Hoe krijg je veiligheid tussen de oren van zorgbestuurders?

Diefstal en datalek in digitale zorg

Tekst Pieter Verbeek Beeld Shutterstock

Door verdergaande digitalisering krijgt de zorg steeds meer te maken met cyberaanvallen, datalekken en diefstal. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) is daarom een nauwe samenwerking aangegaan met Z-CERT, het expertisecentrum voor cybersecurity in de zorg.

‘Zorginstellingen zijn een interessant doelwit voor criminelen’

Cybercriminaliteit is niet meer weg te denken uit de wereld van de digitale zorg, de eHealth. Onlangs werd een Tsjechisch academisch ziekenhuis slachtoffer van ransomware. Tijdens de aanval werden belangrijke systemen gehackt en bestanden versleuteld, waardoor het ziekenhuis niet meer verder kon draaien. Alleen tegen betaling kon het zijn gegevens terugkrijgen.

Ook een zorginstelling in de Amerikaanse staat Illinois had te maken met een dergelijke aanval en in Spanje kon de politie op tijd tegenhouden dat computers van ziekenhuizen werden geblokkeerd. Zorgpersoneel kreeg in een mail zogenaamd informatie over het coronavirus. Wie op de link in de mail klikte, haalde ransomware binnen.

Zorginstellingen zijn een interessant doelwit voor criminelen. Onder andere door de uitbraak van het coronavirus staan ze onder grote druk. ‘We zien ook in Nederland een voorzichtige stijging van dreigingen,’ vertelt Anmar Toma, senior adviseur Cybersecurity bij VWS. ‘We zien dat kwaadwillenden misbruik maken van de uitbraak van COVID-19. In de Nederlandse zorgsector hebben we ze gelukkig tot nu het hoofd kunnen bieden. Corona heeft ook aangezet tot meer samenwerking. We werken nauw samen met het ministerie van Justitie en Veiligheid op het gebied van cybersecurity.’

‘Ook Z-CERT is een belangrijke strategische partner bij het digitaal veiliger maken van de Nederlandse zorg. Dit kenniscentrum van cybersecurity werd 3 jaar geleden met ondersteuning van VWS en in samenwerking met de Nederlandse Vereniging van Ziekenhuizen (NVZ), de Nederlandse Federatie van Universitair Medische Centra (NFU) en GGZ Nederland opgezet om de zorg weerbaarder te maken tegen digitale dreigingen.’

Citrix Dat gevaar op de loer ligt laten recente ontwikkelingen zien, stelt Toma. De kwetsbaarheid met Citrix bijvoorbeeld, zoals de Universiteit van Maastricht vorig jaar ervoer. ‘Je moet er niet aan denken dat gegevens van het Universitair Medisch Centrum in gevaar waren gekomen. We zien steeds meer datadiefstallen en datalekken plaatsvinden in de digitale zorg. En dat baart ons zorgen. Het ononderbroken functioneren van digitale systemen is cruciaal en tegelijk een vraagstuk dat continue aandacht van de zorgsector behoeft. Meer inzicht en bewustzijn in de risico’s en gevolgen van ict-storingen, draagt bij aan een meer adequate sturing van dit vraagstuk. Als overheid is het onze rol om in samenwerking met het zorgveld de informatieveiligheid in die zorg goed te regelen om de continuïteit van de zorg te waarborgen. De veiligheid van de patiënt staat daarbij voorop.’

Patiëntveiligheid De IT-systemen moeten daarom op orde zijn om die veiligheid te garanderen, vult Wim Hafkamp aan. Hij is sinds 1 april directeur bij Z-CERT en houdt zich al 25 jaar met cybersecurity bezig. ‘Het gaat dan ook niet alleen om patiëntengegevens maar ook om allerlei interne gegevens die veilig moeten blijven. Als je dat niet goed organiseert, dan komt uiteindelijk je patiëntveiligheid in gevaar. Dat willen we tussen de oren krijgen van zorgbestuurders. Het gat tussen patiëntveiligheid en digitale veiligheid is namelijk niet heel groot. Er zijn al zoveel koppelingen in zorgsystemen, onder meer via de elektronische patiëntendossiers. Met de verdere digitalisering van de zorg worden dat er alleen maar meer. Er is veel aandacht voor de kwaliteit van de zorg, maar vergeet het digitale stuk niet. Dit is geen ding van de IT-afdeling, het gaat om de primaire processen van de hele zorgorganisatie.’

‘De veiligheid van de patiënt staat voorop’

‘De wil om te handelen is er nog niet bij iedereen’

Bestuurderstafel De basis om dat voor elkaar te krijgen is meer bewustwording van informatieveiligheid en de wil om te handelen, stelt Toma. ‘En die is er nog niet bij iedereen. Waar sommige zorginstellingen in ons land cybersecurity al hoog op de agenda hebben staan, is veiligheid bij andere organisaties helaas nog een sluitpost.’ ‘Bestuurders denken dat ze veilig zijn,’ aldus Hafkamp. ‘Als je nooit geconfronteerd bent geweest met een aanval ben je geneigd te denken dat de kans maar klein is. Maar er ligt een directe link met de veiligheid van de patiënt als bijvoorbeeld zijn medicijngegevens of zijn zorgbehandelingsdossier gehackt worden.’

‘Ook horen we vaak dat zorgorganisaties graag werken aan cybersecurity maar dat de capaciteit of middelen ontbreken,’ vult Toma aan. ‘Bovendien zie je niet altijd de oogst van je investeringen. Het moet echt op de bestuurderstafel komen. “Het is dus noodzakelijk dat zowel bestuurders maar ook de zorgprofessionals zich bewuster worden van hun eigen rol hierin. Dat er ook consequenties zitten aan hun eigen handelen. Als bijvoorbeeld een ziekenhuis wordt getroffen door een cyberaanval, dan moeten we niet alleen aandacht hebben voor de patiënt, maar ook bewust nadenken over hoe het staat met de veiligheid van de systemen en het gedrag van de medewerkers. Ook bestuurders en managers moeten stilstaan bij het eigen handelen.’

Netwerk Z-CERT helpt aangesloten zorgaanbieders met kennis en ondersteuning, zowel wanneer zich een incident voordoet als bij de preventie ervan. Daarnaast vormt het een actief netwerk om samen ransomware, phishing, datalekken of hacken aan te pakken. Door informatie snel uit te wisselen, kunnen incidenten worden voorkomen. Met een klein team van zeventien mensen werkt Z-CERT vanuit Amersfoort. Inmiddels zijn al 120 zorgaanbieders aangesloten, waaronder alle topklinische, academische ziekenhuizen, categorale instellingen, zoals revalidatiecentra en diagnostische centra, maar ook instellingen voor geestelijke gezondheidszorg (ggz) en een aantal care- en jeugdhulpinstellingen. Er is al debat geweest in de politiek om alle zorginstellingen in ons land te laten aansluiten. Daar zijn VWS en Z-CERT nu mee bezig.

Dreigingsinformatie Momenteel werkt het team van analisten van Z-CERT aan de uitrol van een Zorgdetectienetwerk. In dat netwerk zijn de zorgsystemen aan elkaar gekoppeld, en wordt dreigingsinformatie gedeeld met de online omgeving van deze systemen. Inmiddels doen al vijftig ziekenhuizen mee. ‘Bijzonder is dat onze specialisten al op dag 1 een “hit” zagen bij één van de ziekenhuizen,’ vertelt Hafkamp. ‘Die zat in het hart van de organisatie. We konden het gelukkig meteen oplossen, maar het geeft wel aan dat we dit niet zomaar doen en dat het echt nodig is.’

‘Met het detectienetwerk willen we een soort schil vormen rond de aangesloten zorgsystemen, een soort collectief geheugen voor de digitale omgeving. Malafide IP-adressen en software worden dan herkend en geblokkeerd. Je kunt het zien als een beschermende ring rond de zorgaanbieders. Onze analisten werken hard aan het doel om eind dit jaar 80 tot 90 procent van onze deelnemers te hebben aangesloten.’

Matchen Daarbij kan het kenniscentrum rekenen op ondersteuning van VWS. Toma: ‘We willen dat meer zorgorganisaties zich aansluiten, natuurlijk stapsgewijs en in samenwerking en overleg met het kenniscentrum zelf. Wij matchen de dienstverlening van Z-CERT met de behoefte uit het veld aan beveiliging van hun eHealth. Door middel van risicoanalyses brengen we in kaart waar de grootste risico’s liggen, in welke sectoren, zodat we inzichtelijk maken hoe we slimmere manieren van werken kunnen opzetten en aansluiten bij Z-CERT. We werken in het beleid met vier B’s: bewustwording, beveiliging, bewaken en blussen. Aan alle B’s hangen projecten en trajecten om zorgorganisaties te helpen met hun vraagstukken.’

Een daarvan is een pilot met het Nationaal Cyber Security Centrum (NCSC). Zorginstellingen kunnen zelf een security rating opvragen bij een wereldwijd opererend security rating bureau. Aan de hand van een twintigtal gegevens worden de volwassenheid en de kwaliteit van de security beoordeeld. ‘De score die eruit komt kunnen ze dan meenemen naar hun bestuurders. Het helpt meer inzichtelijk te maken hoe belangrijk investeringen zijn in veiligheid. Tot 1 augustus kunnen onze deelnemers gratis deze test doen.’

Jezelf hacken Verder wil Hafkamp graag, net als in de financiële sector, dat zorgorganisaties zelf incidenten gaan ensceneren om de eigen veiligheid te testen. ‘Je gaat dus jezelf hacken. Dan pas weet je of je de boel op orde hebt. Dat doe je in een liveomgeving, wel met bepaalde voorzorgsmaatregelen natuurlijk. Ik zou dit graag willen adviseren aan bestuurders. We overwegen om dit als dienst op te zetten bij Z-CERT. We zien dat het in andere sectoren hartstikke goed werkt. Nu de zorg nog.’ ◼

Deel dit artikel