Het aantal apparaten dat door netwerken ontsloten wordt, stijgt razendsnel. De kosten van Wi-Fi-connected apparatuur kelderen, dus het aantal apparaten zal alleen nog maar toenemen. Ook de zorgsector heeft hier mee te maken. Doordat zorginstellingen worden geconfronteerd met steeds meer onbekend verkeer op hun infrastructuur, is het bijna onmogelijk om elk fysiek onderdeel nog te beveiligen.
Het ouderwetse ‘kluisprincipe’ werkt eenvoudigweg niet meer. Een gevolg is dat er in de Nederlandse zorg steeds meer incidenten voorkomen waarbij misbruik wordt gemaakt van persoonsgegevens. Is er een medicijn?
Vanaf 1 januari 2016 zijn ziekenhuizen en zorginstellingen verplicht om maatregelen te treffen ter voorkoming van datalekken. Zijn er op die datum nog geen afdoende maatregelen ingesteld, dan kunnen forse boetes worden opgelegd die kunnen oplopen tot 812.000 euro volgens de Nederlandse wetgeving, tot maximaal 4 procent van de jaaromzet volgens de Europese wetgeving.
Een boete is helaas nog geen oplossing voor een beveiligingsprobleem, hoogstens een motivatie om naar een afdoende oplossing te zoeken. Ziekenhuizen en zorginstellingen zitten als het ware tussen twee vuren: de wetgevende instanties, die ondermaatse beveiliging af willen straffen met hoge boetes en kwaadwillenden die misbruik willen maken van onvolkomenheden in de beveiliging.
De privacy van Máxima
Traditionele beveiliging is niet afdoende om moderne dreigingen het hoofd te bieden. Het is bijna zeker dat aanvallers zich niet door software als firewalls en antivirusprogramma’s tegen laten houden. Het probleem wordt nog ingewikkelder als je bedenkt dat er voor verschillende soorten informatie verschillende veiligheidseisen gelden. Sommige informatie mag niet overal worden opgeslagen. Andere informatie mag niet voor iedere medewerker toegankelijk zijn. Het raadplegen van het epd wil je bijvoorbeeld toestaan voor de behandelende arts, maar verbieden voor personeel dat niets met de patiënt te maken heeft. Je wilt niet dat wanneer Máxima in het ziekenhuis belandt, ieder personeelslid haar gegevens op kan vragen. Daar moet je dus beleid voor instellen, per apparaat, per gebruiker en per context.
Verantwoordelijkheid bij de gebruiker
De oplossing is om een deel van de verantwoordelijkheid bij de gebruiker te leggen. Wanneer je de huidige it zou vergelijken met een huis, dan is het een open huis waar heel veel mensen doorheen lopen en waar niet meer alles op slot zit. Dat is op zich niet zo erg, tenzij die mensen op plekken komen waar ze niet mogen komen of dingen doen die ze niet mogen doen. In dat geval moet je deze mensen hier op aanspreken. Je moet afspraken met ze maken en middelen hebben om op de naleving toe te zien.
Maar hoe kun je op een efficiënte manier relevante informatie onttrekken aan de enorme hoeveelheid data in de logfiles? Systeembeheerders moeten het kaf van het koren kunnen scheiden. De focus moet liggen op het signaleren van inbrekers, ongeregeldheden en het overtreden van de regels. Dit kunnen we realiseren met behulp van geavanceerde forensische technieken en analytische software, die ons in een vroeg stadium alarmeren en waarschuwingen versturen naar de verantwoordelijken op de it-afdeling. Deze techniek heet SIEM (Security Information and Event Management) en het kan een enorme bijdrage leveren aan de uitvoering van een veiligheidsbeleid dat voldoet aan de richtlijnen, zoals geformuleerd in de norm NEN 7510.
Een beveiligingsoplossing die een besparing is
Toch krijgt het probleem van databeveiliging maar weinig aandacht in de zorg. Hoe komt dat? Allereerst omdat het geen primair probleem is. Het grootste probleem in de zorg is de financiering van de zorg zelf. Zorg is een primair proces, waar als laatste op bezuinigd wordt. De meeste SIEM-oplossingen in de markt zijn bijzonder prijzig in aanschaf en onderhoud en dat weerhoudt veel ziekenhuizen ervan om nu al een SIEM-oplossing aan te schaffen.
Het kan echter veel goedkoper: een oplossing in een shared omgeving kan bijvoorbeeld voor een behoorlijke kostenreductie zorgen, vergeleken met een maatwerkoplossing. Bovendien kunnen zorginstellingen nog een aantal andere financiële voordelen realiseren met de implementatie van een SIEM-platform, zoals het voorkomen van de verliezen die gepaard gaan met systeemuitval, verhoogde efficiëntie door automatisering en de voordelen die het gevolg zijn van een meer holistische kijk op de it. Dit zorgt er allemaal voor dat zorginstellingen geld en tijd kunnen besparen en dat it-beheerders een sterke business case kunnen maken om de investering aan de ziekenhuisdirectie te verantwoorden.
Het ouderwetse kluisprincipe werkt niet mee…
Even kijken hoor. Sec professioneel.
Iemand die mij stelt dat het ouderwetse kluisprincipe niet meer zou werken krijgt meteen een grote dosis argwaan van mij. Ik ken namelijk tal van organisaties die grootste moeite hebben met hun beveiliging omdat iedereen ‘BYOD’ riep, geen weg terug want anders….
Doomsday scenario
Tal van commerciële uitingen die het hebben over doomscenario’s gelardeerd door het uitlokken van allerhande discussies pro en con. Het is een gevaarlijke afleidingsmanoeuvre die louter een commercieel doel heeft.
Beveiliging en verantwoordelijk bij de gebruiker
Right. Als ik al die tijd gewoon blijf stellen dat het niet de gebruiker of commerciële partij is die mijn IT visie, mijn IT beleid dicteert maar gewoon common sense en de reden waarvoor ik ook alweer strategisch IT implementeer en onderhoud. Namelijk het vereenvoudigen van processen door digitalisering en automatisering. Niets meer, niets minder.
Gezondheidszorg en IT
Dat word een zeer eenvoudig verhaal. Geef artsen en vervolgstaf gewoon een tablet die op een eigen beveiligde intranet is aangesloten en maak van de verzekeringspas de patiënten sleutel en plots verdwijnen flink wat problemen als sneeuw voor de zon.
Zet een chip op elk pasje en laat daar persoonlijke data op, pasfoto, ISBN, Patiënten nummer, Bloedgroep, ICE en evt aanvullend levensreddende informatie en je doet dat wat je wil bereiken met automatiseren. Je bent van 95% van je fraude af, behandeling en medicijnen kunnen stap voor stap worden gecontroleerd en medische missers zullen waarschijnlijk ook met minstens 60% afnemen.
Dat chipje kost je misschien eenmalig € 0.25 en je hoeft niet eens software te bedenken een plaatje op die chip te zetten met wat aanvullende data. Het bestaat allemaal namelijk al.
De technische verantwoordelijkheid?
Door het kluisprincipe toe te passen worden niet alleen levens gespaard en processen versneld en gesloten, beveiligingskosten vervallen omdat er op tal van niveaus zaken worden vereenvoudigd waardoor deze, juist door het gebruiken van kluisprincipe, volkomen beheersbaar en inzichtelijk wordt.
Denk hier bijvoorbeeld dat een patiënt na elke (be)handeling een toestemming geeft, met dat pasje, een goedkeuring voor betalen af te geven voor de zorgverzekeraar. rare doublures worden voorkomen en ook ziekenhuis processen vereenvoudigen.
Fouten die doden en stijgende kosten veroorzaken
Verschillende malen heb ik voor IT en Non IT de impotentie en totale waanzin van een Ab Klink, Edit Schipper, Jetta Klijnsma en Martin van Rijn inzichtelijk gemaakt. Namelijk dat je van menselijke gezondheid een geprivatiseerde commodity zou kunnen maken. Dat, dat is namelijk een politieke en commerciële leugen van de bovenste plank.
IT inzetten waarvoor IT dient. Het automatiseren van veel voorkomende dezelfde handelingen en daardoor besparen. Of dit besparen tijd en daardoor financiële winst is, is dan een aardig bijkomstigheid. Besparen betekend soms ook gewoon NIET automatiseren.
Maar tja, dat is weinig commercieel of politiek…
Natuurlijk….
Eens dat automatiseren efficient is bij repeteerbare handelingen.
Kennis is macht, denk dat het principe van, alles is nog bij je te houden, in de huidige wereld wat utopisch is (Is een intranet nog altijd intra?). Dat de gezondheidszorg commodity zou zijn heb ik van Rijn, Schippers of Klink nog nooit zonder heel veel nuance horen zeggen. Hoor wel standaardisatie. Kwaliteitshandboeken met 10 verschillende manieren van bloedprikken, los ontwikkeld in elk ziekenhuis, zou toch een keertje voorbij moeten zijn. Kennis moeten we delen en dat kan simpelweg niet met gesloten systemen.