‘Cybercrime is here to stay.’ Als een van ’s werelds meest gerenommeerde cybersecurity-experts dat zegt, dan weet je dat het tijd is voor actie. Espen Johansen, chief security officer bij Visma, ziet de cybercrimescene professionaliseren. Cybercriminaliteit is lucratief, vertelt hij tijdens het door Ecare georganiseerde live webinar over datasecurity. Daarom is zorgdata zo interessant voor kwaadwillenden. “Hoe privacygevoeliger de data, hoe waardevoller.” Dat kleine(re) zorgorganisaties daarbij gespaard worden, is volgens hem een illusie. “Cybercriminelen hebben geen moreel kompas.”
Gelegenheid maakt de dief
Is het daarmee lijdzaam wachten tot het een keer fout gaat, wil host Jesper Rijpma weten. Gelegenheid maakt de dief, ook als het gaat om cybercriminaliteit, stelt Johansens collega Cindy Wubben. De chief information security officer bij Visma hoort vaak ‘ik ben maar een huisarts of een kleine GGZ-instelling’. “Negen van de tien keer gaat cybercrime niet om een gerichte actie, maar om kwetsbaarheden in een systeem.” En ja, daar is wat aan te doen. “Gebruik lange en unieke wachtwoorden, zet tweevoudige verificatie in en draai je updates.”
Met elkaar doen
Nou draaien er in de zorg nog weleens verouderde systemen. Bij wie ligt de verantwoordelijkheid in dat soort gevallen, vraagt een kijker van de webinar. Degene die zorg aanbiedt is verantwoordelijk voor de data die daardoor gegenereerd wordt, legt de CISO uit. In contracten wordt afgesproken hoe ervoor gezorgd wordt dat de systemen geüpdatet blijven. “Dat moet je met elkaar doen. Wij moeten als ICT-leveranciers het systeem updaten. En zorgorganisaties moeten dat toestaan.”
Securitycultuur
En dan heb je nog de razendsnelle opmars van artificial intelligence (AI). Kunstmatige intelligentie biedt veel kansen om data beter en sneller te verwerken. Een welkome ontwikkeling gezien de dubbele vergrijzing en krapte op de arbeidsmarkt. Maar met diezelfde AI is de zorgsector ondanks Europese wetgeving ook een risico rijker. Want wat gebeurt er met de data? Waar wordt deze opgeslagen? Volgens Cindy Wubben helpt het om AI te benaderen zoals andere technologische ontwikkelingen. Dus ‘gewoon’ door risicomanagement en leveranciersmanagement. Naast securitystructuur pleit zij ook voor het realiseren van securitycultuur binnen organisaties. “Zodat medewerkers zelf herkennen wat wel en niet handig is om te doen.”
In actie
Want het klikken op een foute link is zo gedaan. En misschien wel nooit helemaal uit te sluiten, erkent Aline Poolen, bestuurder van ZorgAccent. Zij denkt dat het niet de vraag is of maar wanneer je als zorgorganisatie gehackt wordt. “Als dat gebeurt is het belangrijk om aangifte te doen bij politie, een extern expertteam in te schakelen en intern een crisisteam op te tuigen.” Hoewel de zorgorganisatie verantwoordelijk is, is het ook voor leveranciers een nachtmerrie als hun systeem gehackt wordt. “In zo’n geval zullen wij direct in actie komen”, vertelt Aniek Fikken, directeur van Ecare. “Met ons cybercrimecenter hebben wij de kennis die we kosteloos inzetten. Net als onze ervaring in het wel of niet onderhandelen met de daders.”
Makkelijk maken
Negen van de tien keer is een hack te voorkomen door de eerdergenoemde drie basisregels. Het gebruik van lange, unieke wachtwoorden vergt wat moeite, erkent Fikken. Net als het locken van een scherm of het gebruik van tweevoudige verificatie. “Maar het is wel basaal om ongewenste indringers buiten te houden.” Een cultuur creëren waarin dat staande praktijk wordt, is lastig voorziet Aline Poolen. Omdat zorgmedewerkers zijn opgeleid om zorg te verlenen. “Wij moeten ervoor zorgen dat zij hun werk kunnen doen. Dus laten we het voor hen ook behapbaar houden.” Bijvoorbeeld door single sign-on of het inzetten van een passwordmanager. Daarmee wordt de drempel verlaagd om ingewikkelde wachtwoorden te gebruiken. Dat gebeurt nog relatief weinig, stelt Aniek Fikken tot slot. “Maar dit zijn goede oplossingen die bijdragen aan datasecurity in de zorg.”
