Heijden dat we nooit alleen maar op technologie en processen moeten vertrouwen als het gaat om digitale veiligheid, maar ook kritisch blijven nadenken en veilig handelen. Hij toonde een plaatje van Stanislav Petrov, een luitenant-kolonel van de Sovjet-luchtafweer, die in september 1983 een melding kreeg van zijn waarschuwingssysteem dat de Verenigde Staten vijf intercontinentale rakketen op de Sovjet-Unie had afgevuurd. Petrov besloot op eigen gezag dat dit loos alarm moest zijn. Hij gaf de melding tegen zijn orders in niet door aan zijn meerderen in de bevelsketen, en voorkwam daarmee een mogelijke kernoorlog. De moraal van dit verhaal, aldus Van der Heijden: “Blijf altijd je gezonde verstand gebruiken en denk na voordat je handelt, ook als het gaat om digitale veiligheid.”
Lees hier meer over cybersecurity bij Philips.