Volg Software Zaken

Security in de gezondheidszorg is een zorgpunt

| Tijs Hofmans | Security

In weinig industrieën lijken persoonlijke gegevens zo gevoelig als in de gezondheidszorg. Uitgerekend daar heerst de verwachting dat data extra goed opgeslagen en beveiligd wordt – immers, we houden onze gezondheidsdata angstvallig anoniem. De praktijk is weerbarstiger. Juist in zorginstellingen is de beveiliging vaak slecht op orde, en dat kan tot veel problemen leiden.

Voor de gemiddelde Nederlander lijken gezondheidsgegevens al snel waardevoller dan bijvoorbeeld financiële data. Niemand wil immers dat bekend wordt welke kwaaltjes hij of zij heeft. Toch mankeert er juist in de gezondheidssector nog vaak veel aan de beveiliging van persoonlijke gegevens. Er worden steeds meer gegevens verzameld, en dat maakt het voor criminelen steeds interessanter achter gegevens aan te gaan. Tegelijkertijd stijgen de budgetten en kennisniveau’s in de medische wereld niet genoeg mee.

Patïentendossier

Er wordt bijvoorbeeld steeds meer data van patiënten centraal opgeslagen. Inmiddels is het landelijke Elektronisch Patiëntendossier (het EPD) van de baan, maar dat heeft plaatsgemaakt voor een niet veel veiligere oplossing. Zorginstellingen mogen nu hun eigen databases met patiëntengegevens bouwen en moeten via het Landelijk Schakelpunt koppelen aan elkaar. Dat zorgt voor een wildgroei aan verschillende systemen en databases, met net zoveel verschillende beveiligingsstandaarden.

Er is wel één lichtpuntje: medische gegevens zijn zo gevoelig dat ze goed worden beschermd onder de AVG, de privacywet die sinds mei dit jaar van kracht is. Medische gegevens gelden daarbij als bijzonder persoonsgegevens en genieten dan ook extra bescherming.

Als een instelling medische gegevens verzamelt is het ook nodig om een Functionaris Gegevensbescherming in dienst te nemen – daar ziet de Autoriteit Persoonsgegevens streng op toe. Zo’n FG weet in een bedrijf precies wat wel en niet mag op het gebied van persoonlijke data. (Voor meer info, lees onze uitgebreide gids over het aanstellen van een Functionaris Gegevensbescherming)

Medische, of persoonlijke gegevens?

Toch zijn in de gezondheidszorg vaak niet de medische gegevens die zo interessant zijn voor inbrekers. Die kunnen daar uiteindelijk niet zo heel veel mee. Bij de meeste inbraken in de sector zijn hackers eerder geïnteresseerd in de vele andere gegevens die zorginstellingen opslaan: NAW-gegevens, geboortedata, BSN’s, en in sommige gevallen zelfs kopieën van paspoorten of ID-bewijzen. Die gegevens zijn veel waardevoller om door te verkopen op het dark web. De maker van de Tor-browser gaf dat zelf ook toe: met de gegevens die ziekenhuizen opslaan is het makkelijk om identiteitsfraude te plegen.

Voor zorginstellingen is het dan ook niet alleen zaak de juiste IT-beveiligingsprotocollen door te voeren, maar eerst eens stil te staan bij welke gegevens er überhaupt worden verzameld – en of dat wel allemaal nodig is.

Beveiliging in ziekenhuizen is al langer een zorgpunt, zie bijvoorbeeld dit artikel over ziekenhuisbeveiliging uit 2016. De regels daarvoor zijn onder de AVG een stuk strenger geworden. Zo is er expliciete toestemming nodig van klanten en patiënten om gegevens te verzamelen, en moet er goed gedocumenteerd worden wie daar bijvoorbeeld toegang toe heeft en hoe die autorisatie wordt geregeld. Is het bijvoorbeeld wel echt nodig om BSN’s op te slaan of te koppelen aan een patiëntendossier? Door zulke informatie vooraf op papier te zetten (in een procedure meldplicht datalekken) heeft een zorginstelling een voorsprong als er toch een datalek plaatsvindt.

Ransomware

Gegevensdiefstal is echter lang niet het grootste probleem waar zorginstellingen mee kampen. Een flinke verstoring van het dagelijkse werk kan veel meer schade opleveren. En dat is toevallig waar ransomware erg goed in is. Bedrijven zijn veel sneller bereid daarvoor te betalen dan consumenten, blijkt uit verschillende onderzoeken. Dat is bij een zorginstelling extra het geval, want daar is spoedhulp belangrijk. Een tijdelijke verstoring van het werk kost dan niet alleen geld, maar misschien zelfs mensenlevens.

De schade van gijzelmalware was goed te zien tijdens de grote WannaCry-uitbraak in 2017. Die sloeg voor het eerst toe bij Britse ziekenhuizen, die door het agressieve virus plotseling niet meer bij computers en patiëntendossiers konden komen. Omdat computers op grote schaal niet meer te gebruiken waren konden veel crisisteams zelfs niet bij hun email. Uit een evaluatie bleek later dat het daardoor ook een stuk moeilijker was om het probleem op te lossen.

WannaCry

WannaCry was voor veel instanties een wake-up call, zelfs voor bedrijven die niet getroffen werden. Eén virus kan de boel namelijk goed in de war schoppen. Zelfs tools zoals No More Ransom bieden dan niet altijd een effectieve bestrijding.

Nadat de eerste WannaCry-storm was gaan liggen kwamen meer details over de malware naar boven. Die bleek misbruik te maken van een lek in het SMB-protocol in Windows Server. Dat lek was al lang bekend bij Microsoft, dat er zelfs maanden vóór de uitbraak een patch voor had uitgebracht. Veel systeembeheerders hadden die om één of andere reden echter niet doorgevoerd…

Het is niet gek dat uitgerekend ziekenhuizen slachtoffer werden van het lek. Zorginstellingen hebben hun cybersecurity vaak minder goed op orde. Ze kampen bijvoorbeeld met beperkte budgetten waardoor systeembeheerders niet genoeg tijd hebben om updates adequaat uit te voeren, en de apparatuur is vaak ouderwets.

De menselijke factor bij datalekken in de zorg is bovendien ook niet te onderschatten. Sterker nog, in de gezondheidssector is het percentage van menselijke fouten groter dan bij vrijwel andere diensten. Dat blijkt ook uit onderzoek. In het ‘Protected Health Information Data Breach Report‘ (PDF) van Verizon van eerder dit jaar bleek dat bij meer dan de helft van alle datalekken een menselijke factor meespeelde. Dat komt omdat zorgmedewerkers vaak veel minder bezig zijn met IT, en het te druk hebben om daar meer over te leren – ondanks het toenemende belang voor hun werkzaamheden.

De verantwoordelijkheid van goede databescherming ligt dan ook niet alleen in systeembeheer, maar ook in het kennisniveau van medewerkers. Voor hen is het belangrijk te leren over toegangsprotocollen, tweefactorauthenticatie, wachtwoord(her)gebruik en het herkennen van phishing-mails.

Windows XP

In ziekenhuizen wordt ook nog vaker dan gemiddeld gebruik gemaakt van Windows XP – hoewel dat besturingssysteem al sinds april 2014 geen officiële beveiligingsupdates meer krijgt. Dit komt doordat dat veel specialistische randapparatuur (zoals MRI-scanners) op heel specifieke firmware draait. Die is vaak alleen compatibel met Windows XP en het kost teveel geld om te upgraden. Dat is geen recente ontwikkeling: al in 2015 concludeerde Deloitte in een rapport dat de beveiliging van medische apparatuur ondermaats was.

Het is in de praktijk lastig zulke apparatuur goed te beschermen. Eén optie is om een air-gapped-netwerk te bouwen dat niet wordt aangesloten op internet. Dat maakt sommige werkprocessen lastiger (want werknemers moeten anders gaan handelen om informatie over te zetten), maar het is noodzakelijk.

Zorginstellingen zijn al met al interessante doelwitten voor hackers. Ze verzamelen veel persoonlijke gegevens, en zijn doorgaans kwetsbaarder voor aanvallen. ICT-beheerders doen er daarom goed aan vooral te kijken naar welke processen er in de organisatie worden gebruikt, en hoe werknemers die in de praktijk invullen. En vanzelfsprekend moet dat allemaal bovenop de standaard beveiligingsmaatregelen: tijdige updates, goede software, en juiste autorisatieprotocollen.

Foto: Rawpixel via Unsplash

Tijs Hofmans
Author: Tijs Hofmans
Tijs Hofmans is tech- en ruimtevaartjournalist. Hij schrijft voor diverse techtijdschriften en -websites, en is als freelancer verbonden aan SoftwareZaken om te schrijven over privacy en security. Hij is te bereiken via https://www.tijshofmans.nl