Het Groene Hart Ziekenhuis heeft volgens het College Bescherming Persoonsgegevens de beveiliging van de it-systemen niet op orde en overtreedt de wet. Systemen zijn zo verouderd dat ze niet meer te onderhouden zijn, antivirussoftware is niet overal in gebruik en alles draait op één netwerk binnen het ziekenhuis.
Het is het zoveelste bericht dat aantoont dat it-debt een groot probleem is; helemaal als je bedenkt dat bij ieder ziekenhuis het internet of things om de hoek staat. In heel veel branches gaapt een groot gat tussen hun digitale ambities en huidige staat van het it-landschap.
Het internet of things wordt bejubeld als de derde it-transformatiegolf; na de grootschalige automatisering van bedrijfsprocessen van de jaren zeventig en de opkomst van internet in de jaren negentig. De natuur van ‘dingen’ verandert wanneer zowat elk apparaat online is. Met het internet der dingen wordt it een integraal deel van het fysieke product zelf: slimme sensoren, processors, software en connectiviteit zitten er ‘in’. Windturbines, landbouwmachines, vliegtuigmotoren, lampen, medische apparatuur; bijna elk voorwerp wordt connected en onderdeel van een groter systeem. De kansen zijn enorm: nieuwe efficiencyslagen, andere verdienmodellen en zelfs oplossingen voor grote maatschappelijke uitdagingen liggen in het verschiet.
Strategie versus snijden
Op die nieuwe mogelijkheden moet je dan wel voorbereid zijn en je it-huis op orde hebben. Veel cio’s zijn sinds de crisis van 2007 primair afgerekend op het reduceren van de it-kosten. Die moesten als percentage van de omzet in een strak dalende lijn naar beneden. Aan de nieuwe cio werd door de cfo als eerste gevraagd ‘hoeveel hij er nog aan kosten ging uitslopen’. Dat netwerken en datacenters niet redundant zijn, software te sterk verouderd is en it-afdelingen alleen nog maar tijd hebben om brandjes te blussen, interesseerde de raad van bestuur niet, laat staan de toezichthouders bemoeien.
Er zijn uitzonderingen. Ceo’s van GE, Philips, BMW en John Deere stellen vast dat hun organisaties vanaf het komende decennium een echt it-bedrijf zijn. Bij het lezen of horen van dat soort uitspraken zouden topmanagers van andere grote ondernemingen zich toch echt achter de oren moeten krabben. Gooien zij het roer om of missen ze tussen nu en vijf jaar de boot?
Uitgewoond verlies je de race
De achterstand in onderhoud, vernieuwing en versimpeling van het it-landschap wordt aangeduid als’ it–debt‘. Die schuld is de afgelopen jaren eerder gegroeid dan afgenomen dankzij aanhoudend korte termijn budgetslopen. Wanneer operationele technologie (apparatuur en technisch installaties) draait op oude versies van bijvoorbeeld Windows NT (zoals 95, 2000 of XP) leidt dat niet alleen maar tot onverantwoorde beveiligings- en continuïteitsrisico’s. Met zo’n uitgewoond it-huis zet je ook je toekomstig bestaansrecht op het spel. Met it die grotendeels drijft op end-of-life systemen wordt de stap naar ‘connected’ heel moeilijk. Het wordt dan een enorme uitdaging – zowel financieel als technologisch – om in te kunnen spelen op snel veranderende eisen van je stakeholders zoals verzekeraars en patiënten.
Voor ziekenhuizen zijn dat bijvoorbeeld het leveren van zorg op afstand, het werken met een epd, het aan de slag gaan met big data. Bestuurders die in 2015 beweren dat ze een ‘digital enterprise’ worden, zullen ook de it-debt moeten aanpakken. Toezichthouders en aandeelhouders die niet precies weten of de it op orde is, moeten kritische vragen stellen. Wanneer ze dat nalaten moeten ze rekening houden met onaangename ‘verrassingen’.
Olie versus zand in de motor.
Risico is niet iets concreets, maar door mensen bedacht om beter te kunnen omgaan met gevaren en onzekerheden. Het inschatten van risico’s is afhankelijk van de gekozen maatstaf. Hebben risico’s alleen betrekking op de dagelijkse gang van zaken of gaat het ook om de toekomst van de onderneming? Het voorbeeld van het Groene Hart Ziekenhuis laat zien dat de korte termijn prevaleert: het GHZ gebruikte op een deel van de systemen geen virusscanner, ‘omdat het risico bestaat dat een systeem uitvalt door een scan’. Maak je borst maar nat.
Er zal de komende jaren veel meer geld moeten worden gestoken in vernieuwing in branches waar de werelden van it en operationele technologie (ot) samensmelten. Wie nu niet fors aflost op de it-debt, zal niet alleen steeds meer geld kwijt zijn aan ‘keeping the lights on‘, maar op een totaal onverwacht moment vastlopen. Bijvoorbeeld omdat systemen omvallen en primaire processen tot stilstand komen, gegevens op straat liggen, de it-organisatie totaal verzuurd en onderbezet is of klanten en ketenpartners eisen gaan stellen die je onmogelijk kunt waarmaken. Alleen wanneer it op orde is, kun je aanhaken op de transformatie die voor de deur staat. Zo niet, dan wordt je vroeg of laat treurig voorpaginanieuws. Dan ben je ‘zum Tode betrübt’.
Helaas geldt dat dramatisch verouderde IT landschap niet alleen bij dit ziekenhuis. Veel meer ziekenhuizen hebben hier last van. Ergste voorbeeld dat ik niet zo lang geleden aantrof was een niet meer ondersteund pakket, draaiend op Windows 95 op de afdeling hartbewaking…
Onsamenhangend beleid in combinatie met relatief veel macht voor eigenwijze maatschappen van specialisten (‘Wij bepalen zelf wel welke software goed voor ons is’) is hier een belangrijke oorzaken.
Een hele rij open deuren met de verkeerde konklusie.
If it aint broken, do not fix it.
Een raad ouder als Marco.
Met virtualisatie kun je oude systemen in de lucht houden, dus het promo-verhaal is niet kompleet. Iedere situatie is verschillend, de industrie heeft ook nog sturingen die met windows 98 worden geprogrammeerd.
Het is ook heel gezond om je af te vragen wat de prijs is voor de beveiliging van een Internet-of-Things en of het bestuur bereid is dat te betalen waag ik te betwijfelen.
@Marco
Wat is het verschil tussen een oplossing waar geen patches meer voor komen en een systeem waar ze wel voor komen maar welke niet aangebracht worden?
Het is leuk dat Internet of Things aandacht geeft voor ‘The rise of interconnected risk’ maar dit is het topje van de ijsberg, bewustzijn aangaande digitale veiligheid bereikt niet tot nauwelijks de directietafel en CEO’s van organisaties als Philips, GE, BMW en John Deere zouden er goed aan doen om eerst vanuit hun ivoren toren af te dalen om te kijken hoe het werkelijk gesteld is met het operationele- en tactische IT management. Naast genoemde tekortkomingen – http://www.cbpweb.nl/Pages/pb_20141127_netwerkbeveiligingnetwerkbeveiliging-groene-hart-ziekenhuis.aspx – blijken dus nog opmerkelijk veel systemen niet ‘gehardend’ te zijn, is SQL-injection vaak kinderlijk eenvoudig uit te voeren en is het ook nog droevig gesteld met het rechtenbeheer.
Het is trouwens niet zo zeer het kortetermijn denken dat hier aan ten grondslag ligt maar gewoon de lobotomie van de boekhouders, de operationele- en steeds vaker ook de tactische IT is namelijk vaak al uitbesteed. De ‘IT-debt’ zit ook niet in de techniek, deze is altijd (lifecycle) vervangbaar geweest, maar in de hoofden van C-level management doordat ze nog denken aan de automatisering van de jaren 80 terwijl nieuwe realiteit die van een ongecontroleerde digitalisering is. Risico is nu eemaal een nog abstracter begrip dan Internet of Things en als gevolg van slecht configuratie management hebben veel organisaties geen idee had wat er nu allemaal is en hoe dat in verhouding tot elkaar staat.
Voordat we over Internet of Things gaan praten lijkt het me dan ook handiger om eerst wat aan een ander probleem te doen want het probleem van ‘Shadow IT’ is niet nieuw. Zo kwamen virussen eerst nog binnen op floppy, toen met USB-stick en nu via allerlei andere zelf meegebrachte oplossingen die niet alleen een constante connectie naar het Internet hebben maar ook nog eens een grotere opslagcapaciteit. En als gevolg van de Consumerization of IT worden lifecycles ook nog eens steeds korter, veel bedrijven kunnen dan ook onmogelijk compliant zijn als ze de bedrijfsmiddelen en daarmee dus ook de (digitale) informatieflows niet onder controle hebben. Maar het certificeringcircus is helaas nog fraudeleuzer dan de LIBOR rente manipulerende bankiers.
Toezichthouders falen dan ook net zo hard als CEO’s in het mitigeren van de risico’s doordat ze de verantwoordelijkheid hiervan al lang uitbesteed hebben terwijl er op strategisch niveau gewoon te weinig inzicht is aangaande operationele- en tactische IT activiteiten. Enterprise Architectuur houdt in haar modellen geen rekening met service support, ze maken wel mooie architectuurplaten maar vergeten een aspect zoals supportability waar Gijs in ’t Veld recentelijk op in ging. Een opinie waar ik het trouwens niet mee eens was omdat deze net als de politiek eigen falen aan de markt wijt want betreffende investeringsvraag is een veel gemaakte fout dat processen met producten ingevuld worden.
Recentelijk had ik een goed gesprek hierover met de CIO van een groot Duits bedrijf, hij erkende deze probleemstelling maar moest bekennen dat zijn mogelijkheden beperkt waren tot een ‘keep the lights on’ doordat budget niet meer mogelijkheden gaf dan wat pleisters plakken. En zelfs dat was vaak al een strijd omdat er binnen business-IT alignment nog twee onverenigbare cognities zijn, functionaliteit versus compliance. Driemaal raden welke vaak het onderspit delft want het is dus vaak de klant of patiënt die de dupe wordt omdat beveiliging uiteindelijk vooral imago gedreven is, als het kalf verdonken is dempt men namelijk pas de put.
Nu u weet dat IoT er toch door zal worden gedrukt is het misschien interessant om er bij stil te staan dat het juist ‘gewenst’ is en men er vanuit gaat dat IoT aansluit op slecht beveiligde technologieën.
Inzicht in medische gegevens is ook buiten het ziekenhuis zeer lucratief.
Marco, wat ik nog aan dit verhaal mis is dat veel bedrijven nog absoluut niet toe zijn aan IoT. Als er geen volwassen visie is ten aanzien van de markt en van alignment van bedrijf en ICT, dan zijn voorafgaande aan het omarmen van IoT er nog een aantal stappen te nemen. Dan moeten we ze ook geen IoT aanpraten.
Verouderde infrastructuur componenten zoals firewalls zijn natuurlijk een potentieel gevaar en er moet soms snel wat aan gedaan worden. Maar de aanschaf van een geavanceerde firewall suite met snelle hardware is nog steeds geen enkele garantie voor een goede beveiliging, laat staan dat men de koppeling met het internet of ketenpartners optimaal benut. Het technisch of functioneel beheer is wellicht nog niet op het gewenste niveau.
Het Groene Hart Ziekenhuis wordt bij een voorbeeld van falen genoemd. Doch de meeste ziekenhuizen zijn niet toe aan 3D-printen van protesen, teleconsult, telemedicatie, Point of Care met Dried Blood Spot, inwendige diagnose chips of lab-on-a-chip, moderne domotica, prikrobots, operatierobots, RFID voor de logistiek, et cetera.
Sterker, sommige zorginstellingen voldoen niet eens aan de wettelijke eisen, zien niet de verborgen (ICT-)kosten, hebben geen inzicht in de ROI, zijn er nog niet uit wie hun ketenpartners zijn en wie hun concurrenten. Ze mogen al lang blij zijn als men op afdelingsniveau de zaken goed geregeld krijgt en de facturen de deur uit krijgt.
Dat is niet vreemd. Ziekenhuizen worden maar al te vaak geleid door medici die alleen hun afdeling kunnen leiden samen met financiële managers’s die geen inzicht hebben in de impact van hun beslissingen op de zorg. Het gaat bij hen om budget en niet om bijvoorbeeld efficiency, effectiviteit en kwaliteit. Ze huren (te veel) consultants in, maar ze weten niet wat ze met de adviezen moeten of kiezen zelfs voor pappen en nathouden. Als je als consultant bij dit soort bedrijven en instellingen komt, dan krijg je van werknemers vaak oudere onderzoeksrapporten, waarvan je de analyse grotendeel kan overnemen en opnieuw indienen. Het nieuwe rapport verdwijnt meestal toch weer in de lade. Desondanks zijn directeuren meestal grootverdieners en de duurste zijn vaak zorgmanagers van instituten die de grootste schulden hebben. Ze camoufleren hun falen met nieuwe huisstijl en dat soort slechte investeringen.
Voordat de dozenschuivers, integrators en opleiders mogen langskomen, moet vaak eerst de bestuurscultuur en de bestuurlijke wanorde aangepakt worden. En na een jaar of vijf of tien later is men wellicht toe aan IoT (indien zinvol).
Overigens geldt dit ook voor bedrijven.