We accepteren het dat artsen en medisch personeel volledige toegang krijgen tot onze medische gegevens en achtergrondinformatie. Dit draagt tenslotte bij aan een zo snel en juist mogelijke diagnose. De hoeveelheid informatie die binnen de zorgsector wordt bewaard, maakt het een belangrijk en winstgevend doelwit voor criminelen. Om persoonlijke gezondheidsinformatie veilig te bewaren is het cruciaal op de hoogte te zijn van beveiligingsrisico’s.
Mijn internationale collega’s hebben de specifieke cyberbedreigingen voor de zorgsector in onze meest recente Data Breach Investigations Reports (DBIR) opnieuw onderzocht. Dit maakt het mogelijk om verder in te zoomen op de unieke beveiligingsrisico’s, met name het gebruik en misbruik van Protected Health Information (PHI). Dit is persoonlijke informatie over patienten, zoals namen en medische gegevens, die door wetten wordt gereguleerd. Ze hebben een rapport geschreven dat is gebaseerd op 1368 incidenten uit 27 landen.
Hun belangrijkste bevindingen:
- Bij 58 procent van de incidenten zijn ingewijden betrokken. De gezondheidszorg is de enige branche waarin interne spelers de grootste bedreiging vormen voor een organisatie. Vaak worden ze gedreven door financieel gewin, zoals belastingfraude of kredietfraude met gestolen informatie (48 procent); plezier in het opzoeken van de persoonlijke gegevens van beroemdheden of familieleden (31 procent); of simpelweg omdat het kan (10 procent).
- In 70 procent van de gevallen waarbij malafide code wordt gebruikt, gaat het om ransomware-infecties. Dit komt overeen met het aanhoudende gebruik van ransomware in alle branches, zoals de cyberaanvallen die Europa medio 2017 heeft meegemaakt.
- 27 procent van de incidenten bevat PHI die op papier is geprint. Hoewel vooral het hacken van medische apparatuur de kranten haalt, wordt de echte criminele activiteit vaak ontdekt door het papierspoor te volgen. Papieren documenten komen in de gezondheidszorg vaker voor dan in andere sectoren. Denk bijvoorbeeld aan recepten die naar apotheken worden gestuurd, facturen die per post worden verstuurd, ontslagpapieren die fysiek aan patiënten worden overhandigd, of gearchiveerde kopieën van ID’s en verzekeringsbewijzen. De manier waarop PHI door medisch personeel wordt verwerkt en verspreid, leidt tot onnodige fouten: gevoelige gegevens worden verkeerd verstrekt (20 procent), weggegooid zonder te versnipperen (15 procent) of zelfs verloren (8 procent).
- Bij 21 procent van de incidenten gaat het om verloren en gestolen laptops die onbeveiligde gezondheidsinformatie van patienten bevatten. Werknemers moeten worden bijgeschoold om ervoor te zorgen dat er basis-veiligheidsmaatregelen worden toegepast.
Wat kun je ertegen doen?
Er zijn diverse verbeteringen op de korte termijn om een aantal van de veelvoorkomende veiligheidsproblemen aan te pakken:
- Full Disk Encryption (FDE): Dit biedt een effectieve en relatief goedkope manier om gevoelige gegevens uit de handen van criminelen te houden.
- Toegang tot gegevens routinematig monitoren: er moeten beleidsmaatregelen en procedures worden vastgesteld die toezicht op de toegang tot PHI eisen. Alle werknemers moeten zich ervan bewust zijn, met behulp van trainingen en waarschuwingen, dat zij risico lopen op straf als zij zonder legitieme reden patiëntgegevens bekijken.
- Veerkracht opbouwen om ransomware-aanvallen te bestrijden: preventiemaatregelen als bescherming tegen malware-installaties zijn essentieel. Ook is het belangrijk de impact te beperken die ransomware kan hebben op een netwerk. Sta niet toe dat apparaten van gebruikers ransomware verspreiden naar kritieke systemen. Gebruik daarnaast geen apparaten die altijd beschikbaar moeten zijn om op het internet te surfen of externe e-mails te ontvangen.
Implementatie van veiligheidsmaatregelen op de lange termijn
Belangrijker dan deze maatregelen op korte termijn is om het gebruik van PHI in de zorgsector voor toekomstige stabiliteit en succes in de digitale wereld te beveiligen. Hiervoor zijn strategische acties op de lange termijn nodig.
Een belangrijk onderwerp is elektronische PHI (ePHI). Overtredingen met betrekking tot ePHI zijn onder meer het publiceren van gevoelige gegevens op openbare websites (7 procent) en onjuiste levering van e-mails (7 procent). Deze cijfers zijn nog altijd verontrustend, maar minder ernstig dan de overtredingen in verband met papieren documenten. Organisaties moeten dus streven naar minder papieren PHI. En een integraal risicomanagementprogramma opzetten dat niet alleen ePHI beschermt, maar ook andere gevoelige gegevens die worden opgeslagen en verwerkt.
We moeten ook beseffen dat te strenge toegangsbeperkingen tot patiënteninformatie mogelijk een negatieve invloed hebben op het vermogen om snelle, adequate beslissingen te nemen. Toch is hier ruimte voor verbetering. Een uitgebreide inspectie van toegangsrechten tot gevoelige gegevens met een aansluitende continue monitoring ervan kunnen bijvoorbeeld helpen om eerstelijns zorgverleners makkelijker toegang te geven, terwijl onnodige toegang elders wordt beperkt.
Het gebruik van internet of things (IoT) wordt in de hele branche steeds gebruikelijker. Daarom is het van vitaal belang in alle toepassingen ervan veiligheid in te bouwen om te voorkomen dat het gevaar door IoT in de toekomst alsmaar groeit. Ook is het belangrijk om bij IoT-implementaties te focussen op weerbaarheid, beschikbaarheid, integriteit en geheimhouding.
Tot slot, met een alomvattend incident respons-plan kan er sneller gereageerd worden op een cyberaanval. Dit kan de impact van een incident op een organisatie meestal beperken. Het is cruciaal om voor een incident via simulaties gaten in die plannen te ontdekken. En net zo belangrijk om na een incident precies in kaart te brengen wat er nog te verbeteren valt.
Mocht je meer willen weten over dit onderwerp, lees dan het 2018 Protected Health Information Data Breach Report.
Mij valt op dat weliswaar de menselijke factor wordt aangehaald als één van de belangrijkste factoren bij cybersecurity incidenten, maar dat daar geen consequenties aan worden verbonden. De invloed van mensen moet je terugdringen door de bewustwording te vergroten, en niet uitsluitend met technische hulpmiddelen.
Dat wordt goed uiteengezet in een artikel op CIONET. Voor het hele artikel: plak goo.gl/xQir6E in de adresbalk van de browser.