De adoptie van beveiligingsmaatregelen gaat in de zorg veel langzamer dan in bijvoorbeeld de financiële- en retail-industrie. Kwalitatief hoogwaardige gezondheidszorg behoeft echter net zoveel kwalitatief hoogwaardige beveiliging.
Het afgelopen jaar haalden hacks van zorgverleners een aantal keer opvallend de krantenkoppen. Deze recente stijging van cybercriminaliteit is niet verrassend. Geavanceerde beveiliging en protocollen krijgen maar lastig voet aan de grond in de zorg, waar webgebaseerde systemen en interne netwerken relatief laat hun intrede deden.
Vorig jaar liet de USI (Security index) zien dat zorgen over identiteits- en bankkaartfraude wereldwijd bovenaan de lijsten staan – en daarmee zelfs nationale beveiligingsproblemen als oorlog en terrorisme voorblijven. Die angst voor identiteit- en kaartfraude raakt het hele zorgecosysteem: van farmaceutische bedrijven tot fabrikanten van medische apparatuur en ziekenhuissystemen. Elk van deze spelers heeft toegang tot enorme hoeveelheden persoonlijke medische gegevens. Robuuste beveiliging is daarom geen optie: het is absolute noodzaak.
Farmaceutische industrie
Stel je het gemiddelde farmaceutische of biotechnische bedrijf voor. Deze bedrijven beveiligen hun intellectuele eigendom erg streng: dat zijn immers de ‘kroonjuwelen’. Echter wordt deze informatie vaak gedeeld met externe partijen, zoals contract research organizations (cro’s). In veel gevallen is de beveiliging daar niet op hetzelfde niveau. Daarvoor zijn twee redenen: niet alleen ontbreekt bij deze bedrijven het mandaat om zulke strenge beveiligingsmaatregelen te treffen, maar er wordt ook erg op het geld gelet. Beveiliging wordt daardoor vaak als eerste uitgesteld. Dat betekent niet dat er helemaal geen beveiliging is, maar de techniek ontwikkelt zich voortdurend om steeds verbeterde aanvallen af te kunnen slaan. Zodra een cro eenmaal achter komt te lopen, wordt deze kwetsbaar voor nieuwe cyberaanvallen.
Dat is een probleem, want de cro verwerkt medische gegevens van deelnemers aan klinische studies. Deze deelnemers wonen vaak verspreid over de wereld. Het farmaceutische of biotechnische bedrijf weet vaak niet dat:
1) het beveiligingssysteem niet up-to-date is, waardoor hackers toegang hebben tot gegevens;
2) een cro-medewerker medische gegevens op een usb-stick zet om thuis verder mee te werken – op een volledig onveilige privécomputer;
3) een cro-kliniek in een onderontwikkeld land veel slechtere beveiliging heeft dan cro’s in ontwikkelde landen.
Farmaceutische bedrijven kunnen daardoor onaangenaam verrast worden wanneer ze erachter komen dat beschermde patiëntgegevens zijn gestolen. Ze moeten kunnen garanderen dat niet alleen hun interne systemen, maar ook die van de cro’s waarmee ze werken op orde zijn, zodat ze zeker weten dat de beveiliging altijd op orde is.
Medische apparatuur
Fabrikanten van medische apparatuur zijn relatief langzaam met het inbouwen van beveiligings- en privacyprotocollen in hun apparaten en besturingssystemen. Nog geen drie jaar geleden werden beveiligings- en privacy-zorgen behandeld tijdens het laatste stadium van productontwikkeling. In feite werd een apparaat volledig vormgegeven, alvorens over de schutting te worden geworpen naar de reguleringsafdeling, waar bepaald werd aan welke beveiligingsregels een apparaat moest voldoen.
Als beveiliging niet tijdens het ontwikkelingsproces in een apparaat wordt gebouwd, kan het veel moeite vragen om dat achteraf te doen. Vaak leidt dat tot suboptimale beveiliging, aangezien het niet vanaf het begin onderdeel van het ontwerp heeft uitgemaakt. Pas sinds een paar jaar worden beveiliging en privacy al in de ontwerpfase meegenomen. Daardoor komt die grote moeite achteraf te vervallen en weten patiënten en aanbieders zich beter beveiligd. Op zich is dat prima voor nieuwe apparaten, maar feit blijft dat een flinke hoeveelheid medische apparaten vandaag de dag ofwel onbeschermd, ofwel minder goed beveiligd is. Wanneer ziekenhuizen die apparaten op hun netwerk aan gaan sluiten, zorgen ze vaak onbedoeld voor kwetsbaarheden in hun systemen.
Ziekenhuizen en gezondheidszorg
Dat brengt ons bij beveiliging in ziekenhuizen en zorginstellingen. Aangezien elektronische patiëntendossiers honderden, zo niet duizenden dollars opbrengen op de zwarte markt – ter vergelijking: voor een creditcardnummer wordt in de regel 25 cent betaald – is het geen verrassing dat de gezondheidszorg steeds vaker het doelwit van hackers vormt. Onbeveiligde medische apparaten zijn de achilleshiel van ziekenhuizen en zorgsystemen: wereldwijd zijn 10 tot 20 procent van de medische apparaten in ziekenhuizen met elkaar verbonden, en dat aantal groeit snel.
Bovendien zijn veel apparaten die twee tot drie jaar oud zijn, zoals hierboven ook genoemd, slecht beveiligd. Zelfs apparaten mét beveiliging zijn vaak niet goed geconfigureerd om binnen het ziekenhuisnetwerk ook goed beveiligd te zijn. Hackers misbruiken deze kwetsbaarheid gretig. Ransomware kost ziekenhuizen miljoenen, terwijl diefstal van data de reputaties van ziekenhuizen over de hele wereld beschadigt. En dat is niet het enige: geslaagde hacks kunnen uiteindelijk miljoenen dollars aan boetes en straffen van waakhonden opleveren.
Daarnaast zijn wearables een belangrijke trend. IDC voorspelt dat tegen 2020 zorg door kunstmatige intelligentie automatisch wordt afgestemd op basis van wearable-gegevens. Gebruik van wearables wordt steeds meer mainstream, dus zullen er ook meer vragen komen over beveiligingsrisico’s en kwetsbaarheden. Ziekenhuizen en zorgaanbieders moeten kunnen bewijzen dat patiënten goed beschermd worden en persoonlijke medische gegevens goed beveiligd zijn tegen alle soorten cyberaanvallen.
Draagbare medische devices
In de USI kwam ook de mening van gebruikers over draagbare medische devices aan bod. Consumenten werd gevraagd of ze draagbare medische devices, zoals pacemakers of bloedsuikerspiegelsensoren, die meteen belangrijke veranderingen doorgeven aan artsen, zouden dragen. 71 procent van de respondenten gaf aan daarvoor open te staan. Van de mensen die dat niet deden, vond de meerderheid dat er geen goede reden was om die data te monitoren en verzenden naar een derde partij, of ze wilden gewoonweg niet dat een organisatie over die informatie kon beschikken. Databeveiliging kwam pas op de derde plek.
Daarentegen waren de meeste respondenten dan weer geen voorstander van verzekeraars die via wearables de activiteiten van verzekerden volgen en in reactie daarop de premie verhogen of verlagen. De meeste klanten zagen geen beklijvende reden om die data naar een derde partij te versturen, of wilden simpelweg niet dat een partij over die informatie kan beschikken. Dat in tegenstelling tot financiële wearables (zoals een betaalapp op een smartwatch), waarbij beveiliging de belangrijkste tegenwerping was.
Over het algemeen willen gebruikers hun persoonlijke gegevens wel delen als hun gezondheid en beveiliging worden gewaarborgd, maar niet om andere redenen. Ze willen controle over hun persoonlijke gegevens en wie er toegang toe heeft, en moeten een erg goede reden hebben om die data te delen en privacy op te geven. Dit gold ook voor andere sectoren.
Aangezien dataveiligheid geen belangrijke factor voor klanten blijkt te zijn als het gaat om biometrische wearables en dataverzameling, is het verleidelijk om te concluderen dat zorgaanbieders de zaken voor elkaar hebben op het gebied van veiligheid. Niets is echter minder waar.
Zoals eerder ook gezegd zijn de grootste zorgen voor beveiligers identiteitsdiefstal en credit- of bankkaartfraude. Mensen maken zich daar enorme zorgen over. Hoewel het erop lijkt dat klanten zorgaanbieders met hun persoonlijke informatie vertrouwen zolang er een goede reden is om deze te delen, duurt het niet lang voor een datadiefstal dat vertrouwen wegneemt. Zoals de afgelopen paar jaar hebben laten zien, kan één enkele diefstal de reputatie van een bedrijf zwaar beschadigen onder gebruikers. Robuuste beveiliging is een ‘must’, om inbraken te voorkomen en zaken snel op te lossen, mocht een inbraak zich voordoen.
Microsegmentatie
De zorgsector heeft momenteel het vertrouwen van het publiek, maar dat kan zomaar en snel veranderen wanneer de devices en netwerken die gebruikt worden om die zorg te verlenen niet beveiligd worden. Daarbij gaat het om medische apparatuur van cro’s, ziekenhuizen en klinieken, en apparaten die door patiënten worden gedragen wanneer ze thuis gaan revalideren.
Voor zulke beveiliging zorgen klinkt misschien als een uitdagende taak, maar dat is het niet. Een managementsysteem voor medische apparatuur dat gebruikmaakt van microsegmentatie en dataversleuteling voorkomt problemen door de beveiliging van elk apparaat te verbeteren en door apparaten die zelf niet beveiligd zijn te beschermen. Dit soort systeem maakt dat er binnen een zorgorganisatie clusters ontstaan die toegang tot specifieke informatie kunnen krijgen. Bijvoorbeeld een verpleger kan alleen de informatie die over een patiënt wordt gegenereerd zien, terwijl een dokter ook bij informatie over het specifieke device kan. Ander personeel – en nog belangrijker, hackers – kunnen het apparaat niet zien, weten niet dat het bestaat en kunnen daardoor ook geen toegang krijgen tot het apparaat of de gegevens. Als ziekenhuizen en zorgverleners deze protocollen implementeren, groeit het vertrouwen van klanten en kunnen ze bewijzen dat hun persoonlijke gegevens veilig zijn – waar deze ook zijn opgeslagen.
Complexer
In de toekomst zal beveiliging van zorggegevens vermoedelijk complexer worden. Mensen besteden veel meer aandacht aan hun gezondheidszorg dan vorige generaties. Dat wordt deels mogelijk door het internet, dat een effectief middel is voor educatie op het gebied van ziektes, behandelingen en mogelijke medicijnen. Uiteindelijk zal niet het ziekenhuis, niet de cro, niet de fabrikant van medische apparatuur of het farmaceutische bedrijf, maar de gebruiker gaan bepalen wie er toegang tot zijn of haar medische gegevens heeft. De zorgsector zou zich nu al moeten gaan voorbereiden op die nog veel ingewikkeldere beveiliging.
Volgens ons zal de gezondheidszorg toch echt een inhaalslag moeten maken in het kader van de GDPR. De kosten gemiddeld, bij een zg Data Breach bedragen 139 dollar en dat loopt al snel in de papieren als je enkele tienduizenden records hebt die getroffen zijn. Dan kun je er gewoonweg niet aan ontkomen om snel actie te ondernemen en je security up to date te brengen.