In vier stappen naar een integrale cybercontrole

Een veilige zorg door meer regie op cybersecurity

Een veilige zorg door meer regie op cybersecurity
  • Publicatie
  • 03 jul 2023

De zorgsector is de meest gehackte sector in Nederland. Volgens de Autoriteit Persoonsgegevens (AP) komt dit vooral doordat persoonlijke gezondheidsgegevens veel geld opleveren. Daarnaast moeten zorgorganisaties door aankomende wet- en regelgeving op korte termijn hun cybersecurity op orde hebben. Hoe zorgen zij ervoor dat ze cybersecurity volledig hebben afgedekt en daarmee de veiligheid van de patiënten garanderen? Een integraal raamwerk voor cybercontrole kan daarbij helpen.

‘Cybersecurity staat bij zorginstellingen zeker op de agenda’, zegt Jeroen Geelhoed, cyberspecialist bij PwC. ‘Maar de krappe arbeidsmarkt en de beperkte financiële middelen behoren ook tot de vele prioriteiten aan de bestuurstafel.’

Geelhoed en zijn collega’s Julia Sendula en Margriet Martin waarschuwen wel dat zorginstellingen met een achterstallige cybersecurityorganisatie een vergroot risico lopen. ‘Gaat er iets mis, dan heeft dit direct invloed op de veiligheid van de patiënt’, aldus Martin.

Cyberaanvallen hebben steeds meer impact

Dat het risico groot is, blijkt onder meer uit cijfers die AP onlangs publiceerde. Volgens de toezichthouder vindt 41 procent van de datalekken in Nederland plaats in ziekenhuizen en aanverwante organisaties. Z-CERT, expertisecentrum op het gebied van cybersecurity in de zorg, registreerde in 2022 65 procent meer ransomware-incidenten bij Europese zorginstellingen dan in 2021.

Het aantal aanvallen in Nederland was volgens Z-CERT niet toegenomen, maar het gaat wel om aanvallen met veel meer impact. Dit komt doordat instellingen steeds vaker gegevens uitwisselen, waardoor vaak meerdere instellingen in één aanval geraakt worden.

Naast dat dreigingen ingewikkelder worden, groeit de wet- en regelgeving navenant mee. De Wet digitale overheid, die recent is aangenomen, zorgt voor extra complexiteit rondom toegang tot digitale dienstverlening en gaat al op 1 juli 2023 in. De Inspectie Gezondheidszorg en Jeugd (IGJ) stelt dat ziekenhuizen eind 2023 aantoonbaar moeten voldoen aan de NEN7510-norm, die informatiebeveiligingsmaatregelen speciaal voor de zorg- en welzijnssector bevat. Ook treedt de NIS2-richtlijn in oktober 2024 in werking. Die zorgt ook voor een aanscherping en verbreding van de regels rondom de scope van sectoren, de handhaving van de wet en strengere sancties. 

Meer controle op cybersecurity door integraal raamwerk

‘Veel zorginstellingen willen hun cybersecurity wel verbeteren, maar we merken dat ze dit vaak lastig vinden’, geeft Sendula aan. ‘De verschillende normen en kaders, maar ook wet- en regelgeving, bevatten overlap in de uit te voeren risicoanalyses en de te implementeren maatregelen. Daardoor kijken instellingen vaak te fragmentarisch naar individuele kaders of naar afgebakende regelgeving.’

Het gevolg is dat zorginstellingen dubbel werk doen en het overzicht verliezen. Geelhoed: ‘Het is daarom belangrijk dat organisaties meer vanuit een overstijgend perspectief reflecteren op cybersecurity en met een doel voor ogen opereren. Dit kunnen ze  doen door hun cybercontrole te baseren op een integraal raamwerk.’ .

Zo’n raamwerk is een set aan maatregelen die de volledige weerbaarheid van een organisatie verbeteren. De maatregelen zorgen ervoor dat alle aspecten van cybersecurity binnen de organisatie worden afgedekt, cybersecurity efficiënt is ingericht en aansluit bij de prioriteiten van het zorgproces en de organisatie voldoet aan de geldende wet- en regelgeving. 

In vier stappen naar een raamwerk voor integrale cybercontrole

Een integraal cybercontroleraamwerk ontwikkelen omvat vier stappen: 

1. Kiezen van het fundament voor cybersecurity

U begint met het kiezen van een bestaand, veelgebruikt raamwerk. Dit is de basis voor het kiezen van de set aan controles. Door een goed raamwerk te kiezen, hoeft u de volledige lijst aan controles niet zelf te bedenken en bent u verzekerd dat u op meerdere vlakken binnen de organisatie beschermd bent. 

Er zijn verschillende raamwerken beschikbaar, zoals het CIS en het NIST-raamwerk. In de afbeelding staat een voorbeeld van het veelgebruikte NIST CSF 1.1 framework. Dit is hiervoor geschikt, omdat het een integraal model is dat alle belangrijke aspecten van cybersecurity raakt.

Hoe het NIST CSF 1.1 framework werkt

Het NIST CSF 1.1 framework bevat richtlijnen gericht op het mitigeren en beheersen van cybersecurityrisico’s. Het wordt gezien als een best practice in de cybersecuritywereld. De NIST focust zich op vijf functies, waarbij elke functie richtlijnen bevat voor het mitigeren van een risico binnen die functie. De functies zijn:

  • Identificeer: inventariseer wat u hebt en creëer beleid rondom verantwoordelijkheden en toegang.
  • Bescherm: bescherm uw data, monitor en log wat er gebeurt en train uw medewerkers.
  • Detecteer: monitor uw apparaten op verdachte activiteiten.
  • Reageer: creëer een ‘incident response plan’. 
  • Herstel: creëer een herstelplan voor na het incident.

 

2. Selecteren van op risicogebaseerde controles en verbinding maken met wet- en regelgeving

Vervolgens kiest u de gewenste maatregelen en maakt u verbinding met de geldende normen en de werkwijze binnen uw organisatie. Elke richtlijn uit de NIST verbinden we met een beheersmaatregel gericht op het beschermen van de organisatie, waardoor elke richtlijn een praktische toepassing krijgt. Dit noemen we de controles.

Dit omvat zowel digitale als fysieke beheersmaatregelen, zoals het verplichten van wachtwoorden voor accounts, het inzetten van beveiligingscamera’s en het opzetten van toegangsbeleid. Neem bijvoorbeeld de NIST-richtlijn ‘back-ups van informatie worden gemaakt, onderhouden en getest’. Beheersmaatregelen passend bij deze richtlijn zijn het installeren van back-upsoftware en het ontwikkelen van back-upbeleid.

Om de controles beter te laten aansluiten aan de wensen van uw organisatie, kunnen we het fundament uitbreiden door twee belangrijke onderdelen hieraan toe te voegen:

  • Verbinding met relevante normen
    Door de beheersmaatregelen te verbinden met de relevante wet- en regelgeving, krijgen we inzicht in hoeverre uw cybersecurityorganisatie voldoet.
  • Praktische toepassing bepalen
    Elke zorgorganisatie is anders en heeft andere prioriteiten. Voer daarom een risicoanalyse uit op de totale groep aan maatregelen. Welke maatregelen zijn verbonden aan de kritieke processen en moeten daarom geprioriteerd worden?

Deze beheersmaatregelen krijgen in de totale lijst aan maatregelen een zwaarder gewicht toegekend. In ziekenhuizen is bijvoorbeeld de continuïteit op de intensive care van groot belang. Beheersmaatregelen die in het verlengde liggen van deze continuïteit, krijgen dan een groter gewicht in de prioriteitstelling. Door deze beoordelingen te verbinden aan de grootste dreigingsrisico’s, ontstaat een integraal cybersecurityraamwerk dat ook een praktische toepassing kent.

Zo kunnen we de eerder bepaalde beheersmaatregelen voor de back-ups (installeren van back-upsoftware en opzetten van back-upbeleid) verbinden aan de NEN7510 en weten dat we voldoen aan dit deel van de norm. Vervolgens kijken we naar de invloed van de back-ups op de kritieke processen en bepalen we de prioritering daarvan.

3. Prioriteren en een plan ontwikkelen

Na de eerste twee stappen hebt u een overzicht van de meest relevante beheersmaatregelen voor uw organisatie die alle belangrijke aspecten afdekt. Na de beheersmaatregelen te hebben omgezet naar praktische maatregelen, kunt u stap 3 uitvoeren: een plan ontwikkelen voor het bewegen naar de gewenste volwassenheid.

Eerst bepaalt u het doel van het plan: welke volwassenheid wilt u als organisatie hebben? Welke volwassenheid is genoeg om de organisatie te beschermen en te voldoen aan wet- en regelgeving? Op basis van de antwoorden op deze vragen kunt u een plan ontwikkelen voor de implementatie.

Het beantwoorden van deze vragen en de ontwikkeling van het plan kunt u ook samen met andere zorgorganisaties oppakken. Niet alleen om de kosten te drukken, maar ook om gedeelde risico’s te kunnen benchmarken en elkaar te helpen om beter weerbaar te worden. Daarnaast kunt u het plan gebruiken als een verantwoording richting toezichthouders, om het ontwikkelproces te kunnen aantonen.

4. Implementeren van het plan

 Als laatste volgt de implementatie, die op dit punt is vergemakkelijkt door de goede voorbereiding.

Veilige zorg door integrale cybercontrole

‘In de zorg draait alles om kennis en informatie en het is een belangrijke verantwoordelijkheid van de bestuurder om daar zorgvuldig mee om te gaan. Met aankomende wet- en regelgeving en de toenemende dreiging is het van belang deze informatie beter te beschermen en daarmee uw cybersecurityorganisatie zo snel mogelijk in te richten’, aldus Geelhoed. 

‘De belangrijkste tip hierbij is om het verhogen van de weerbaarheid in uw organisatie niet fragmentarisch aan te pakken, maar een implementatieplan te ontwikkelen dat toewerkt naar integrale cybercontrole. Door cybercontrole integraal aan te pakken, is dit thema niet langer een moetje vanuit wet- en regelgeving, maar neemt u zelf de regie. Nu en in de toekomst. Hiermee blijven gegevens van patiënten en cliënten bij u in veilige handen.'

Hoe draagt u bij aan de duurzame toekomst van onze gezondheidszorg?

Kijk hoe wij u daarbij kunnen helpen.

Contact us

Jeroen Geelhoed

Jeroen Geelhoed

Director, PwC Netherlands

Tel: +31 (0)64 845 20 23

Volg ons