5 tips voor de zorg om datalekken en security incidenten te voorkomen

Voorkom datalekken en security incidenten

Prompt nadat op 1 januari 2016 de meldplicht datalekken in werking trad, zagen we dat zorginstellingen (potentiële) datalekken gingen melden. Waren die lekken er voor die tijd ook al? Of is het gewoon toeval, dat zich direct na de inwerkingtreding (potentiële) incidenten voordeden? Hoe dan ook: dit vraagt om aandacht.

Director

KPMG Nederland

Contact

Gerelateerde content

Privacy

Een andere dreiging die we de laatste tijd in omvang en impact in de zorg zien, in Nederland en wereldwijd, is ransomware. Ransomware is een chantagemethode waarbij een programma naar binnen wordt gesmokkeld dat uw computer blokkeert of de gegevens die erop staan versleutelt. Na betaling krijgt u netjes de sleutel: eerlijk is eerlijk!

Wat betekenen deze trends? Hebben hackers de strijd al gewonnen? Of gaat het hier om onvoorzichtigheid waar best iets aan te doen valt? Eén factor die informatiebeveiliging in zorginstellingen zo complex maakt, is dat zorginstellingen van oudsher werken met applicaties en apparatuur van leveranciers die vooral aandacht hebben voor het primaire product zelf. Medische professionals en patiënten zijn hier vanzelfsprekend dankbaar voor. Maar vanuit het oogpunt van beveiliging is het niet ideaal.

Een andere complicatie is dat in de zorg het leveren van goede data in de praktijk vaak zwaarder weegt dan het garanderen van vertrouwelijkheid en privacy. De integriteit en beschikbaarheid van gegevens staat voorop. Zowel in de care als in de cure is alles dichtzetten daarom zelden een bruikbaar model. Maar doorslaan naar ‘alles open’ is evenmin meer een optie.

Welke extra stappen in beveiliging en detectie kunnen zorginstellingen nemen om datalekken en andere security-incidenten te voorkomen? Wat zijn de rode vlakken in de risicoanalyse, en de acties met het meeste rendement? Het antwoord verschilt van geval tot geval en van omgeving tot omgeving. En wat de opbrengst betreft, in termen van voorkomen van problemen: die is altijd lastig te meten. Maar een aantal zaken zien we vaak terug, en deze vormen de basis van deze top 5 van dingen die u kunt doen.

1. Zet de logging aan

De meeste apparatuur kan bijhouden wie wat doet. Dit geldt voor zowel IT-apparatuur als medische apparatuur. Zet niet álles aan, want dan valt er van alles om. Maar het niet bijhouden van logging is een keuze die niet langer te verdedigen is. Logging zelf voorkomt niet direct iets, maar heeft wel een ontmoedigend effect op gedrag van medewerkers dat security in gevaar kan brengen.

2. Isoleer systemen

Probeer niet zelf om gespecialiseerde apparatuur aan te passen en van binnen veiliger te maken. Werking en garantie zijn hiervoor te belangrijk, en weerbaarheid kan ook (ergens) anders worden geregeld. Slimme architectuur en strakke netwerkindeling kunnen zorgen voor een harde omgeving die zachte apparatuur goed beschermt. En ook hier komt logging weer om de hoek kijken: u ziet vanzelf of iets of iemand uw mooie systemen op een afwijkende manier van buitenaf probeert te benaderen.

3. Accepteer sommige risico’s

Apparatuur zoals pacemakers kan worden gemanipuleerd, met als worstcasescenario dat de patiënt overlijdt. Toch moet er een balans worden gezocht tussen wat aan calamiteiten mogelijk is, en wat de consequenties zijn van het niet meer gebruiken van bepaalde apparatuur. Het is de taak van de leverancier om producten aan te passen op een veranderende wereld. Bepaalde risico’s moet u hierbij accepteren, terwijl u in de gaten houdt of kwaadwillende manipulatie van apparatuur dichterbij komt. Leveranciers en ketenpartners vormen per saldo een risico, zeker als ze toegang hebben tot uw kroonjuwelen. Dat valt niet te voorkomen maar wel te beheersen.

4. Richt detectie en respons in

Zet niet alles dicht, maar bescherm wel speciaal uw kroonjuwelen en meet wat daaromheen gebeurt. Dat laatste regelt u met incident management; uw medewerkers worden hierdoor vanzelf goed en beter. De meldplicht datalekken vereist dat u binnen twee dagen na ontdekking van een lek een melding maakt. Die tijd gaat lopen zodra een incident intern wordt geconstateerd (of redelijkerwijs geconstateerd had kunnen worden). En dus níet pas als een bericht naar boven sijpelt. Dit maakt duidelijk hoe groot het belang is van een centraal aanspreekpunt, en van een duidelijk gecommuniceerde procedure voor medewerkers.

5. Definieer uitgangspunten voor beveiliging

Dit moet geen lang stuk zijn, maar een lijst met heldere beleidsuitspraken die uw medewerkers vertellen waar ze rekening mee moeten houden in hun projecten en operationele taken. Uw mensen zijn niet dom en weten precies welk beleid meetelt en welk beleid geschreven is om stof te vangen. En om het werk gedaan te krijgen, is het makkelijker voor medewerkers om niet verder te gaan dan wat haalbaar is zonder discussie en vertraging, en zo blijven ze hiermee te ver aan de makkelijke kant. En trouwens: hoe ver gaat u zelf zonder sturing?

Afsluitend

Dit artikel is een simplificatie van de werkelijkheid, een verhaal van grote stappen en snel thuis. Maar de boodschap is onontkoombaar: informatiebeveiliging hoort er gewoon bij, en informatiebeveiliging is noch ‘rocket science’ noch een IT-feestje.

Garanderen onze tips dat u niet (meer) gehackt wordt, of dat er geen datalekken optreden? Nee, want dat vergt nog veel meer, zoals awarenessprogramma’s en opleidingen om phishing en social engineering te herkennen.

De keten is immers zo sterk als de zwakste schakel. En die zwakste schakel is bijvoorbeeld de medewerker die in een mail van onbekende afzender op een attachment klikt…

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig

Nieuwe digitale platform van KPMG

KPMG International heeft een state of the art digitaal platform ontwikkeld dat uw digitale ervaring verbetert en het vinden van nieuwe en relevante content optimaliseert.

 
Lees meer