Cybersecurity bij zorginstellingen

himss

himssDe constante aanwezigheid van aanvallen op de digitale middelen moet een belangrijke motivatie zijn voor zorginstellingen om informatiebeveiliging tot bedrijfsprioriteit te verheffen. Tachtig procent van de zorginstellingen in 2016 heeft toegegeven dat hun organisatie recent een “significant veiligheidsincident” heeft meegemaakt. Dit blijkt uit een onderzoek dat gepubliceerd is in de 2016 HIMSS Cybersecurity Survey onder executives (43%) en Non-executives (57%) bij zorginstellingen in de VS.

Recente veiligheidsincidenten

Cyberaanvallen vormen een gevoelig onderwerp. Niemand zegt graag dat hij of zij slachtoffer is geweest van een online bedreiging. Het is dus voor te stellen dat de respondenten terughoudend zijn om informatie hierover vrijwillig met de onderzoekers te delen. Mogelijk ligt het aantal feitelijke aanvallen dus nog hoger dan uit het HIMSS-onderzoek blijkt.

In de onderstaande figuur staat een overzicht van de antwoorden van respondenten op de vraag of er recent significatie veiligheidsincidenten hebben plaatsgevonden bij hun zorginstelling.

tabel

 

 

 

 

 

 

 

 

 

 

 

 

 

De figuur laat zien dat 80 procent van de providers in 2016 toe dat hun organisatie een recente online bedreiging heeft ervaren.

Terwijl de zorginstellingen in het algemeen een goed begrip hebben van hun kwetsbaarheid, waren ze minder positief over hun vermogen hun ICT-infrastructuur te beschermen tegen cyberaanvallen te beschermen. Onderstaande tabel laat zien wat de reacties zijn op phishingaanvallen, virus- of malware-incidenten en het proactief aanpakken van de resultaten van een risicobeoordeling.

model

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Nu het aantal aanvallen blijkt toe te nemen, is het geen verrassing dat de aanbieders gemotiveerd zijn om hun informatiebeveiliging te verbeteren.

Bedrijfsprioriteit

De bevindingen van het HIMSS-onderzoek geven duidelijk aan dat de zorginstellingen tamelijk uniform zijn in het verhogen van informatiebeveiliging als een bedrijfsprioriteit. Deze bezorgdheid is met name afkomstig van een zorginstellingen die het meest gebruik maken van antivirus-, malware- en firewalltools, waarmee ze hun informatiebeveiligingsbehoeften aanpakken. Zij zien namelijk wat er op hen afkomt.

Het gebruik van single sign-on technologie, ondervangt niet de noodzaak voor een security awareness-training voor de eindgebruiker, een goede wachtwoordhygiëne en security tips (zoals geen schouder surfen en geen post-its met de SSO-inloggegevens op de PC).

Conclusie

Cybersecurity-aanvallen kunnen desastreuze gevolgen hebben voor zorginstellingen en de samenleving als geheel. Het is absoluut noodzakelijk dat zorginstellingen  de noodzaak erkennen cybersecurity aan te pakken en dienovereenkomstig te handelen. Gelukkig bewijst deze studie de aanname dat zorginstellingen steeds meer maatregelen nemen om cybersecurity problemen aan te pakken.

Er moet echter meer voortgang worden gemaakt, zodat zij bedreigingen echt een stap voor kunnen blijven. Het geven van voorlichting middels training van gebruikers over de gevaren die hen bedreigen, en het verhogen van het risicobewustzijn is daar een belangrijke factor in. De mens is immers nog altijd de zwakste schakel in de ICT-securityketen.

marco-van-rijn-bw

 

Marco van Rijn
Directeur Avantess-IAM
www.avantess-iam.nl