Wanneer we het duo ontmoeten, hebben ze het rapport van het hackgezelschap al even kunnen laten bezinken. Het is doorgestuurd naar de interne audit, ook een meeting met het directiecomité staat op de agenda. "In het algemeen hadden we al een goed idee van onze sterke en zwakke punten", zegt Kevin Meersschaert. "Toch zijn er enkele verrassingen uitgekomen, die we zeker moeten aanpakken."

Tom Coolen erkent echter dat een ziekenhuis nooit 100% gedekt kan zijn. "Er zullen altijd problemen door de mazen van het net glippen. Technologie en ook veiligheidssystemen evolueren zodanig snel. Je kan onmogelijk alle ontwikkelingen op de voet volgen, en ad hoc actie ondernemen."

Kevin Meerschaert: "In feite moet je ervan uitgaan dat een hacker altijd kan binnenbreken. Vanuit dat inzicht is de vraag die je moet stellen: 'hoe ver kan hij gaan?'. Je moet focussen op de kroonjuwelen, zoals het patiëntendossier of financiële informatiesystemen."

"De aandachtspunten die uit het rapport naar voren zijn gekomen, kunnen we op relatief korte termijn aanpakken", zegt Tom Coolen. "Maar als we over enkele maanden opnieuw een check zouden laten uitvoeren, zouden er ongetwijfeld nieuwe werkpunten opduiken."

Is inzetten op informatiebeveiliging dan een beetje als dweilen met de kraan open?
TC: Neen, zoals uit deze test gebleken is, is de zwakste schakel de eindgebruiker. Die menselijke factor is wel iets dat je kan beheren. In hoofdzaak moeten wij niet investeren in hardware en software, maar in goede procedures en het sensibiliseren van ons personeel. Alleen is dat laatste tot nog toe, zo is ook gebleken, niet vanzelfsprekend geweest. Een eenvoudige vraag tot paswoordverandering stuit soms al op gemor.

KM: We hebben reeds verschillende dingen geprobeerd. Recent stuurden we bijvoorbeeld met de interne nieuwsbrieven een item mee over veiligheid en beveiliging in de privésituatie. In de hoop dat mensen die maatregelen zouden doortrekken naar het ziekenhuis. Aan het aantal raadplegingen te zien was dat geen succes.

Hoe verklaart u die houding bij medewerkers?
KM: Er is te weinig bewustzijn rond informatieveiligheid en mogelijke beveiligingsrisico's. Wie heeft nog nooit gedacht: het zal mij wel niet gebeuren? Nu, het gaat hier ook om technische materie. Dat is niet erg sexy (lacht).

TC: Het komt erop aan een evenwicht te vinden tussen de veiligheid en comfort voor de eindgebruiker. Maar met allerlei tips en tricks ben je niet genoeg. Alert zijn is even belangrijk. Dat houdt bijvoorbeeld in dat je opmerkt wanneer er een onbekende aan het rondsnuisteren is op je dienst of afdeling.

De aanzet moet vanuit de overheid komen, of op sectorniveau - denk aan een serious game, zoals we dat in het ziekenhuis al hebben gedaan voor brandveiligheid. Een andere piste is informatiebeveiliging in een verplichte opleiding gieten.

Hoe schat u de informatiebeveiliging van az groeninge in, na deze check?
KM: Zelf ben ik nog meer overtuigd van het belang van security by design. Al van bij de intake fase van een IT-project moet je de nodige controlemaatregelen inzake informatieveiligheid opnemen. Dat is veel efficiënter en effectiever dan achteraf zeggen: "Laten we dit alles nu eens instellen zoals het hoort."

TC: Voor een IT-afdeling is het risico van dergelijke testen dat men alleen de rode vlaggen ziet. Terwijl er heel veel werk verzet wordt, alleen zijn vele beveiligingsmaatregelen niet zichtbaar voor wie er niet elke dag mee bezig is. Binnen het directiecomité is er wel een goed bewustzijn rond informatieveiligheid, wat soms toelaat om dure, onzichtbare investeringen te doen.

Hoeveel budget gaat er eigenlijk jaarlijks naar informatiebeveiliging?
TC: In 2014 was dat 120.000 euro of 0,04%. Zitten daarin: antivirusprogramma, firewall, VPN, interne middelen... Dat lijkt weinig? U kent ook de financiële situatie van de Belgische ziekenhuizen. Met dit budget bevinden we ons op de mediaan wat betreft uitgaven voor informatieveiligheid in het Vlaams ziekenhuislandschap. Ondertussen is ons budget voor IT wel gestegen omdat er bijvoorbeeld een verzekering voor cybercriminaliteit, extra beveiliging tegen ransomware en een NOC zijn bijgekomen - niet elk ziekenhuis beschikt overigens over zo'n NOC. (vastberaden) Een oefening als deze vergt geen grote hap uit een IT-budget, hoogstens enkele duizenden euro. Wat het zeker mogelijk maakt om dit jaarlijks te budgetteren.

Wanneer we het duo ontmoeten, hebben ze het rapport van het hackgezelschap al even kunnen laten bezinken. Het is doorgestuurd naar de interne audit, ook een meeting met het directiecomité staat op de agenda. "In het algemeen hadden we al een goed idee van onze sterke en zwakke punten", zegt Kevin Meersschaert. "Toch zijn er enkele verrassingen uitgekomen, die we zeker moeten aanpakken." Tom Coolen erkent echter dat een ziekenhuis nooit 100% gedekt kan zijn. "Er zullen altijd problemen door de mazen van het net glippen. Technologie en ook veiligheidssystemen evolueren zodanig snel. Je kan onmogelijk alle ontwikkelingen op de voet volgen, en ad hoc actie ondernemen." Kevin Meerschaert: "In feite moet je ervan uitgaan dat een hacker altijd kan binnenbreken. Vanuit dat inzicht is de vraag die je moet stellen: 'hoe ver kan hij gaan?'. Je moet focussen op de kroonjuwelen, zoals het patiëntendossier of financiële informatiesystemen." "De aandachtspunten die uit het rapport naar voren zijn gekomen, kunnen we op relatief korte termijn aanpakken", zegt Tom Coolen. "Maar als we over enkele maanden opnieuw een check zouden laten uitvoeren, zouden er ongetwijfeld nieuwe werkpunten opduiken."Is inzetten op informatiebeveiliging dan een beetje als dweilen met de kraan open? TC: Neen, zoals uit deze test gebleken is, is de zwakste schakel de eindgebruiker. Die menselijke factor is wel iets dat je kan beheren. In hoofdzaak moeten wij niet investeren in hardware en software, maar in goede procedures en het sensibiliseren van ons personeel. Alleen is dat laatste tot nog toe, zo is ook gebleken, niet vanzelfsprekend geweest. Een eenvoudige vraag tot paswoordverandering stuit soms al op gemor. KM: We hebben reeds verschillende dingen geprobeerd. Recent stuurden we bijvoorbeeld met de interne nieuwsbrieven een item mee over veiligheid en beveiliging in de privésituatie. In de hoop dat mensen die maatregelen zouden doortrekken naar het ziekenhuis. Aan het aantal raadplegingen te zien was dat geen succes.Hoe verklaart u die houding bij medewerkers? KM: Er is te weinig bewustzijn rond informatieveiligheid en mogelijke beveiligingsrisico's. Wie heeft nog nooit gedacht: het zal mij wel niet gebeuren? Nu, het gaat hier ook om technische materie. Dat is niet erg sexy (lacht). TC: Het komt erop aan een evenwicht te vinden tussen de veiligheid en comfort voor de eindgebruiker. Maar met allerlei tips en tricks ben je niet genoeg. Alert zijn is even belangrijk. Dat houdt bijvoorbeeld in dat je opmerkt wanneer er een onbekende aan het rondsnuisteren is op je dienst of afdeling. De aanzet moet vanuit de overheid komen, of op sectorniveau - denk aan een serious game, zoals we dat in het ziekenhuis al hebben gedaan voor brandveiligheid. Een andere piste is informatiebeveiliging in een verplichte opleiding gieten.Hoe schat u de informatiebeveiliging van az groeninge in, na deze check? KM: Zelf ben ik nog meer overtuigd van het belang van security by design. Al van bij de intake fase van een IT-project moet je de nodige controlemaatregelen inzake informatieveiligheid opnemen. Dat is veel efficiënter en effectiever dan achteraf zeggen: "Laten we dit alles nu eens instellen zoals het hoort." TC: Voor een IT-afdeling is het risico van dergelijke testen dat men alleen de rode vlaggen ziet. Terwijl er heel veel werk verzet wordt, alleen zijn vele beveiligingsmaatregelen niet zichtbaar voor wie er niet elke dag mee bezig is. Binnen het directiecomité is er wel een goed bewustzijn rond informatieveiligheid, wat soms toelaat om dure, onzichtbare investeringen te doen.Hoeveel budget gaat er eigenlijk jaarlijks naar informatiebeveiliging? TC: In 2014 was dat 120.000 euro of 0,04%. Zitten daarin: antivirusprogramma, firewall, VPN, interne middelen... Dat lijkt weinig? U kent ook de financiële situatie van de Belgische ziekenhuizen. Met dit budget bevinden we ons op de mediaan wat betreft uitgaven voor informatieveiligheid in het Vlaams ziekenhuislandschap. Ondertussen is ons budget voor IT wel gestegen omdat er bijvoorbeeld een verzekering voor cybercriminaliteit, extra beveiliging tegen ransomware en een NOC zijn bijgekomen - niet elk ziekenhuis beschikt overigens over zo'n NOC. (vastberaden) Een oefening als deze vergt geen grote hap uit een IT-budget, hoogstens enkele duizenden euro. Wat het zeker mogelijk maakt om dit jaarlijks te budgetteren.