Sinds 2013 is het aantal gedetecteerde beveiligingsincidenten in de gezondheidszorg met 60 procent toegenomen. De kosten voor beveiliging van it zijn met 66 procent gestegen sinds datzelfde jaar. Vergelijk dit met percentages in andere sectoren zoals olie en gas (15 procent) en nutsbedrijven (9 procent) en de omvang van het probleem wordt duidelijk.
Het totale financiële verlies als gevolg van beveiligingsincidenten is met maar liefst 282 procent toegenomen, stelt PWC Global Information Security Practices in zijn 2015 Survey. Waarom is de beveiliging van it in de gezondheidszorg zo problematisch? Wat veroorzaakt het grote aantal incidenten en wat kunnen we er aan doen?
Voorkomen dat je moet genezen
In de 2013-2014 Security Deployment Trends Survey gaf 80 procent van de security professionals aan dat onvoorzichtigheid van de eindgebruiker de grootste bedreiging voor de veiligheid van hun organisatie vormt. Dat legt een erg grote verantwoordelijkheid op de schouders van de gebruikers. Maar is dat wel terecht?
Het is belangrijk dat we inzien dat deze ‘onvoorzichtigheid’ geen kwade wil is, maar in de praktijk vaak veroorzaakt wordt door mensen die hun werk zo goed mogelijk willen doen. Een arts kan bijvoorbeeld tegen een probleem aanlopen bij het printen van een formulier, online gaan, een nieuwe driver installeren en zo per ongeluk het netwerk met malware besmetten. Of een drukke verpleger heeft geen tijd beschikbaar om een belangrijke update uit te voeren, met een beveiligingsincident als gevolg. Deze twee voorbeelden zouden volledig voorspelbaar (en dus te voorkomen) moeten zijn, gezien het feit dat deze mensen alleen maar hun werk wilden doen.
Een belangrijk adagium in de gezondheidszorg, voorkomen is beter dan genezen, geldt ook voor de beveiliging van de it-systemen. Hoe kunnen we de gevaren van onvoorzichtige gebruikers voorkomen terwijl het personeel in de gezondheidszorg juist steeds mobieler wordt, minder lang voor dezelfde werkgever werkt, soms zelfs in meerdere ziekenhuizen tegelijkertijd werkzaam is en onder voortdurend toenemende druk de werkzaamheden uit moet voeren? Het antwoord is: automatisering.
Automatisering kan ervoor zorgen dat personeel in de gezondheidszorg verzekerd is van de juiste en directe toegang tot applicaties en informatie, waarmee het risico dat beveiligingsvoorschriften worden omzeild, kan worden voorkomen. Met behulp van automatisering kun je de toegang tot applicaties en data baseren op de vooraf gedefinieerde rol van de gebruiker. Je kunt technologie inzetten om de context waarbinnen gebruikers werken te detecteren. Combineer je deze mogelijkheden, dan kun je de toegang tot gevoelige patiëntinformatie automatisch toestaan of weigeren op grond van iemands functie, waar iemand zich bevindt en welk apparaat iemand gebruikt voor het opvragen van de data. Zo kun je bijvoorbeeld een arts toegang verlenen tot privacygevoelige informatie wanneer hij/zij op de relevante afdeling is en de toegang weigeren wanneer deze arts aan het lunchen is, of zich op een andere locatie bevindt.
Gevolgen van fusies
Fusies en overnames worden vaak over het hoofd gezien als het gaat over security. Consolidaties van ziekenhuizen zijn wereldwijd, maar ook in Nederland, bijzonder actueel. In Nederland zijn het Bronovo Ziekenhuis en het Medisch Centrum Haaglanden in Den Haag al gefuseed en de Stichting Rijnland Zorggroep in Leiderdorp en het Diaconessenhuis Leiden zijn nog in gesprek.
Wanneer gezondheidszorgorganisaties fuseren, is het onvermijdelijk dat een aanzienlijk deel van het personeel van functie verandert. Sommige personeelsleden veranderen van rol of afdeling, anderen worden overgeplaatst of gepromoveerd en een aantal zal de organisatie verlaten. Daarnaast moeten it-beheerders ook nog voorbereid zijn op het samenvoegen van de systemen. Gebruik je het hr-systeem van het ene ziekenhuis of juist die van het andere? Of allebei? Hier komen problemen met compliancy en beveiliging vaak aan het licht.
Ook hier geldt weer: voorkomen is beter dan genezen. Bijvoorbeeld door het automatiseren van het on- en offboarden van het personeel. Wanneer ziekenhuizen voorafgaand aan een fusie overeenkomen hoe ze de functies en rollen definiëren, dan kunnen er individuele profielen worden gemaakt om rechten voor systeemtoegang toe te wijzen. Voeg hier technologie aan toe die zich bewust is van de context van de gebruiker (wordt er bijvoorbeeld een beveiligde Wi-Fi-verbinding gebruikt, bevindt de gebruiker zich wel binnen de ziekenhuismuren et cetera) en de it-afdeling kan de it moeiteloos onder controle houden, ook tijdens de chaos van een fusie of een overname.
Dynamische werkplekken
Automatisering en contextbewustzijn kunnen dus erg nuttig zijn voor it-afdelingen in de gezondheidszorg die de veiligheid willen waarborgen. Academische ziekenhuizen tonen dit goed aan, want zij hebben dankzij hun aard een groot personeelsverloop. Allereerst hebben ze de typische hr-uitdagingen die ieder ziekenhuis heeft – nieuwe artsen, visites en consulten, tijdelijk ingehuurde verpleging en ondersteunend personeel dat komt en gaat -, maar daarbovenop komt nog de verse groep studenten die ieder semester instroomt om het medische vak te leren.
Dat zorgt ervoor dat academische ziekenhuizen dynamische en levendige werkplekken zijn en vaak aan de basis staan van medische innovatie. Maar voor de hr- en it-afdelingen zorgen deze eigenschappen juist voor kopzorgen op het gebied van beveiliging en regelgeving. Ook hier zijn automatisering en contextbewustzijn natuurlijk nuttig, maar laten we nog een stapje verder gaan: zou het niet bijzonder handig zijn als de ziekenhuismedewerkers gebruik kunnen maken van selfsevice it? Wanneer ze de applicaties die ze nodig hebben simpelweg op kunnen halen in een Amazon-achtige omgeving? Een it-store waar ze de applicaties en diensten die ze nodig hebben alleen maar hoeven te bestellen, waarna ze op basis van rol en functie direct en automatisch geleverd kunnen worden, of volgens vooraf bepaalde zakelijke goedkeuringsprocessen.
Wat betekent een dergelijke it as a service (ITaaS) voor academische ziekenhuizen? Vooral dat mensen sneller de middelen krijgen die ze nodig hebben, op een geautomatiseerde manier, die voldoet aan de regelgeving. Het geautomatiseerde gedeelte is goed voor de it-afdeling: het scheelt tijd, geld en energie. Het voldoen aan de regelgeving is goed voor de gehele organisatie, die de veiligheid kan waarborgen en audits zonder problemen kan doorstaan.
Automatisering, context en ITaaS
Als zorginstellingen de regels voor het beheren van de machtigingen zouden kunnen automatiseren, als er een toegangsautomatisering mogelijk zou zijn die rekening houdt met de context waarbinnen het personeel zijn werk uitvoert en als it-diensten via een selfservice portal aan zorgpersoneel beschikbaar zou kunnen worden gesteld, dan wordt het mogelijk om medisch personeel op een veilige, eenvoudige en directe manier te voorzien van de it-diensten die het nodig heeft.
Contextbewustzijn maakt het mogelijk dat het personeel overal kan werken en op elk gewenst apparaat, terwijl gevoelige informatie binnen de ziekenhuismuren blijft. Iedere handeling in het systeem wordt automatisch en gecentraliseerd bijgehouden, wat zorgt voor een aanzienlijk vermindering van de rapportagelast waar ziekenhuizen aan moeten voldoen omdat de it-afdeling direct de beschikking heeft over de informatie die nodig is voor audits. Compliance kan zonder vertraging worden aangetoond en het personeel kan zich bezig houden met wat echt belangrijk is in de gezondheidszorg, namelijk het leveren van hoge kwaliteit patiëntenzorg.
Fear Sales. Oude wetmatigheid. Als je als IT professional zelf je de ogen eens sluit dan kun je het telkens weer uittekenen. Twee keer een insteek. Immers, beveiliging is net zo sterk als de nieuwste malware of exploit.
1.
– Gebruikers en non IT management instructies hoe om te gaan met IT
– Gebruikers protocol
– Gescheiden domeinen
– Gescheiden internet
– Gereguleerde flex/werkplekken
– Calamiteiten protocol
– IT Incident mangement (Trendwatch)
2.
– Gebruikers en IT management summier instrueren 1 A4
– Vast wel ergens een gebruikersprotocol maar door hoog verloop…
– 1 global domain
– Cloud
– HNW, Byod: Ik werknemer maak de dienst uit wat mijn werkplek betreft
– Huh een calamiteitenprotocol?
– Heel veel uitgefaseerde en/of outsourcing om de twee tot drie jaar opnieuw getenderd.
Het zal wellicht wel een beetje aan mij liggen. Gelukkig hoef ik de rekeningen van de steeds toenemde en grootschaliger incidenten niet te betaen.
Idd fear mongering.
Wat veel erger is het feit dat zorgverzekeraars aandelen van zorginstellingen mogen overnemen en daarmee steeds meer een wurggreep op de zorgindustrie krijgt waarbij een overheid niet toe wil geven dat het de controle hierover heeft verloren.
Heren,
Dank voor jullie reacties. Ik sluit mij volledig aan bij de opinie van NumoQuest. Beleid en bewustzijn heeft een zeer positieve invloed op beveiliging. Het automatiseren is een hulpmiddel bij enkele processen die gerelateerd zijn aan de beveiligingsbeleid.
Het belang van zorgverzekeraars in zorginstellingen is zeker interessant. Het vergroot inderdaad de grip on de zorgindustrie, maar het zou ook kansen kunnen bieden, wanneer zij hun expertise op het gebied van beveiliging inbrengen.
Alle gegevens die zich in databases bevinden, op welke wijze dan ook op elektronische wijze zin gedigitaliseerd, encrypten of niet, ooit komen ze als klare taal in beeld van personen of organisaties die er geen geautoriseerde toegang toe hebben.