Cybersecurity buiten de ‘muren’ van de zorginstelling: hoe stappen cure- en care-organisaties veilig over naar de cloud?
Cure- en care-organisaties zijn essentieel binnen onze samenleving. Want daar worden mensen respectievelijk beter gemaakt en verpleegd. Helaas zijn dergelijke zorginstellingen een geliefd doelwit voor kwaadwillenden. Al jaren staan zorgorganisaties in de top van zogeheten 'hot targets', juist omdát ze inmiddels sterk afhankelijk zijn van IT, over veel gevoelige informatie beschikken én een cyberincident een ware ramp is. (Een simpele Bing-zoektocht verduidelijkt welke impact ransomwareaanvallen en datalekken in het recente verleden op ziekenhuizen hebben gehad.)
Onze verwachting is dat dit risico de komende jaren zeker niet zal afnemen, onder andere omdat er steeds meer IoT- en IoMT-devices komen. Ziekenhuizen en revalidatiecentra gebruiken in toenemende mate slimme (medische) apparaten die aan het internet verbonden zijn. Daardoor krijgen hackers letterlijk nóg meer access points. De vraag is: hoe kun je hier het best mee omgaan?
‘Kroonjuwelen’ in de cloud: kán dat wel?
De zorg wordt momenteel gekenmerkt door een behoorlijk veelzijdig en traditioneel IT-landschap. Veel organisaties besteden activiteiten rondom beheer en security mondjesmaat uit, omdat zij hun ‘kroonjuwelen’ (patiënt- en onderzoeksgegevens) liever binnen de eigen muren lijken te willen houden. Dat voelt vaak een stuk veiliger aan, want daar werken immers collega’s die alles van de lokale omgeving weten. Ook zij houden vaak liever zelf de regie.
Deze koudwatervrees is zeer begrijpelijk. Als zorgorganisatie ben je immers bezig met mensenlevens. Dan ga je niet over één nacht ijs. Als je je data in de cloud zet, lijken deze misschien ongrijpbaar. En is een clouddienst eigenlijk wel mogelijk qua budget? Heb je de financiële middelen voor een oplossing én voldoende mensen met de juiste kennis om de implementatie en adoptie goed te begeleiden?
Dergelijke vragen zijn terecht. In de zorg zijn applicaties en systemen enorm met elkaar verweven. Het is niet makkelijk om dat geheel te ontrafelen en er een goede strategie op los te laten. Daarvoor heb je externe kennis en ondersteuning nodig, die behoorlijk prijzig kan zijn.
Er is een snellere oplossing, die groeit in populariteit: SaaS-diensten. Vooral kleinere zorginstellingen kiezen hier steeds vaker voor (wellicht omdat zij vaak enigszins wendbaarder zijn dan de wat grotere ziekenhuizen). Een goede ontwikkeling, vinden wij. Want hoewel de zorgen rondom de cloud zeer begrijpelijk zijn, kun je niet eeuwig on-premise blijven opereren. Juist dát zorgt voor te veel risico’s en te weinig flexibiliteit in een snel veranderende wereld.
Een overstap naar een SaaS-dienst daarentegen, levert de nodige voordelen op: minder werk aan technische randzaken, meer focus op je kerntaken (rondom het leveren van goede zorg) en — vaak — een kostenbesparing.
Managed eXtended Detection and Response
Verantwoord overstappen: welke basismaatregelen kun je treffen?
Een cloudtransitie brengt je veel, maar heeft wel impact. Bij elke stap moet je je afvragen welke privacy- en securityrisico’s hieraan verbonden zijn en welke securitymaatregelen dus juist nu relevant voor je worden. Het is cruciaal dat je hier in een zo vroeg mogelijk stadium mee start en ermee doorgaat — tijdens én na afronding van de transitie. Omdat het landschap blijft veranderen, is een continue impact assessment essentieel.
Over het algemeen helpt het om de volgende basismaatregelen te treffen:
- Risicoanalyses uitvoeren en een duurzaam securityprogramma hebben;
- Multifactorauthenticatie toepassen;
- Een datamanagementbeleid hebben en data-encryptie toepassen;
- Patchmanagement en life-cycle-management van je software op orde hebben;
- Goede back-up- en recoveryplannen hebben;
- Een security-awareness-programma aanbieden aan medewerkers.
Van traditioneel naar modern: het belang van een routekaart
Heb je nog een veelzijdig en traditioneel IT-landschap? Dan kun je je cloudreis niet zonder routekaart gaan maken. Hierop staat hoe het landschap er uiteindelijk uit moet komen te zien en wat dat betekent qua inspanningen en doorlooptijd. Daarnaast neem je het securityperspectief mee — dat is geen optie, maar een ‘fundamental’. Alleen als je van tevoren verduidelijkt waarom je bepaalde securitymaatregelen treft, kun je het grote plaatje overzien.
Tijdens het opstellen van een routekaart kom je soms ook tot verrassende inzichten — zeker als je met een externe expert werkt. Bij zo’n grote onderneming is dit laatste cruciaal, omdat je juist door een externe frisse blik een integraal perspectief krijgt.
Samenwerken aan een veilige zorgtoekomst: wat biedt een goede externe partner?
- Ervaring in de zorgsector
Een cloudtransitie brengt veel voordelen met zich mee, maar alléén als je deze goed aanpakt. Kies daarom voor een partij die deze reis eerder met zorginstellingen heeft gemaakt. Een dergelijke expert heeft veel opgestoken binnen jouw sector en kan best practices delen waar je van kunt leren.
- Concrete assessments
Een goede externe partner moet je kunnen helpen bij het uitvoeren van risico-inventarisaties en geeft inzicht in aanvalsscenario’s. Krijg je onverhoopt toch te maken met een aanval, dan is het belangrijk dat de partij in kwestie hier adequaat op reageert.
- Kennis van (de impact van) technologie
Allereerst moet een externe partij de technologie die jij gebruikt door en door kennen. Maar een goede partner begrijpt ook wat het voor een zorgorganisatie betekent als die technologie (en daarmee bepaalde informatie) niet beschikbaar is. Alleen dán krijg jij de hulp die je in een dergelijke situatie nodig hebt.
- Oog voor de zorgmedewerker
Mensen die in de zorg werken, doen dit vaak vanuit een roeping. Zij willen mensen beter maken en gaan veelal uit van het goede in de mens. Securityrisico’s zijn begrijpelijkerwijs geen prioriteit voor hen. Een goede partner houdt daar rekening mee en zet de juiste middelen in om hen te bereiken. Via security-awareness-programma’s maakt deze externe partij hen bewust van de risico’s die juist in de zorg bestaan. Het is overigens belangrijk dat deze programma’s afgestemd kunnen worden op jóuw medewerkers.
Jouw reis naar de cloud verkennen?
Heb jij nog te maken met een traditioneel landschap? Overweeg je een overstap naar de cloud, maar breekt het zweet je uit bij de gedachte? En kun je daarom wel wat hulp gebruiken bij het verkennen van jouw reis? Neem gerust eens contact met ons op. We bespreken jouw kansen en uitdagingen graag.
Wil je jouw cure- of care-organisatie vooral beschermen tegen securityincidenten en datalekken? Via onze MDR-dienst dienen we je van concreet advies en helpen we je maatregelen te treffen. Zo verklein je het risico op een aanval op je patiëntgegevens aanzienlijk.