Zorg doet er goed aan ‘nul vertrouwen’ te hebben
Voor een sector die zich voortdurend beklaagt over gestold wantrouwen mag het een vreemd advies lijken. Maar als het op IT aankomt, doen zorgaanbieders er dit jaar goed aan de principes van nul vertrouwen of ‘zero trust’ te omarmen. Ga er maar van uit dat slechteriken al binnen zijn en zorg vooral dat ze niet overal bij kunnen.
“Nul vertrouwen is geen kwestie van technologie”, legt Joshua Magady van het Amerikaanse digitaal veiligheidsadviesbureau 1898 & Co uit in Healthleaders Media. “Het is in feite een methodologie. Het uitgangspunt is dat buitenstaanders je netwerken al zijn binnen gedrongen. Dat betekent dat je minder moet gaan vertrouwen op je externe veiligheidsperimeter.”
Nieuwe kwetsbaarheden
In het licht van de sterk groeiende ransomware-aanvallen op zorginstellingen, is een kritische blik op eigen systemen geen overbodige luxe. Zeker wanneer veelgebruikte software telkens weer kwetsbaarheden blijkt te hebben. Denk alleen maar even de wereldwijde problemen met de Java log tool Log4j, die eind vorig jaar naar buiten kwamen.
Segmentering
Vanzelfsprekend doen organisaties er nog steeds goed aan om een stevig slot op de voordeur te houden. Maar daarnaast moet er veel meer aandacht komen voor segmentering van het netwerk. Dit betekent bijvoorbeeld het plaatsen van poortjes, die de gebruiker pas mag passeren na hernieuwede authenticatie. Een andere maatregel is het actief volgen van ongebruikelijke activiteiten op het netwerk.
Kasteel
“Vergelijk het met een kasteel”, zegt Magady. “Je kunt de ophaalbrug ophalen, maar als de indringer al binnen is, kan hij in principe het hele kasteel door. In een zero-trust omgeving is de toegang naar andere delen van het kasteel nog steeds afgesloten.”
In de VS is het principe van ‘zero trust’ al ten dele vastgelegd in officiële richtlijnen. In mei zette president Biden zijn handtekening onder decreet 14028 met de veelzeggende titel ‘Verbetering van de Nationale Cyberveiligheid’. Volgens critici is het stuk nog te vrijblijvend. Omdat het een richtlijn betreft, kent non-compliance geen gevolgen.
Eigen gebruikers als risico
Toepassing van striktere digitale veiligheidsmaatregelen belooft in de zorg sowieso een flinke klus te worden. In de Security Navigator 2022 wijst Orange Cyberdefense de zorgsector opnieuw aan als de sector met het hoogste aantal netwerk-gerelateerde veiligheidsincidenten. Het gaat daarbij om onder meer pogingen om het netwerk binnen te komen, verdachte uitgaande lijnen en ongeautoriseerd informatiegebruik.
Niet zelden beginnen de incidenten bij de eigen gebruikers. Geen sector met zoveel officieuze workarounds en potentieel ongewenste programma’s. Vaak zijn die geboren uit specifieke klinische behoeftes of persoonlijke voorkeuren van gebruikers. Ook worden ze ingezet om verouderde applicaties in de lucht te houden. Hoe het ook zij “historisch gezien lijkt dit te onderstrepen dat de zorg de sector is waarbinnen de eigen gebruikers het grootste risico vormen”, aldus Orange Cyberdefense.
Opnieuw inloggen
De soms opportunistische omgang met software in de zorg maakt de toepassing van ‘zero trust’ er niet makkelijker op. ‘Zero trust’ zal er toe leiden dat gebruikers zich vaker zullen moeten authenticeren. Geen zorgprofessional zit er natuurlijk op te wachten om om de haverklap opnieuw te moeten inloggen.