In 2017 teisterde Wannacry bedrijven over de hele wereld - nogal wat ziekenhuizen gingen plat. België bleef redelijk gespaard. Maar ieder ziekenhuis moet voorbereid zijn op een cyberaanval. "De vraag is niet of er ooit één komt. De vraag is wanneer die er komt." En of je hem dan ziet komen.
Dat zegt Jo Vander Schueren, general manager van beveiligingspecialist SecureLink. Volgens Vander Schueren moeten de Belgische ziekenhuizen op het gebied van cybersecurity een belangrijke stap vooruit zetten, liever vandaag dan morgen.
Prioritair?
Er is de laatste jaren uiteraard wel een evolutie. Men is zich toch beter van de bedreiging bewust geworden. "Wanneer we vijftien jaar geleden in zieken huizen over beveiliging gingen praten, leek men zich af te vragen waar we ons druk over maakten: 'We toch zijn geen bank', kregen we te horen." Het gaat bovendien om veel meer dan de gegevens uit het patiëntendossier, of om financiële gegevens, die men uiteraard als eerste zal beveiligen. "Onlangs kregen we een melding van een cyberaanval die werd uitgevoerd op Pakistaanse doelwitten vanuit Belgische systemen." Als hackers het niet op data gemunt hebben, kunnen ze nog altijd de systemen kapen.
"De laatste tien jaar, zo merken we, zijn de IT-managers heel goed gaan beseffen wat het gevaar is - ze zijn er degelijk rekening mee gaan houden. Vandaag is die bezorgdheid verder doorgedrongen tot de hele ziekenhuisleiding. We krijgen vragen van de raad van bestuur, van financieel directeurs, enzovoort." Maar er is toch meer nodig: "Cybersecuriy krijgt nog te weinig voorrang, er zijn nog te weinig projecten. Er worden nog te weinig middelen vrijgemaakt om het echt goed te doen."
Maturiteit
"Wanneer we voor het eerst met een ziekenhuis gaan praten, stellen we hen om te beginnen een 'assessment' voor. Die moet de maturiteit van de instelling inschatten: de mate waarin ze mankracht inzetten voor cybersecurity, de informaticaprocessen die ze hebben lopen om de veiligheid te bewaken, de technologie die het ziekenhuis in huis heeft. We doen een nulmeting en kunnen een pad uitstippelen van de acties die het ziekenhuis moet ondernemen om op een volgend niveau te raken. We beschikken over data voor heel Europa. We kunnen aangeven waar een ziekenhuis zich juist positioneert", vertelt Vander Schueren.
Het Cybersecurity Maturity Model waar SecureLink op voortbouwt, heeft vijf niveaus. Op het eerste niveau is er een elementaire bescherming van de systemen, maar zonder echte planning of structuur. Op het vijfde en hoogste niveau heb je een zelflerende organisatie die de bedreigingen die erop afkomt zal proberen te voorzien. "Op het vijfde niveau zie je vooral defensie en militaire diensten. Niveau vier is waar vandaag de financiële instellingen staan. Ziekenhuizen zouden eigenlijk hoog in niveau drie moeten staan, of begin niveau vier. Maar in België raken niet veel ziekenhuizen al op niveau drie, de meeste staan nog op niveau twee."
Basics
"Wanneer het ziekenhuis ons vertelt waar zij willen raken, is het soms nodig eerst een stap terug te zetten. Eerst moeten de basics in orde zijn", is toch een bedenking die Vander Schueren zich maakt.
"Om te beginnen moet het niveau van alertheid beter", stelt hij. "De modale gebruikers in het ziekenhuis bijvoorbeeld, die dagelijks hopen e-mails binnenkrijgen, moeten beseffen dat het niet altijd veilig is iets aan te klikken of te openen. De CEO of de financiële directeur, die voor fraudeurs een bijzonder mikpunt zijn, moeten zich bewust zijn van specifieke bedreigingen. Het opleiden van de gebruikers moet een voortdurend aandachtspunt zijn - maar hoeveel ziekenhuizen zijn daar echt mee bezig? Softwaremensen in het ziekenhuis, die code schrijven, moeten weten hoe ze dat op een veilige manier doen." De meesten zijn zich nog niet bewust van de gevaren die bij dagelijkse handelingen om de hoek komen gluren: "Men moet dat toch anders gaan bekijken."
"De Europese GDPR heeft er dan wel voor gezorgd dat er een Data Protection Officer (DPO) wordt aangesteld. Maar je ziet dat die DPO zich veel te veel bezighoudt met administratieve zaken, met contracten, ... en veel te weinig met awareness bij de gebruikers. Men denkt te weinig na over hoe je IT-processen inschakelt om de veiligheid te vergroten. Hoeveel ziekenhuizen hebben vandaag al een CISO (Chief Information Security Officer) met echte bevoegdheden voor het beveiligen van alle data, van de connecties, van de servers, ... Er is nog een hele weg te gaan."
Detectie en respons
Wat is de volgende belangrijke stap die ziekenhuizen moeten zetten om op het juiste maturiteitsniveau te raken? "De ziekenhuizen hebben al veel geïnvesteerd in preventietechnologie. Ze hebben allemaal wel al een firewall staan - dat soort van elementaire zaken is in de regel in orde. Maar ze zijn er te weinig mee bezig. De data die uit de bewakingssystemen voortkomen analyseren, daarmee aan de slag gaan en op basis daarvan cybersecurityprocessen bijsturen, het niveau nog verhogen, ... Dat gebeurt niet."
"Iedereen heeft geïnvesteerd in preventie, dat is goed, dat moeten we behouden, maar we moeten ook kijken naar detectie en naar respons. Honderd procent security bestaat niet, 99% security is niet betaalbaar. En als ziekenhuizen één ding goed weten, is het dat ze hun financiële middelen goed moeten inzetten. Daarom moeten ze keuzes maken. En die keuzes maken houdt dan inherent in dat er dingen zijn die je niet gaat doen. Risico's die je open laat. Daar moet je mee kunnen leven. Je bent altijd kwetsbaar in cyberspace - je kunt altijd aangevallen worden. Je moet ervanuitgaan: ooit gaan we een aanval te verduren krijgen."
"Je moet niet onderschatten wat op het internet gebeurt, we zien de aanvallen voortdurend. De impact van een cyberaanval is niet zelden desastreus, immens. We merken ook dat, als er een aanval plaats heeft gevonden, ziekenhuizen en andere organisaties daar maar heel weinig over communiceren. De GDPR verplicht iedereen nu wel om er melding van te maken als het risico bestaat dat data over personen gelekt zijn. Maar de eerste reflex is om die dingen binnenshuis te houden. Het zou eigenlijk beter zijn de ervaring wel te delen."
"De eerste boodschap is: zorg dat je een aanval kan detecteren - dat je 'visibiliteit' hebt (nvdr: niet dat je gezien wordt, maar dat je wat er zich afspeelt in kaart brengt en bewaakt). Dat je analyses kunt doen van wat er zich in en rond je netwerk afspeelt. Of dat je een partij bij de hand hebt die je daarbij kan helpen. En daarnaast: zorg dat je een respons klaar hebt. Dat, wanneer er een cyberaanval komt, je weet hoe je moet reageren. Dat is de stap die iedereen, en met name de ziekenhuizen, vandaag moeten zetten..."
Human error
"De basics in orde hebben is de eerste opdracht. Je moet de hele keten veilig te maken: wachtwoordbeleid, een back-upbeleid, patching van de software, ... Daarbovenop moet je meten, visibiliteit creëren, detecteren wat er zich afspeelt. Dat is cruciaal..."
Bedreigingen kunnen van buiten het ziekenhuis komen, en dan is er gewoonlijk kwaad opzet in het spel. Maar ook wat zich binnen het systeem afspeelt moet een constante bezorgdheid zijn. "We hebben al ziekenhuizen gehad, nog niet zo lang geleden trouwens, die plat gaan door een gebruikersfout - door mensen die niet wisten waar ze mee bezig waren. Operatiekwartier en spoeddiensten plat, het systeem gedurende dagen verstoord, ..."
Gevaar kan schuilen in de devices die ingeplugd worden op het netwerk: "Dagelijks komen er nieuwe devices bij. Hoeveel ziekenhuizen houden dat werkelijk in de gaten. Je zult niet de eerste organisatie zijn die gehackt wordt via een thermostaat of een koffieautomaat, die communiceert over je netwerk. Een laptop die niet voldoende beveiligd is, wordt terug op het netwerk aangesloten - nadat zoonlief er in het weekend een computerspelletje heeft op geïnstalleerd, vergezeld van wat malware. Een arts die, ontevreden omdat de aanvraag voor een nieuwe printer op de dienst werd afgewezen, is er zelf een gaan kopen is en probeert die aan te koppelen, ..."
"Een configuratiefout in het netwerk kan een systeem platleggen. Een netwerk configureren is vaak echt 'specialistenwerk'. Ziekenhuizen kunnen zich niet zoveel echte specialisten in een specifiek onderdeel van het systeem veroorloven, ze werven meestal 'generalisten' aan met een brede kennis. Opnieuw geen fictie, we hebben onlangs een geval gehad.
En om terug te keren naar het voorbeeld waarmee we dit artikel openden: de ransomware. De oplossing voor ziekenhuizen is dikwijls om een back-up terug te zetten, en zo geen 'losgeld' te moeten betalen voor hun data die door criminelen versleuteld werden en voor het ziekenhuis onbruikbaar werden gemaakt. "De nieuwste tendens bij dat soort van malware is dat het script het back-upsysteem opspoort en uitschakelt en pas als dat gebeurd is de eigenlijke ransomware loslaat." Maar nog los daarvan: "In hoeveel ziekenhuizen is het back-upbeleid goed uitgebalanceerd en is het proces 100% onder controle? En worden de back-ups ook gecheckt?"
Dat zegt Jo Vander Schueren, general manager van beveiligingspecialist SecureLink. Volgens Vander Schueren moeten de Belgische ziekenhuizen op het gebied van cybersecurity een belangrijke stap vooruit zetten, liever vandaag dan morgen.Prioritair?Er is de laatste jaren uiteraard wel een evolutie. Men is zich toch beter van de bedreiging bewust geworden. "Wanneer we vijftien jaar geleden in zieken huizen over beveiliging gingen praten, leek men zich af te vragen waar we ons druk over maakten: 'We toch zijn geen bank', kregen we te horen." Het gaat bovendien om veel meer dan de gegevens uit het patiëntendossier, of om financiële gegevens, die men uiteraard als eerste zal beveiligen. "Onlangs kregen we een melding van een cyberaanval die werd uitgevoerd op Pakistaanse doelwitten vanuit Belgische systemen." Als hackers het niet op data gemunt hebben, kunnen ze nog altijd de systemen kapen."De laatste tien jaar, zo merken we, zijn de IT-managers heel goed gaan beseffen wat het gevaar is - ze zijn er degelijk rekening mee gaan houden. Vandaag is die bezorgdheid verder doorgedrongen tot de hele ziekenhuisleiding. We krijgen vragen van de raad van bestuur, van financieel directeurs, enzovoort." Maar er is toch meer nodig: "Cybersecuriy krijgt nog te weinig voorrang, er zijn nog te weinig projecten. Er worden nog te weinig middelen vrijgemaakt om het echt goed te doen."Maturiteit"Wanneer we voor het eerst met een ziekenhuis gaan praten, stellen we hen om te beginnen een 'assessment' voor. Die moet de maturiteit van de instelling inschatten: de mate waarin ze mankracht inzetten voor cybersecurity, de informaticaprocessen die ze hebben lopen om de veiligheid te bewaken, de technologie die het ziekenhuis in huis heeft. We doen een nulmeting en kunnen een pad uitstippelen van de acties die het ziekenhuis moet ondernemen om op een volgend niveau te raken. We beschikken over data voor heel Europa. We kunnen aangeven waar een ziekenhuis zich juist positioneert", vertelt Vander Schueren.Het Cybersecurity Maturity Model waar SecureLink op voortbouwt, heeft vijf niveaus. Op het eerste niveau is er een elementaire bescherming van de systemen, maar zonder echte planning of structuur. Op het vijfde en hoogste niveau heb je een zelflerende organisatie die de bedreigingen die erop afkomt zal proberen te voorzien. "Op het vijfde niveau zie je vooral defensie en militaire diensten. Niveau vier is waar vandaag de financiële instellingen staan. Ziekenhuizen zouden eigenlijk hoog in niveau drie moeten staan, of begin niveau vier. Maar in België raken niet veel ziekenhuizen al op niveau drie, de meeste staan nog op niveau twee."Basics"Wanneer het ziekenhuis ons vertelt waar zij willen raken, is het soms nodig eerst een stap terug te zetten. Eerst moeten de basics in orde zijn", is toch een bedenking die Vander Schueren zich maakt."Om te beginnen moet het niveau van alertheid beter", stelt hij. "De modale gebruikers in het ziekenhuis bijvoorbeeld, die dagelijks hopen e-mails binnenkrijgen, moeten beseffen dat het niet altijd veilig is iets aan te klikken of te openen. De CEO of de financiële directeur, die voor fraudeurs een bijzonder mikpunt zijn, moeten zich bewust zijn van specifieke bedreigingen. Het opleiden van de gebruikers moet een voortdurend aandachtspunt zijn - maar hoeveel ziekenhuizen zijn daar echt mee bezig? Softwaremensen in het ziekenhuis, die code schrijven, moeten weten hoe ze dat op een veilige manier doen." De meesten zijn zich nog niet bewust van de gevaren die bij dagelijkse handelingen om de hoek komen gluren: "Men moet dat toch anders gaan bekijken.""De Europese GDPR heeft er dan wel voor gezorgd dat er een Data Protection Officer (DPO) wordt aangesteld. Maar je ziet dat die DPO zich veel te veel bezighoudt met administratieve zaken, met contracten, ... en veel te weinig met awareness bij de gebruikers. Men denkt te weinig na over hoe je IT-processen inschakelt om de veiligheid te vergroten. Hoeveel ziekenhuizen hebben vandaag al een CISO (Chief Information Security Officer) met echte bevoegdheden voor het beveiligen van alle data, van de connecties, van de servers, ... Er is nog een hele weg te gaan."Detectie en responsWat is de volgende belangrijke stap die ziekenhuizen moeten zetten om op het juiste maturiteitsniveau te raken? "De ziekenhuizen hebben al veel geïnvesteerd in preventietechnologie. Ze hebben allemaal wel al een firewall staan - dat soort van elementaire zaken is in de regel in orde. Maar ze zijn er te weinig mee bezig. De data die uit de bewakingssystemen voortkomen analyseren, daarmee aan de slag gaan en op basis daarvan cybersecurityprocessen bijsturen, het niveau nog verhogen, ... Dat gebeurt niet.""Iedereen heeft geïnvesteerd in preventie, dat is goed, dat moeten we behouden, maar we moeten ook kijken naar detectie en naar respons. Honderd procent security bestaat niet, 99% security is niet betaalbaar. En als ziekenhuizen één ding goed weten, is het dat ze hun financiële middelen goed moeten inzetten. Daarom moeten ze keuzes maken. En die keuzes maken houdt dan inherent in dat er dingen zijn die je niet gaat doen. Risico's die je open laat. Daar moet je mee kunnen leven. Je bent altijd kwetsbaar in cyberspace - je kunt altijd aangevallen worden. Je moet ervanuitgaan: ooit gaan we een aanval te verduren krijgen.""Je moet niet onderschatten wat op het internet gebeurt, we zien de aanvallen voortdurend. De impact van een cyberaanval is niet zelden desastreus, immens. We merken ook dat, als er een aanval plaats heeft gevonden, ziekenhuizen en andere organisaties daar maar heel weinig over communiceren. De GDPR verplicht iedereen nu wel om er melding van te maken als het risico bestaat dat data over personen gelekt zijn. Maar de eerste reflex is om die dingen binnenshuis te houden. Het zou eigenlijk beter zijn de ervaring wel te delen.""De eerste boodschap is: zorg dat je een aanval kan detecteren - dat je 'visibiliteit' hebt (nvdr: niet dat je gezien wordt, maar dat je wat er zich afspeelt in kaart brengt en bewaakt). Dat je analyses kunt doen van wat er zich in en rond je netwerk afspeelt. Of dat je een partij bij de hand hebt die je daarbij kan helpen. En daarnaast: zorg dat je een respons klaar hebt. Dat, wanneer er een cyberaanval komt, je weet hoe je moet reageren. Dat is de stap die iedereen, en met name de ziekenhuizen, vandaag moeten zetten..."Human error"De basics in orde hebben is de eerste opdracht. Je moet de hele keten veilig te maken: wachtwoordbeleid, een back-upbeleid, patching van de software, ... Daarbovenop moet je meten, visibiliteit creëren, detecteren wat er zich afspeelt. Dat is cruciaal..."Bedreigingen kunnen van buiten het ziekenhuis komen, en dan is er gewoonlijk kwaad opzet in het spel. Maar ook wat zich binnen het systeem afspeelt moet een constante bezorgdheid zijn. "We hebben al ziekenhuizen gehad, nog niet zo lang geleden trouwens, die plat gaan door een gebruikersfout - door mensen die niet wisten waar ze mee bezig waren. Operatiekwartier en spoeddiensten plat, het systeem gedurende dagen verstoord, ..."Gevaar kan schuilen in de devices die ingeplugd worden op het netwerk: "Dagelijks komen er nieuwe devices bij. Hoeveel ziekenhuizen houden dat werkelijk in de gaten. Je zult niet de eerste organisatie zijn die gehackt wordt via een thermostaat of een koffieautomaat, die communiceert over je netwerk. Een laptop die niet voldoende beveiligd is, wordt terug op het netwerk aangesloten - nadat zoonlief er in het weekend een computerspelletje heeft op geïnstalleerd, vergezeld van wat malware. Een arts die, ontevreden omdat de aanvraag voor een nieuwe printer op de dienst werd afgewezen, is er zelf een gaan kopen is en probeert die aan te koppelen, ...""Een configuratiefout in het netwerk kan een systeem platleggen. Een netwerk configureren is vaak echt 'specialistenwerk'. Ziekenhuizen kunnen zich niet zoveel echte specialisten in een specifiek onderdeel van het systeem veroorloven, ze werven meestal 'generalisten' aan met een brede kennis. Opnieuw geen fictie, we hebben onlangs een geval gehad.En om terug te keren naar het voorbeeld waarmee we dit artikel openden: de ransomware. De oplossing voor ziekenhuizen is dikwijls om een back-up terug te zetten, en zo geen 'losgeld' te moeten betalen voor hun data die door criminelen versleuteld werden en voor het ziekenhuis onbruikbaar werden gemaakt. "De nieuwste tendens bij dat soort van malware is dat het script het back-upsysteem opspoort en uitschakelt en pas als dat gebeurd is de eigenlijke ransomware loslaat." Maar nog los daarvan: "In hoeveel ziekenhuizen is het back-upbeleid goed uitgebalanceerd en is het proces 100% onder controle? En worden de back-ups ook gecheckt?"
