Security en ziekenhuizen. Het blijft een moeizame combinatie. Ziekenhuizen zijn afhankelijk geworden van IT. Maar ondanks alle aandacht die er al jaren aan besteed is, blijft de beveiliging ver achter. Het probleem is bekend, maar wordt nauwelijks opgelost, want waar te beginnen? Genoeg gewaarschuwd, het gaat nú om een praktisch antwoord op deze vraag!
Securityproblemen zullen de zorgbestuurders echt zélf moeten oplossen. De overheid doet het niet. Die voelt misschien een verplichting, maar mist de noodzakelijke snelheid. Bovendien, ziekenhuizen behoren niet tot de vitale infrastructuur, al bestaat er op securitygebied wel een samenwerkingsverband. In Nederland is er nu een Zorg-Computer Emergency Respons Team (Z-CERT), een klein team dat ziekenhuizen bijstaat na een incident. Fijn dat er nu deze spoedeisende hulp is, maar wie wil daar terecht komen? Je wilt gezond blijven en dat betekent preventief maatregelen nemen. Of op zijn minst een aanval in de kiem kunnen smoren.
Wiens probleem is security?
Een complicerende factor is dat patiënten om zorg vragen, niet om security. Het speelt geen enkele rol in de concurrentie tussen ziekenhuizen. Is het dan vreemd dat geld besteed wordt aan bijvoorbeeld een nieuwe MRI-scanner en niet aan security? Nee, want zo’n scanner is een investering die het ziekenhuis in staat stelt patiënten betere zorg te bieden. Bovendien, wiens probleem is die security eigenlijk?
Toch hebben ziekenhuizen in de basis wel een veiligheidsbewustzijn. Medicijnen liggen (in tegenstelling tot medische gegevens) achter slot en grendel om te voorkomen dat ze in de verkeerde handen vallen. Medische gegevens brengen op de zwarte markt geld op (er circuleren op internet bedragen van enkele centen tot 10 à 20 dollar). Net als medicijnen zijn ze daarom aantrekkelijk om te stelen. Dat wil je vanzelfsprekend voorkomen. En dat kan ook best, want ziekenhuizen kunnen veel meer zelf doen dan ze denken. Zonder dat ze daar een externe securityspecialist voor hoeven in te schakelen!
Lui
Hackers zijn lui en schieten graag met hagel. De minst beveiligde organisaties zijn de klos. Begin daarom met een passwordbeleid af te dwingen, nauwgezet patches door te voeren en niet klakkeloos allerlei apparatuur aan internet te koppelen. Vergeet vooral niet dat ziekenhuizen een openbare plek zijn, iedereen kan in en uit lopen. Scherm de netwerkpoorten af en zorg dat de toegang tot computers afgeschermd is. Een kwartier wachten op een arts, terwijl de pc op zijn bureau gewoon aanstaat, is vragen om moeilijkheden. Een ziekenhuis kan dit soort maatregelen in zijn eigen tempo doen, in de wetenschap dat elke actie het huis veiliger maakt dan dat van de buurman.
Monitoring
Zijn al die maatregelen genomen, dan is het verstandig om een securitybedrijf de monitoring van het netwerk te laten doen. Door voortdurend in de gaten te houden wat er op het netwerk voorbij komt, kunnen securityissues in een vroeg stadium ontdekt en verholpen worden. Dit kan tegen lage, acceptabele tarieven. Het voorkomt een crisis die tegen toptarief en op een ongunstig moment opgelost moet worden!
Deze aanpak is een tweesnijdend zwaard. De security wordt stap voor stap verbeterd, terwijl de kosten binnen de perken blijven. Het meeste geld kan met een gerust hart aan zorg besteed blijven, daar waar het een ziekenhuis en zijn patiënten uiteindelijk om gaat.
Marcel van Oirschot, Fox-IT
