De Inspectie voor de Gezondheidszorg (IGZ) heeft alle ziekenhuizen de verplichting opgelegd om in 2010 een externe audit te laten uitvoeren inzake de norm voor informatiebeveiliging (NEN7510). Hoofdstuk 11 van deze norm beschrijft de processen en controleaspecten rondom het inrichten van passende toegangsbeveiliging op gebouwen, ruimtes en (ict-)systemen en toepassingen.
Wat wordt verstaan onder toegangsbeveiliging? De NEN7510-normering zegt over de toegangsbeveiliging van ict-systemen het volgende: 'Toegangsbeveiliging heeft tot doel dat het raadplegen, veranderen, toevoegen en wijzigen van gegevens alleen gecontroleerd kan gebeuren.'
In de meest eenvoudige vorm teruggebracht omvat toegangsbeveiliging de elementen identificatie, authenticatie, autorisatie en audit. De activiteit van de NEN7510-definitie ‘de juiste rechten toe te wijzen voor het gebruik van ict-objecten' is vaak de reden dat een identificatie en authenticatie management-initiatief (I&AM) wordt gestart. De implementatie van een integrale I&AM-strategie is een behoorlijke uitdaging. Het vereist middelen, (herziening van) processen en is afdelingsoverschrijdend. Tijd en budget is het moderne ziekenhuis echter lang niet altijd gegeven, om dit complexe geheel ineens aan te pakken.
Quick win
Met een systeem voor authenticatiemanagement, dat de controle op het ontsluiten van gegevens regelt, kan een quick win worden gerealiseerd. Voor het gemiddelde ziekenhuis zijn de belangrijkste drijfveren:
1. efficiënt kwalitatief hoogwaardige zorg leveren;
2. de patiëntveiligheid waarborgen, inclusief privacygevoelige gegevens conform wet -en regelgeving bewaken;
3. de reputatie van het ziekenhuis beschermen.
De NEN7510-norm die ingaat op punt 2 en 3 legt een zware druk op de kerntaak van een ziekenhuis, omdat het gebruik van groepsaccounts verboden is en moeilijke wachtwoorden per applicatie verplicht zijn, evenals periodieke wijziging hiervan. In de praktijk ontstaat hierdoor een onwerkbare situatie wanneer een ziekenhuis ‘op de oude voet' doorgaat. In een gemiddeld ziekenhuis draaien tussen de tien en twintig applicaties binnen én buiten een Windows-omgeving.
De quick win die hier te halen is, bestaat in dit geval uit een enterprise single sign-on (ESSO)-voorziening in combinatie met één of twee pasjessystemen voor sterke authenticatie. Met de pas en bijbehorende pincode logt de zorgverlener/gebruiker één keer in, waarna alle toepassingen automatisch worden ontsloten. Door het pasje in te zetten op verschillende vlakken, neemt de bereidheid van de bezitter af om het te delen met collega's en wordt de beveiligingswaarde ervan vergroot. Denk hierbij aan zaken als gebouwen en ruimtes openen, inloggen op het netwerk, enterprise single sign-on en betalen in het ziekenhuisrestaurant. ESSO geeft de gebruiker op ict-vlak iets terug, namelijk meer gebruiksgemak (minder wachtwoorden en inloggen) en hogere productiviteit (meer patiënten kunnen helpen in dezelfde tijd).
Aan de technische kant is er ook een aantal voorwaarden, waaraan voldaan moet worden om een implementatie succesvol te laten verlopen. De belangrijkste hiervan zijn:
– een brede ondersteuning voor authenticatiemiddelen;
– zelfhulp service voor gebruikers;
– gefaseerde invoering moet mogelijk zijn, geen ‘big bang';
– zo min mogelijk wijzigingen aan bestaande systemen om vendor lock-in te voorkomen.
Concluderend moeten zorginstellingen die momenteel nog niet NEN7510-compliant zijn, het gros durf ik te stellen, zoeken naar een deeloplossing, die gebruikers extra voordelen biedt en tegelijk de informatiebeveiliging naar een hoger plan tilt. De aanschaf van nieuwe ‘non intrusive'-technologie vormt hierbij een cruciale rol om binnen de tijd en binnen budget een grote slag te maken.
Ik deel bovenstaande gedachte, maar denk dat je er dan nog lang niet bent.
Allereerst zou ik fysieke beveiliging (Medewerkers/clienten/panden) samen brengen. Wij hebben dit gedaan één centrale securitydesk op te richten welke zich bezighoudt met het afhandelen van issues en incidenten, het schrijven van beleid, het ontwerpen van een deugdelijk ISMS en de uitvoering er van. Zij rapporteren aan het MT middels maandlijkse mngt rapportages, incidentenrapportages en twee jaarlijks een security audit.
Belangrijker nog is dat hiermee dat draagvlak en bewustwording bij medewerkers wordt gecreëerd. Los van alle technische oplossingen en maatregelen, is de mens en het menselijk gedrag toch nog vaak de zwakste schakel.
Door het centraal te beleggen, vergroot je de bewustwording en de positieve effecten in de praktijk.
Wij hebben het zo ingericht dat we een soort schaap met 5 poten hebben ontwikkeld, die alle vakgebieden raakt zonder dat we daar een aanslag op de budgetten plegen. Aan het eind van de rit is de gehele organisatie veiliger, en wordt het NEN7510 certificaat behaald en is daarmee de subsidie ook veilig gesteld.
In mijn ogen snijdt dit vele maal meer hout, dan je te richten op een deeloplossing (hoe goed de intenties ook zijn), als dat geen onderdeel vormt van een groter en gedragen geheel.