Ransomware in de zorg
Ransomware-aanvallen vormen op dit moment de grootste dreiging voor de zorgsector. Dat blijkt uit het Cyberdreigingsbeeld voor de zorg, dat Z-CERT, het Computer Emergency Response Team voor de zorg, op 1 februari 2021 voor het eerst publiceerde.
Aanvallen met ransomware, ook wel ‘gijzelsoftware’ genoemd, hebben grote impact op bedrijven en organisaties. Dat geldt temeer voor zorginstellingen, zoals ziekenhuizen. Er zijn inmiddels al verschillende voorbeelden bekend van ziekenhuizen die slachtoffer werden van ransomware en daardoor tijdelijk geen nieuwe patiënten meer konden opnemen, geen operaties meer konden uitvoeren en niet meer bij de patiëntgegevens konden. Bij ziekenhuizen is de impact van ransomware in potentie zeer groot.
Ketenafhankelijkheid
Het Z-CERT signaleert daarbij bovendien dat een deel van de ransomware-aanvallen werd veroorzaakt door ‘besmette’ IT-leveranciers van de ziekenhuizen. Terecht constateert Z-CERT dat het risico bestaat dat een cyberincident bij een in de zorgsector veel gebruikte IT-dienstverlener een sectorbrede impact kan hebben.
Eisen aan IT-leveranciers: ‘zero trust’
Z-CERT adviseert de zorginstellingen vervolgens om niet blindelings op de leveranciers te vertrouwen, maar (ook) eisen te stellen aan informatiebeveiliging, dus aan (cyber)security. Dit is een accentverschuiving die inmiddels ook buiten de zorg plaatsvindt: IT-producten en -diensten moeten niet langer ‘gewoon werken’, maar moeten ook (en vooral) adequaat beveiligd zijn.
De (minimum)eisen die Z-CERT aan de IT-leverancier stelt, zijn het periodiek aantonen dat de leverancier de informatiebeveiliging op orde heeft en voldoet aan de wet- en regelgeving, in het bezit is van NEN7510-certificeringen, het verrichten van periodieke pentests en vulnerabilityscans.
De eis dat IT-diensten en -producten niet alleen goed functioneren, maar ook goed beveiligd zijn, moet helder worden vastgelegd in een overeenkomst. Een manier om cybersecurity daarin goed te ondervangen, is door uit te gaan van het ‘zero-trust’-principe, wat Z-CERT ook opmerkt. Daarbij wordt er al bij het opstellen van de overeenkomst van uitgegaan dat de IT-dienst of het IT-product kwetsbaar is voor aanvallen en worden de techniek en de processen daar al bij het ontwerp op ingericht. Leg daarbij ook duidelijk vast welke partij de verantwoordelijkheid draagt voor de beveiliging, hoe ver die verantwoordelijkheid strekt en wat er moet gebeuren in het geval van incidenten.
Cybersecurity en IT-contracten
Cybersecurity wordt steeds belangrijker en komt steeds prominenter naar voren in de afspraken die partijen met elkaar maken. Zeker in de zorgsector is een goede cybersecurity en heldere afspraken onontbeerlijk. Bovenstaande minimumeisen onderstrepen de noodzaak voor het op voorhand uitvoeren van een risicoanalyse, waarover wij al vaker hebben geschreven (zie bijvoorbeeld dit artikel en de komende webinarreeks op 4 maart, 15 april en 20 mei 2021). Die risico-inventarisatie is wat ons betreft nadrukkelijk niet bedoeld om alle mogelijke risico’s in kaart te brengen en die vervolgens aan de leverancier (of de afnemer) op te leggen, maar zou juist moeten leiden tot een evenwichtige en heldere verdeling van de verschillende risico’s en concrete afspraken over de (tegen)maatregelen die daartegen zijn te treffen. Wie kan een bepaald risico het beste adresseren of mitigeren? Hoe verhouden partijen zich tot elkaar? Wat kan je praktisch doen om risico’s te voorkomen? Leg dergelijke afspraken vast, zodat voor alle betrokkenen helder is waar welke verantwoordelijkheid ligt. Dit kan in de hoofdovereenkomst, maar bijvoorbeeld ook in de service level agreement (SLA), of dossier afspraken en procedures (DAP).
Daarnaast blijkt uit het Cyberdreigingsbeeld voor de zorg dat er periodiek moet worden bekeken of de bestaande maatregelen nog wel up to date zijn. Dit kan je doen door de risicoanalyse jaarlijks (of in een hogere frequentie indien dat opportuun is) te herijken. Klopt alles nog wel? Zijn de maatregelen nog passend voor de omstandigheden? Wat zijn de resultaten van de periodieke pentest en vulnerabilitytest en hoe moeten die vervolgens worden geïmplementeerd?
Vragen?
Heeft u vragen over ransomware, cybersecurity, of IT-contracten in de zorg? Neem contact op met Nynke Brouwer, Ernst-Jan van de Pas of een van de andere leden van het Dirkzwager Cybersecurity Team.
