Eén verkeerde klik op een phishing email en duizenden gegevens zijn versleuteld. Ziekenhuizen zijn een lucratieve clientèle voor criminelen, maar ook voor systeemhuizen. De laatsten kunnen zich met een Eset-certificering als beveiligingsexperts positioneren.
Gecodeerde patiëntgegevens, valse MRI-beelden en onzorgvuldig gebruikersgedrag: Ziekenhuizen, klinieken en medische praktijken investeren meer geld dan ooit tevoren in moderne IT- en beveiligingsoplossingen vanwege de huidige dreigingssituatie. Want voor cybercriminelen is de gezondheidszorg een interessant doelwit met bijzonder gevoelige gegevens, zoals Maik Wetzel, Strategic Business Development Director DACH bij Eset, uitlegt.
Wetzel doet verslag van een geval waarin een aanvaller toegang wist te krijgen tot de patiëntgegevens van een ziekenhuis en verschillende MRI-beelden zo wist te manipuleren dat de diagnoses niet meer klopten. De crimineel gebruikte deze valse bestanden om het ziekenhuis te chanteren.
“Dit en vele andere gevallen laten duidelijk zien dat de aanvallen steeds geraffineerder en doelgerichter worden. Gegevensencryptie gaat tegenwoordig ook veel sneller en efficiënter dan een paar jaar geleden,” aldus Wetzel. Het goede nieuws is dat, als de juiste instrumenten worden gebruikt, de verantwoordelijken zeer goed zijn in het herkennen van anomalieën. Instellingen zonder eigen beveiligingsteams zijn aangewezen op de hulp van externe dienstverleners.
Maar hoe vindt u de juiste deskundige? De beveiligingsfabrikant Eset kent het keurmerk “Premium Partner Healthcare” toe aan systeemhuizen binnen zijn eigen partnerprogramma die zich hebben gespecialiseerd in IT-beveiliging in de zorgsector. Dit biedt klinieken een hulpmiddel bij het nemen van beslissingen bij het selecteren van een geschikte partner.
De basisvoorwaarde voor certificering is de jarenlange ervaring van de partner met projecten in de gezondheidszorg en met Eset-producten. Aan de laatste eis wordt voldaan door dienstverleners die de status van Gold of Platinum hebben. Bovendien is een regelmatige uitwisseling tussen de partners en Eset verplicht om de verkoopactiviteiten, projectontwikkelingen en extra ondersteuning voor de eindklanten te coördineren.
Nadine Reinsdorf, Key Account Manager bij WBS IT-Service
Partners bewijzen hun kennis specifiek voor de gezondheidszorgsector door met succes een online training te volgen voor IT-dienstverleners bij de Federale Sociale Zekerheidsdienst. Bovendien moeten zij over de technische voorwaarden en de nodige bekwaamheid beschikken om projecten te kunnen uitvoeren overeenkomstig de richtsnoeren van het Toekomstfonds voor ziekenhuizen (KHZF) overeenkomstig §21, lid 2.
Daarnaast kunnen IT-dienstverleners die met artsenpraktijken werken, zich laten certificeren door de Landelijke Vereniging van Artsen voor Wettelijke Ziektekostenverzekeringen (KBV). Hiermee bewijst de partner dat hij een holistische aanpak hanteert voor het treffen van IT-beveiligingsmaatregelen in panelartsen- en panel-tandartsenpraktijken op basis van de IT-beveiligingsrichtlijn volgens §75b Sociaal Wetboek 5 (SGB V).
“Het IT-beveiligingsconcept moet wendbaar en dynamisch zijn, zodat het niet telkens opnieuw hoeft te worden aangepast wanneer er oplossingen en processen in het ziekenhuis worden geïntroduceerd of gewijzigd”, zegt Nadine Reinsdorf, Key Account Manager bij WBS IT-Service. De dienstverlener zegt al 20 jaar actief te zijn in de gezondheidszorg. Met de toenemende digitalisering is de business echter alleen maar in een stroomversnelling geraakt.
Maik Wetzel, Strategic Business Development Director DACH bij Eset
Volgens Reinsdorf moet een zorginstelling in staat zijn om drie competenties binnen een beveiligingsconcept te implementeren, waarbij ze hulp krijgen van de systeemhuizen:
- Preventie: het voorkomen van een aanval, met behulp van moderne oplossingen zoals authenticatie, netwerkbeveiliging en kwetsbaarheidsbeheer
- Detectie: Een aanval detecteren en analyseren, waarvoor onder andere SIEM (Security Information and Event Management) en een SOC (Security Operations Center) nodig zijn
- Mitigatie: maak gebruik van back-up- en archiveringsoplossingen om na een beveiligingsincident snel weer operationeel te kunnen zijn
Omdat volgens Wetzel klassieke endpointbeveiliging alleen niet meer voldoende is, beveelt Eset het concept van een multi-secured endpoint aan. Hier worden aanvullende maatregelen gebruikt, zoals multifactorauthenticatie, encryptie of cloud sandboxing.
Maar cyberdreigingen zijn niet de enige drijfveer voor investeringen. Wettelijke minimumeisen en uitgebreide financieringsprogramma’s op federaal en deelstaatniveau zijn ook bedoeld om de digitalisering van de gezondheidszorg te versnellen.
De taak van de systeemhuizen is om ziekenhuizen, klinieken en praktijken vanaf het allereerste begin te adviseren: Welke financieringsprogramma’s zijn er? En hoe kan men financiering aanvragen?
Het is belangrijk om de huidige situatie van de eindklant van tevoren te beschrijven. Op die manier bepalen de verantwoordelijken welke maatregelen nodig zijn, of de aankopen in aanmerking komen voor financiering en welk financieringsbedrag het ziekenhuis kan aanvragen.
Er zijn veel financieringsprogramma’s die gericht zijn op de digitalisering van de gezondheidszorg. Enerzijds zijn er Europese programma’s, zoals het EU-actieprogramma voor gezondheid. Anderzijds regionale financiering, zoals eHealthSax van de Saksische Ontwikkelingsbank.
Het investeringsprogramma met waarschijnlijk het grootste bereik is de Wet Ziekenhuisfutures (KHZG). Daarvoor stelt de federale regering sinds 1 januari 2021 drie miljard euro ter beschikking “zodat ziekenhuizen kunnen investeren in moderne noodcapaciteit, digitalisering en hun IT-beveiliging”. De deelstaten moeten nog eens 1,3 miljard euro bijdragen.
Het bijzondere van de KHZG is dat samenwerking met een IT-dienstverlener verplicht is voor ziekenhuizen om financiering te ontvangen. Zoals Reinsdorf uitlegt, wil de federale regering door middel van een zogenaamde verificatie garanderen dat de investeringen te allen tijde zinvol, economisch en duurzaam zijn. Regelmatige uitwisseling met de respectieve federale staat is ook verplicht voor ziekenhuizen en dienstverleners. Daarbij moet de status van het project worden meegedeeld, zodat de deelstaat kan nagaan of het project nog binnen de werkingssfeer van het financieringsprogramma valt.
Zoals Wetzel meldt, zijn er tot nu toe slechts enkele partners die de status van Premium Partner Healthcare hebben bereikt. Dit heeft vooral te maken met de vele voorschriften en complexe eisen waaraan de zorgsector moet voldoen en waarvoor partners knowhow moeten opbouwen.
De wettelijke eisen zijn onder andere de IT-beveiligingswet 2.0, de KRITIS-verordening en de NIS-richtlijn.
Hoewel het werk in de gezondheidszorg veel vergt van systeemhuizen, wordt het zegel goed ontvangen door Eset-partners, aldus Wetzel. Het stelt hen immers in staat zich van de concurrentie te onderscheiden.
Eset ondersteunt de zorgpartners met adviesdiensten over de IT-beveiligingsconcepten en de oplossingen, pre-sales, ondersteuning bij webinars met eindklanten, marketing en co-branding.
Vanaf het moment van uitgifte heeft het keurmerk een maximale geldigheid van twee jaar, mits de partner aan de eisen blijft voldoen.