Cyberveiligheid: de zwakke punten van zorginstellingen

Zorginstellingen zijn steeds vaker het doelwit van cyberaanvallen en hebben nog steeds moeite om zichzelf te beschermen. Patrick Coomans, cyberbeveiligingsdeskundige bij Agoria, somt de zwakke punten van de sector op en geeft advies over hoe ze aan te pakken.

De diagnose die Patrick Coomans, cyberbeveiligingsexpert bij Agoria, op de recente Agoria Health Tech Summit stelde, was zowel bekend als duidelijk:  als het op cyberbeveiliging aankomt, presteert de gezondheidssector 'below par’ of ondermaats. 

Naast de tekortkomingen die vaak in andere sectoren worden aangetroffen (onterechte perceptie dat voldoende maatregelen zijn genomen, de indruk dat het volstaat de leveranciers te vertrouwen, de overtuiging dat het te duur is, enz.) en een tekort aan bewustzijn en opleiding. "Studenten krijgen er misschien twee uur les over tijdens de vele jaren opleiding. En dat is alleen nog maar over de wetgeving", aldus Patrick Coomans. 

Hij herinnerde eraan dat cyberbeveiliging een complexe zaak is waarbij drie elementen een rol spelen: mensen, processen en technologie. 

Patrick Coomans zette de zwakke punten van de sector op een rij: gebrek aan opleiding, traagheid bij het oplossen van kwetsbaarheden in apparatuur en infrastructuur (IT, medisch, technisch), verouderde systemen en software waarvan de licenties zijn verlopen en niet meer worden ondersteund, een sector die niet dezelfde strenge certificering oplegt als bijvoorbeeld de luchtvaart...

En alsof dat nog niet genoeg is, zegt hij ook nog dat de situatie  almaar problematischer wordt. De reden? Cybercriminelen specialiseren zich, organiseren zich en werken samen. Zonder veel te riskeren omdat vervolging zo ingewikkeld is. "Het gebruik van digitale valuta maakt de zaken nog ingewikkelder. 'Follow the money' werkt niet meer..."

En cybercriminelen voeren de soorten aanvallen almaar meer uit om de druk op te voeren. Het kan bijvoorbeeld beginnen met een ransomware-aanval die zich pas maanden na de eerste infiltratie openbaart. Als het ziekenhuis niets doet, wordt de druk opgevoerd om de instelling te laten betalen: wissen van back-ups, exfiltratie en dreiging met publicatie of verkoop van patiëntengegevens, denial of service (DDoS)-aanvallen. "De trend gaat beslist in de richting van aanvallen op verschillende niveaus..."

“U hebt geen keuze” 

Als gevolg van het steeds toenemende aantal aanvallen is de bewustwording in de gezondheidszorg toegenomen. Maar op korte termijn zullen de actoren in de sector - beroepsbeoefenaren, instellingen maar ook leveranciers - geen keuze meer hebben. Cyberbeveiliging zal een verplicht aandachtspunt worden door de regels die de overheden opleggen.

"De NIS 2-wetgeving [Network and Information Systems] zal  voor verandering zorgen. De richtlijn, die in de Belgisch wetgeving werd opgenomen, vereist onder meer dat er incidentbeheersplannen, bedrijfscontinuïteitsplannen en crisisbeheersplannen in zorginstellingen zijn, dat er beleidsmaatregelen en procedures zijn om de doeltreffendheid van deze maatregelen te evalueren, en dat er beleidsmaatregelen zijn met betrekking tot het gebruik van cryptografie, personeelsbeveiliging, authenticatie, beheer van de IT- toeleveringsketen, enzovoort.”

Tips om de veiligheid te verbeteren 

Wat kunnen ziekenhuizen doen? "Het management moet werk maken van een cultuur van cyberveiligheid, zoals in de luchtvaartsector. Ze moeten inzicht krijgen in de risico's, door simulatieoefeningen met onder meer extreme scenario's, en op basis van deze risico's een cyberbeveiligingsplan opstellen. Denk altijd in termen van 'defence in depth', bestaande uit verschillende lagen: veiligheidsbeleid, certificering, technologische oplossingen. Ontwikkel plannen voor incidenten en zorg voor alternatieve B-plannen. Verouderde apparatuur moet geïdentificeerd en afgedankt worden. Gebruik de OWASP-gids Secure Medical Device Deployment Standard en abonneer u op het driemaandelijkse Cyber Threat Report van het Belgian Cybersecurity Centre.”

Wat leveranciers van apparatuur en toestellen betreft, raadt Patrick Coomans ziekenhuizen aan een minimum aan regels te volgen: de code beveiligen vanaf de ontwerpfase, de bedreigingen modelleren, de OWASP-verificatienormen gebruiken, zich aanpassen aan de certificatienormen (ISO27001, IEC62443, ETSI EN 303645). "Maak van cyberbeveiliging een argument van vertrouwen en loyaliteit voor uw klanten".

U wil op dit artikel reageren ?

Toegang tot alle functionaliteiten is gereserveerd voor professionele zorgverleners.

Indien u een professionele zorgverlener bent, dient u zich aan te melden of u gratis te registreren om volledige toegang te krijgen tot deze inhoud.
Bent u journalist of wenst u ons te informeren, schrijf ons dan op redactie@rmnet.be.