Cyberdreigingen in de zorg: waarom een integrale aanpak onmisbaar is
Ziekenhuizen en zorginstellingen worden steeds vaker het doelwit van cyberaanvallen. Uit het recent gepubliceerde Cybersecurity Dreigingsbeeld voor de Zorg 2024 van Z-CERT blijkt dat deze dreiging alleen maar toeneemt. Tegelijkertijd groeit de afhankelijkheid van digitale systemen en apparatuur. Deze ontwikkelingen maken één ding duidelijk: de zorgsector kan niet langer wachten met het samenbrengen van informatieveiligheid en bedrijfscontinuïteit. Het is niet langer de vraag of een verstoring zich voordoet, maar wanneer. Hoe zorgen we ervoor dat de patiëntenzorg gewaarborgd blijft, ook bij ernstige verstoringen?
Een samenhangende aanpak is essentieel om de zorgsector weerbaarder te maken. Dit vereist de integratie van drie cruciale elementen:
- Informatiebeveiliging:
Beschermt de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens. - Bedrijfscontinuïteit:
Zorgt ervoor dat kritieke zorgprocessen blijven functioneren tijdens verstoringen. - OT-security:
Beveiligt medische apparatuur, ziekenhuisnetwerken en fysieke infrastructuur.
Deze elementen worden nu vaak nog afzonderlijk benaderd, wat leidt tot kwetsbaarheden. Want wat heb je aan goed beveiligde patiëntendossiers als medische apparatuur uitvalt? Of aan een grondig bedrijfscontinuïteitsplan als ransomware alle systemen lamlegt?
Realistische scenario’s: theorie versus praktijk
Wanneer een ideale crisisrespons botst met de dagelijkse realiteit, worden de zwakke plekken in onze systemen pijnlijk zichtbaar. De volgende drie scenario’s laten zien waarom we niet langer kunnen volstaan met losstaande oplossingen, maar een samenhangende aanpak nodig hebben.
1. Natuurramp treft een ziekenhuis
- Wat zou moeten gebeuren:
Directe omschakeling naar noodgeneratoren, gestructureerde patiëntlogistiek en heldere communicatie tussen afdelingen. - Wat vaak gebeurt:
Beperkte noodstroomvoorzieningen, onduidelijke procedures en gebrekkige communicatie richting patiënten.
2. Ransomware-aanval op een zorginstelling
- Wat zou moeten gebeuren:
Snelle activering van het IT-noodherstelplan, toegang tot veilige back-ups en duidelijke interne crisiscommunicatie. - Wat vaak gebeurt:
Vertraagde reactie van het IT-team, onduidelijkheid over verantwoordelijkheden en onrust onder medewerkers.
3. Leveringsonderbreking van cruciale medische apparatuur
- Wat zou moeten gebeuren:
Directe inschakeling van alternatieve leveranciers en gebruik van strategische voorraden. - Wat vaak gebeurt:
Een afwachtende houding, gebrek aan alternatieven en acute problemen zodra de voorraad opraakt.
De integrale aanpak: van losse onderdelen naar één geheel
Zorginstellingen moeten afstappen van gescheiden benaderingen voor IT-security, OT-security en bedrijfscontinuïteit. Een effectieve strategie omvat:
- Eén gecoördineerde aanpak waarin NEN 7510 en ISO 22301 samenkomen.
- Een Business Impact Analyse die zowel IT-systemen als medische apparatuur en leveranciersafhankelijkheden omvat.
- Regelmatige oefeningen met realistische scenario’s, waaronder cyberdreigingen en uitval van medische apparatuur.
- Heldere governance, waarbij CIO’s, CISO’s en BCM-managers gezamenlijk verantwoordelijkheid dragen.
Hoe NEN 7510 en ISO 22301 elkaar versterken
NEN 7510 richt zich primair op de beveiliging van gezondheidsinformatie, met specifieke eisen voor de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens. ISO 22301 complementeert dit door zich te richten op de bredere bedrijfscontinuïteit, inclusief:
- Het identificeren van kritieke processen en hun maximaal toelaatbare uitvaltijd (MTPD)
- Het opstellen van herstelplannen met concrete hersteltijddoelstellingen (RTO)
- Het opzetten van crisisteams en communicatiestructuren
- Het regelmatig testen en oefenen van continuïteitsplannen
Meerwaarde van een geïntegreerd managementsysteem
Een integrale aanpak biedt meerdere voordelen:
- Voldoen aan wet- en regelgeving:
Compliance met NIS2, CER en de aankomende Cyberbeveiligingswet. - Verhoogde weerbaarheid:
Betere bescherming tegen zowel digitale als fysieke dreigingen. - Productcertificering:
Voorbereiding op eisen vanuit de Cyber Resilience Act, Medical Device Regulation en Machineverordening. - Kennisdeling tussen normalisatie en praktijk
Kennisdeling tussen normalisatie en praktijk
NEN en zijn partner BMGRIP combineren hun expertise op het gebied van informatiebeveiliging en bedrijfscontinuïteit. De normatieve kaders van NEN (zoals NEN 7510 en ISO 22301) vormen samen met de praktijkervaring van BMGRIP een stevige basis voor zorginstellingen. Deze samenwerking vertaalt technische normeisen naar praktische toepassingen, faciliteert audits en risicoanalyses, en ondersteunt de implementatie van procesgerichte managementsystemen.
BMGRIP heeft hiervoor SmartManSys ontwikkeld, een tool die deze integratie in bestaande werkprocessen vergemakkelijkt.
Praktische eerste stappen
Wil je beginnen met het verbeteren van jouw weerbaarheid? Zet dan direct deze eerste stappen:
- Breng in kaart welke processen en systemen écht kritiek zijn voor patiëntenzorg.
- Organiseer een gezamenlijke sessie met IT-, OT- en continuïteitsverantwoordelijken.
- Voer een quick scan uit om te bepalen waar de grootste risico’s liggen.
- Start met het testen van noodprocedures in multidisciplinair verband.
Voorbereid op de toekomst
Zorginstellingen die serieus werk willen maken van integrale beveiliging en continuïteit, nemen nu actie.
Meer weten?
Op 3 april is er van 10.00 – 11.00 uur een webinar waarin NEN samen met BMGRIP ingaat op de impact van de herziene NEN 7510. Meer informatie en aanmelden.
Bezoek NEN op de Zorg & ICT-beurs van 8-10 april (standnummer 07.D067). Op donderdag 10 april van 14.30 tot 15.00 uur houden we een presentatie ‘Praktisch aan de slag met NEN 7510:2024’ Meer informatie en aanmelden.
Kijk ook op www.nen.nl/bmgrip-partner voor meer informatie over de samenwerking van NEN met BMGRIP.
Reacties
Je moet ingelogd zijn om de reacties te bekijken