Een aantal maanden terug werden verschillende ziekenhuizen in het Verenigd Koninkrijk getroffen door de grootschalige ransomware-aanval WannaCry. Medewerkers konden niet langer inloggen in systemen, verschillende afdelingen werden tijdelijk gesloten en patiënten moesten worden doorverwezen. Sommige ziekenhuizen hebben hun hele digitale infrastructuur stil moeten leggen. Alleen de spoedgevallen werden nog behandeld.
Medische gegevens behoren tot de belangrijkste data die ict-professionals in beheer hebben. Hierbij staan letterlijk levens op het spel. Toch zijn tal van zorginstellingen onvoldoende voorbereid om niet alleen effectieve bescherming te bieden tegen aanvallen, maar ook van dergelijke beveiligingsincidenten te herstellen. Als het herstelproces dagen of zelfs maar een paar uur in beslag neemt, kan de schade rampzalige proporties aannemen, zowel vanuit organisatorisch perspectief als vanuit de patiëntenzorg.
Ict-afdelingen van zorginstellingen worden voortdurend geconfronteerd met nieuwe bedreigingen en uitdagingen. Ziekenhuizen worden veel vaker door ransomware-aanvallen getroffen dan wordt aangenomen, met alle kosten van dien. Ondertussen is er binnen de zorgsector sprake van voortdurende veranderingen en hebben zorginstellingen de grootste moeite om de veranderende eisen vanuit wet- en regelgeving bij te benen.
Alle organisaties, maar met name die in vitale sectoren, moeten in staat zijn om data op succesvolle wijze te verplaatsen of herstellen in noodsituaties, met minimale verstoring van bedrijfskritische applicaties. Een efficiënte aanpak vraagt om het uitvoeren van regelmatige tests om de voortdurende beschikbaarheid van cruciale informatie te waarborgen.
Beveiligingsproblemen
Patiënten worden ondertussen veeleisender en mengen zich veel meer in het zorgproces. Ze verwachten dat zij via het internet of een app toegang tot bepaalde informatie te kunnen krijgen. Dit stelt ict-afdelingen voor nieuwe beveiligingsproblemen, aangezien cyberbedreigingen via externe gebruikers interne systemen kunnen binnendringen. De grootste problemen hebben echter vaak een minder sinister karakter.
Organisaties krijgen te maken met tal van intern veroorzaakte problemen, zoals onervaren medewerkers die per ongeluk een server uitschakelen of verkeerd geconfigureerde applicaties. Een van de meer zorgwekkende oorzaken van bedrijfsonderbrekingen zijn de software upgrades en patches die softwareleveranciers met grote regelmaat uitbrengen. Vaak ontbreekt het zorginstellingen aan de capaciteit om deze updates eerst in een veilige omgeving te testen voordat ze in productie worden genomen.
De bedrijfsvoering van organisaties in de zorg wordt steeds afhankelijker van digitale data. Ict-afdelingen van zorginstellingen moeten een strategie ontwikkelen die ervoor zorgt dat er nooit downtime optreedt. Hiertoe kunnen ze een beroep doen op nieuwe, cloud-vriendelijke technologieën die de disaster recovery in het geval van ransomware of een andere calamiteit drastisch vereenvoudigen en de mogelijkheid bieden om op elk gewenst moment niet-verstorende testprocedures uit te voeren. Ict-afdelingen kunnen op deze manier optimale serviceniveaus en uptime blijven bieden in het geval van een cyberaanval, calamiteit of menselijke fout.
Als het woord ‘downtime’ valt, denken de meeste organisaties direct aan de financiële gevolgen. Ongeplande downtime kan een van de grootste kostenposten van bedrijven vertegenwoordigen, maar in de gezondheidszorg staat er nog veel meer op het spel. Zorginstellingen moeten ook rekening houden met de nadelige gevolgen van downtime voor de kwaliteit van de patiëntenzorg. Hoewel dit aspect moeilijker in cijfers valt uit te drukken, is het een topprioriteit om er rekening mee te houden.
Cybercriminaliteit een halt toeroepen
Op het gebied van ict-beveiliging is Plan A om hackers en kwaadwillende personen buiten de deur te houden. Het beveiligen van het netwerk en het voorlichten van het personeel over cyberrisico’s is daarbij van cruciaal belang. Een hacker hoeft het slechts één keer bij het juiste eind te hebben, terwijl de ict-afdeling het voortdurend bij het juiste eind moet hebben om hackers uit het netwerk te weren. Om deze reden is er een Plan B nodig. Wat gebeurt er als cybercriminelen er wel in slagen om het netwerk binnen te dringen? Hoe ziet het herstelplan eruit? De mogelijkheid om applicaties en data te herstellen naar een tijdstip in het verleden, tot op een seconde voordat er downtime optrad, zal organisaties in staat stellen om eenvoudig van ransomware-aanvallen te herstellen.
Niet-verstorende disaster recovery-tests zijn in dit verband onmisbaar. Zorginstellingen moeten experts zijn in het herstellen van storingen, maar dat is geen haalbare kaart als de beschikbaarheid van de infrastructuur slechts één keer per jaar wordt getest. Regelmatig testen is van levensbelang, het liefst elk kwartaal. Het doel is om te waarborgen dat elk onderdeel van het disaster recovery-plan probleemloos functioneert, dat de zorginstelling met een paar muisklikken voor fail-over kan zorgen en dat het mogelijk is om uitgebreide en transparante testrapporten te ontvangen. Deze rapportage maakt de compliance-manager en de ict-afdeling tot de beste maatjes.
Testen is van levensbelang. Het maakt niet uit wat er op papier is opgesteld. Testen in de praktijk zal problemen aan het licht brengen die anders mogelijk over het hoofd worden gezien. Pas wanneer er regelmatig en op consistente wijze wordt getest is het mogelijk om in kaart te brengen dat er werkelijk gebeurt binnen de steeds complexere moderne systemen. Uiteindelijk zijn het deze routinematige controles die de veerkracht van ict-omgevingen in de gezondheidszorg zullen vergroten en zorginstellingen zullen beschermen tegen het verlies van patiëntengegevens.
Ik denk dat hier een aantal zaken door elkaar worden gegooid. In de eerste plaats krijg ik kromme tenen bij de aanname dat onbevoegden servers zouden kunnen uitschakelen. Ik zou de eerste beste IT dienst die dit mogelijk maakte meteen op nonactief stellen.
Bedreigingen en ransomware
In meer dan 99% van de gevallen van ransomware is het een persoon die een actie heeft gedaan. Of dit nu het blind en ondoordacht klikken is op een link of anderszins, klaarblijkelijk is die mogelijkheid in de systemen opengehouden. Overigens, in die zelfde 99% van de gevallen verwezen die url’s naar een adres buiten het gecnfigureerde netwerk, iets wat mij, in het licht van beveiliging en persoons gegevens, mijn wenkbrauwen doet fronsen.
Weer een hiaat in de beveiliging en doordenken op dit vlak van IT professionals.
Cybercriminaliteit een halt toeroepen
Een onmogelijke gedachte omdat IT professioneel alleen maar kan acteren wanneer men een nieuwe dreiging weet te onderkennen og, zoals in 95% van de gevallen, verneemt van een ander van het bestaan van die dreiging of hem zelf heeft ervaren. Have your pick. Het is eenvoudig zo dat je altijd op het vlak van cyber criminaliteit één stap achter loopt.
De cyber crimineel zoekt namelijk naar de gaten in systemen en die worden gevonden doordat, klaarblijkelijk, IT diensten leveranciers hen die mogelijkheid bieden. Wanneer IT professionals door en nadenken over het aspect security i.c.m. hun discipline en vak gebied, misschien dat we dan een keer kunnen zeggen, ja, nu zijn we echt op weg iets tegen cybercrime te doen.
Eens: Testen is een verplichting
Dat testen moet, dat ben ik zeker met deze auteur eens, veel verder gaan dan allen sec een checklistje met functionaliteiten afwerken maar het (deel) product moet gewoon professioneel aan minimale voorwaarden voldoen. Hierbij speelt de inzet en ervaring van de betreffende IT professional een enorme rol omdat security gewoon een onderdeel is van je werkgebied.
Het word eens tijd dat professionals dit uit zichzelf eens gaan oppakken en deel laten uit maken van hun vakgebied. Dit geld uiteraard voor elke IT professional in de overall IT keten, los van discipline of niveau.