De meeste zorginstellingen gebruiken het domain name system (dns) van hun internetprovider of van Google. Vanwege de kwetsbaarheid van de cliënten en vanuit privacyoogpunt neemt Philadelphia Zorg daar geen genoegen meer mee. De stichting voor gehandicaptenzorg wil een hogere graad van beveiliging en meer zicht op het internetgedrag van medewerkers. Er zijn al besmette devices gedetecteerd en verwijderd.
Informatiebeveiliging staat bij Philadelphia Zorg hoog op de agenda sinds het doorlopen van het certificatieproces ISO 27001. Hoewel het bewust maken van de gevaren van internet onder medewerkers een belangrijk aspect is in het voorkomen van datalekken en hacks, blijft er ook techniek over om te beveiligen. Directeur ICT en informatiebeveiliging Matt Janssens van Philadelphia Zorg besefte dat zijn afdeling zelf te weinig kennis heeft van de ontwikkelingen op het gebied van cybercriminaliteit. Om die reden is hij een partnerschap aangegaan met Cisco en Telindus.
Telefoonboek van internet
Met Telindus deed Philadelphia een assessment waarmee de algehele informatiebeveiliging van Philadelphia is onderzocht. Het ict-bedrijf nam interviews met medewerkers af om te onderzoeken hoe de processen binnen Philadelphia zijn ingericht en welke systemen worden gebruikt. Daar kwamen verschillende aandachtsgebieden uit en een daarvan was de beveiliging van het dns. Janssens van Philadelphia omschrijft DNS vaak als het telefoonboek van internet; het systeem om namen van computers naar numerieke adressen te vertalen. ‘Wij beseften ons niet dat het telefoonboek zelf wel eens verkeerde informatie zou kunnen bevatten.’
Niet voor niets noemt Rob Blokzijl, accountmanager Healthcare van Telindus, de beveiliging van dns de eerste line of defense. ‘Hackers azen op zorginstellingen via medewerkers die internet gebruiken om zo virussen te installeren’, zegt hij.
‘Cisco kijkt 24 uur per dag, zeven dagen per week naar internet met de threat research-organisatie Talos’, vult directeur Security Cisco Nederland, Michel Schaalje aan. ‘Onze researchers doen wereldwijd onderzoek naar internet-omgevingen die ze niet vertrouwen. Informatie wordt meteen gebruikt ter bescherming van alle klanten. Op het moment dat een medewerker van Philadelphia een site bezoekt, hebben wij een oordeel klaar liggen over die site en als dat een onbetrouwbare site is, laten we dat onmiddellijk weten.’
Zicht op internetgedrag
Philadelphia is een van de eerste zorginstellingen die op deze schaal en op deze manier aan informatiebeveiliging doet. Dat gebeurt ze om twee redenen. Ten eerste wordt er gewerkt met medische gegevens; dat is privacygevoelige informatie. Volgens Bolkzijl van Telindus richt veertig procent van de hackers zich op de zorgsector en Schaalje van Cisco weet dat er op darknet ongeveer vijftig euro wordt gegeven voor een medisch dossier. Daarnaast zijn de cliënten van Philadelphia hulpbehoeftig. ‘De verantwoordelijkheid om deze mensen te beschermen, ligt bij ons’, zegt Janssens van Philadelphia. ‘Een bank is ook alert op bescherming van informatie, maar heeft niet te maken met de hulpbehoevenden van onze samenleving. Zorgvuldig handelen is voor ons van groot belang.’
Sinds het ingaan van de AVG in 2018 is het beveiligen van privacygevoelige informatie goed onder de aandacht gekomen bij zorginstellingen en Philadelphia doet ook veel aan bewustwording onder medewerkers, maar met DNS-beveiliging is er ook zicht op het internetgedrag van medewerkers. Er ontstaat overzicht. Dat gaat dus een stap verder. ‘We leggen geen restricties op aan medewerkers’, zegt Janssens, ‘ze mogen alle sites bezoeken die ze willen, maar we zouden wel anoniem kunnen kijken welke informatie ze zoeken. Kennelijk is die informatie niet voorhanden. En wat valt binnen welke cloud? Dit doen we nu nog niet op een planmatige manier, maar het wordt mogelijk gemaakt door de techniek.’
‘Bovendien weten we door het overzicht hoe we ervoor staan’, vervolgt Janssens. ‘Nu de dns-beveiliging aan staat, zien we hoeveel sites die aan te merken zijn als schadelijk, geblokkeerd worden. We weten nu dat er systemen in ons netwerk zijn die mogelijk gecompromitteerd zijn. We kunnen die besmette computers vinden en virussen verwijderen. De boze buitenwereld houden we buiten en dat deel dat binnengetreden is, pakken we effectief aan.’
Besmette apparaten
De implementatie van dns-beveiliging duurde slechts een kwartier en is een clouddienst van Cisco. Cisco verifieert ip-adressen. Ze kijken naar typefouten van het internetadres en naar de veiligheid van de site zelf. Komt de server uit een regio waar veel hack-diensten vandaan komen? Daarnaast is parental-control een optie waarmee bijvoorbeeld gok- en pornosites geblokkeerd kunnen worden. De meerwaarde van de samenwerking tussen Cisco en Telindus is het inzicht op het internetgedrag van medewerkers en de rapportage-besprekingen met Philadelphia om zo de digitale veiligheid verder te verhogen. Philadelphia heeft met Telindus afgesproken dat zij het ip-adres willen zien, maar niet de gebruiker. Telindus stuurt bij een besmet apparaat een ticket naar het systeem van Philadelphia met daarbij de mate van urgentie. Philadelphia kan dan zelf de gebruiker of het apparaat achterhalen. Als de dreiging serieuzer is, belt Telindus naar Philadelphia. Het inregelen van deze manier van werken met prioriteiten en het stellen van targets voor de toekomst over het aantal afgeweerde aanvallen heeft wat meer tijd nodig gehad, denk aan een aantal maanden.
Philadelphia is een grote zorginstelling met meer dan zevenduizend apparaten. De dns-beveiliging is sinds februari actief en heeft volgens Janssens dus al enkele besmette devices ontdekt. ‘Aan de ene kant vind ik het verwonderlijk dat het echt gebeurd’, zegt Janssens. ‘We zijn dus best kwetsbaar. Aan de andere kant vind ik het aantal relatief klein op het totaal aantal apparaten.’
Bewustwording verhogen
Een mogelijke vervolgstap in het partnerschap tussen Philadelphia en Cisco en Telindus is het verder automatiseren van het blokkeren van geïnfecteerde pc’s uit het Philadelphia-netwerk. Een vraag die daarvoor nog beantwoord moet worden, is of de informatie die Philadelphia heeft gekregen, gebruikt mag worden voor het automatisch afkoppelen. Janssens: ‘Bovendien moeten we nog bekijken of we daarvoor ook echt de juiste informatie hebben.’
Op dit moment helpen it-beveiligingsfunctionarissen van Philadelphia met incidentafhandeling. Bij Philadelphia zijn dat zorgmedewerkers op locatie die affiniteit hebben met informatiebeveiliging. Zij brengen informatie van de locaties naar het management en spelen een rol bij het verder bewust worden van informatiebeveiliging bij andere medewerkers en cliënten. Janssens: ‘Laatst is er een afhandeling van een datalek geëvalueerd in de directieraad, maar niet omdat ik het geagendeerd heb. Ik heb niet meer het gevoel constant politieagent te moeten spelen. Van constatering, naar afhandeling, naar evaluatie; nu vind ik dat we echt kunnen spreken van borging van informatiebeveiliging.’
(Dit artikel verscheen eerder in Computable-magazine #01/2020.)