Iedereen die ooit contact heeft gehad met een huisarts, apotheek of specialist in het ziekenhuis weet dat ook in de zorg met grote snelheid wordt gedigitaliseerd. Patiëntgegevens worden uitgewisseld tussen zorgverleners en indien nodig met ketenverwerkers. Zorgdienstverleners zijn constant op zoek naar nieuwe technologieën ter bestrijding en behandeling van een ziekte. Technologieën ontwikkelen zich razendsnel en zijn een belangrijke drijfveer, terwijl ook de snelheid op het gebied van informatievoorziening toeneemt. Hierdoor ontstaat echter een grotere digitale afhankelijkheid.
Digitale afhankelijkheid en risico’s
Digitale afhankelijkheid brengt risico’s met zich mee, bijvoorbeeld als het gaat om dreigingen die de continuïteit en kwaliteit van de zorg verstoren. Om continue en kwalitatieve zorg te blijven garanderen is een dynamische aanpak vereist. Eentje die voortdurend aangepast moet worden om veranderende risico’s te detecteren, te analyseren en te reageren wanneer dit wordt vereist. Volgens het Nationaal Cyber Security Centrum vormen beroepscriminelen en kwaadwillenden nog altijd het grootste risico. Zij richten de meeste schade aan door onder andere digitale sabotage en spionage, met als gevolg discontinuïteit binnen een organisatie. Voor zorgdienstverleners betekent dit dat patiënten niet worden geholpen, omdat poliklinieken dicht gaan en operaties worden uitgesteld.
Maatregelen
Ter voorkoming van deze digitale dreiging is het van belang dat de juiste maatregelen worden genomen, teneinde goede zorg te kunnen blijven leveren zodat het belang van de patiënten altijd voorop gesteld wordt. Deze maatregelen worden onder andere omschreven in de NEN 7510. Een onderdeel wat bij zorgcontinuïteit en informatiebeveiliging zeer belangrijk wordt geacht is een Information Security Management Systeem. Sinds 1 juli 2017 is de NEN 7510 verplicht geworden voor zorgorganisaties en handhaaft de IGJ (Inspectie gezondheidszorg en jeugd) op basis van dit normenkader. Een certificering is momenteel (nog) niet verplicht, maar is wel van belang ten einde aan te tonen dat is voldaan aan de normen en eisen die binnen de NEN 7510 gesteld worden. Het gaat er hierbij niet om dat tot in detail wordt voldaan aan alle richtlijnen, maar dat de organisatie haar informatiehuishouding adequaat heeft geregeld en dit ook kan laten zien.
Tesorion heeft binnen de zorgsector inmiddels haar sporen verdiend. De dienstverlening is daarbij afgestemd op de manier waarop een zorgdienstverlener haar cybersecurity heeft ingericht. Dat kan variëren van specifieke T-Core dienstverlening om te voldoen aan NEN 7510, ‘CISO-as-a-Service’ tot de inzet van het CERT-team voor noodgevallen.
Hieronder geven we kort weer welke normen er gelden. Daarbij wordt per stap/ type cybersecurity-oplossing aangegeven hoe implementatie helpt om aan die specifieke norm te voldoen. Omdat Tesorion gelooft in een ‘open’ concept, wordt daar waar mogelijk reeds bestaande hardware opgenomen in de totaaloplossing.
Modulaire aanpak/ opbouw
Wordt cybersecurity binnen een organisatie (verder) geprofessionaliseerd, of als interne organisatie ingericht, dan is een eerste stap over het algemeen de implementatie van security monitoring.
- Beveiliging van netwerkdiensten
Inzicht in verdachte datastromen. Deze kunnen tot gevolg hebben dat de zorgdienstverlener te maken krijgt met het wegvallen van de beschikbaarheid. Norm 13.1.2. - Informatiebeveiligingsgebeurtenissen
Informatiebeveiligingsgebeurtenissen moeten worden beoordeeld om te bepalen of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten. Norm 16.1.4.
Er zijn diverse manieren om dit in te vullen. Dit is mede afhankelijk van de omvang en het kennisniveau van de IT-afdeling binnen de zorgdienstverlener. Tesorion Immunity is uitermate geschikt als voor geautomatiseerde detectie en reactie. Echter regelmatig blijkt een interne afdeling de handen vol te hebben en is er weinig tijd en budget om ervoor te zorgen dat het kennisniveau van medewerkers op peil blijft. Een Security Operations Centre (SOC) kan dan uitkomst bieden om toch de veiligheid van data en systemen te kunnen garanderen. - Kwetsbaarheden management
Informatie over technische kwetsbaarheden van systemen, servers, netwerkcomponenten en applicaties kunnen overzichtelijk worden getoond en geprioriteerd aan de hand van de vastgestelde business kritische systemen. Norm 12.6.1. - Respons op informatiebeveiligingsincidenten
Op informatiebeveiligingsincidenten reageren in volgens de procedures. Het T-CERT assisteert en helpt bij het triageren en mitigeren van aanvallen, met daarbij begeleiding bij het opstellen van de juiste procedures. Norm 16.5.1.
- Lering uit informatiebeveiligingsincidenten
Kennis vanuit informatiebeveiligingsincidenten te wordt gebruikt de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. Het is van belang dat een groeipad voor ogen wordt gehouden, waarbij lering wordt getrokken uit eerdere incidenten. Norm 16.1.6. - Het verzamelen van bewijsmateriaal
Procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen. A.16.1.7. - Systemen
Systemen die persoonlijke informatie over patiënten verwerken, worden beveiligd door het Security Information & Event Management (SIEM). Hier wordt bijgehouden welke gebruiker via dit systeem toegang krijgt, informatie bewerkt of verwerkt en kan een auditverslag aanleveren met juiste bewijzen Norm 12.4.1. - Auditregistraties
Auditregistraties beveiligd in het SOC van Tesorion waarbij deze niet door medewerkers gemanipuleerd kunnen worden. Norm 12.4.2. - Logbestanden
Het SIEM kan logbestanden van beheerders en operators verzamelen en deze correleren waarbij getoetst wordt of deze activiteiten verdacht zijn 12.4.3. - Bewijsmateriaal
Door uitgevoerde acties, wijzigingen en overige activiteiten in de vorm van logging vast te leggen, wordt bewijsmateriaal gevormd. Norm 16.1.7.
Met een stapsgewijze aanpak biedt Tesorion een duidelijk pad met concrete diensten om ervoor te zorgen dat de kwaliteit van goede zorg gewaarborgd is en blijft. Een veilige omgeving, zowel fysiek voor patiënten, cliënten en medewerkers, als digitaal!
