Zorg doet er goed aan ‘nul vertrouwen’ te hebben

Volgend artikel: Toezichthouder heeft rol bij mensgericht digitaliseren
Lees meer

Voor een sector die zich voortdurend beklaagt over gestold wantrouwen mag het een vreemd advies lijken. Maar als het op IT aankomt, doen zorgaanbieders er dit jaar goed aan de principes van nul vertrouwen of ‘zero trust’ te omarmen. Ga er maar van uit dat slechteriken al binnen zijn en zorg vooral dat ze niet overal bij kunnen.  

“Nul vertrouwen is geen kwestie van technologie”, legt Joshua Magady van het Amerikaanse digitaal veiligheidsadviesbureau 1898 & Co uit in Healthleaders Media. “Het is in feite een methodologie. Het uitgangspunt is dat buitenstaanders je netwerken al zijn binnen gedrongen. Dat betekent dat je minder moet gaan vertrouwen op je externe veiligheidsperimeter.”

Nieuwe kwetsbaarheden

In het licht van de sterk groeiende ransomware-aanvallen op zorginstellingen, is een kritische blik op eigen systemen geen overbodige luxe. Zeker wanneer veelgebruikte software telkens weer kwetsbaarheden blijkt te hebben. Denk alleen maar even de wereldwijde problemen met de Java log tool Log4j, die eind vorig jaar naar buiten kwamen.

Segmentering

Vanzelfsprekend doen organisaties er nog steeds goed aan om een stevig slot op de voordeur te houden. Maar daarnaast moet er veel meer aandacht komen voor segmentering van het netwerk. Dit betekent bijvoorbeeld het plaatsen van poortjes, die de gebruiker pas mag passeren na hernieuwede authenticatie. Een andere maatregel is het actief volgen van ongebruikelijke activiteiten op het netwerk.

Kasteel

“Vergelijk het met een kasteel”, zegt Magady. “Je kunt de ophaalbrug ophalen, maar als de indringer al binnen is, kan hij in principe het hele kasteel door. In een zero-trust omgeving is de toegang naar andere delen van het kasteel nog steeds afgesloten.”

In de VS is het principe van ‘zero trust’ al ten dele vastgelegd in officiële richtlijnen. In mei zette president Biden zijn handtekening onder decreet 14028 met de veelzeggende titel ‘Verbetering van de Nationale Cyberveiligheid’.  Volgens critici is het stuk nog te vrijblijvend. Omdat het een richtlijn betreft, kent non-compliance geen gevolgen.

Eigen gebruikers als risico

Toepassing van striktere digitale veiligheidsmaatregelen belooft in de zorg sowieso een flinke klus te worden. In de Security Navigator 2022 wijst Orange Cyberdefense de zorgsector opnieuw aan als de sector met het hoogste aantal netwerk-gerelateerde veiligheidsincidenten. Het gaat daarbij om onder meer pogingen om het netwerk binnen te komen, verdachte uitgaande lijnen en ongeautoriseerd informatiegebruik.

Niet zelden beginnen de incidenten bij de eigen gebruikers. Geen sector met zoveel officieuze workarounds en potentieel ongewenste programma’s.  Vaak zijn die geboren uit specifieke klinische behoeftes of persoonlijke voorkeuren van gebruikers. Ook worden ze ingezet om verouderde applicaties in de lucht te houden. Hoe het ook zij “historisch gezien lijkt dit te onderstrepen dat de zorg de sector is waarbinnen de eigen gebruikers het grootste risico vormen”, aldus Orange Cyberdefense.

Opnieuw inloggen

De soms opportunistische omgang met software in de zorg maakt de toepassing van ‘zero trust’ er niet makkelijker op. ‘Zero trust’ zal er toe leiden dat gebruikers zich vaker zullen moeten authenticeren. Geen zorgprofessional zit er natuurlijk op te wachten om om de haverklap opnieuw te moeten inloggen.

 

Philip van de Poel Auteur
Lees meer

Deel

Leidraad geeft richting aan AI in de zorg
Lees meer
‘E-health is in ggz geen eenmalige tijdsinvestering’
Lees meer
Kleine ziekenhuizen worstelen met kosten IT
Lees meer
Slimme bed-app verlicht nachtdienst
Lees meer
Toezichthouder heeft rol bij mensgericht digitaliseren

Digitalisering komt terug in alle onderwerpen die bij de raad van toezicht langskomen. Leden van de raad van toezicht die zelf geen kennis en ervaring hebben met digitaliseren, weten niet welke thema’s erdoor geraakt worden. Het wordt tijd voor een digicommissaris.

Ilonka Coenraad Auteur
Lees artikel

Maak een account aan

Om artikelen aan je leeslijst toe te voegen en om artikelen en events met bepaalde thema’s of van specifieke organisaties of auteurs te volgen, dien je ingelogd te zijn met je Mijn Hub account.

Registreer je Of log in