10 beste praktijken op het gebied van cyberbeveiliging voor de gezondheidszorg

Het is een moeilijke tijd voor cyberbeveiligingsprofessionals in de gezondheidszorg. In de Verenigde Staten werd in 2021 een recordaantal datalekken gemeld aan het Amerikaanse ministerie van Volksgezondheid en Human Services (679) en het aantal getroffen personen (45 miljoen).[1] Veel organisaties in de gezondheidszorg zijn het slachtoffer geworden van ransomware-aanvallen terwijl ze te maken hadden met de pandemie, waarbij de impact verder reikte dan financiën en operaties om de klinische zorg te beïnvloeden, volgens Ponemon Research. Meer dan de helft van de door ransomware getroffen organisaties meldde zelfs langere ziekenhuisverblijven en vertraagde medische procedures.[2]

Deze uitdagingen vielen samen met toegenomen investeringen in cloud-gebaseerde diensten en infrastructuur ter ondersteuning van telegezondheidszorg in het kielzog van COVID-19. Toch maakt cyberbeveiliging gewoonlijk minder dan 6% uit van de totale IT-begrotingen, volgens de non-profit Healthcare Information and Management Systems Society (HIMSS).[3] Hoewel de investeringen in cyberbeveiliging de laatste tijd in alle sectoren toenemen, moeten organisaties in de gezondheidszorg hun investeringen in beveiliging nog steeds zorgvuldig kiezen. De meeste hebben prioriteit gegeven aan het upgraden van bestaande beveiligingsoplossingen, het aanschaffen van nieuwe oplossingen en het inhuren van meer personeel; inspanningen zoals bewustmakingstraining op het gebied van cyberbeveiliging en penetratietests hebben minder investeringen gekregen.

Nu de middelen beperkt zijn, maar het aantal en de ernst van de cyberbedreigingen in de gezondheidszorg alleen maar toeneemt, is het voor organisaties nog nooit zo belangrijk geweest om te beoordelen waar zij risico's lopen en best practices in te voeren, waaronder de volgende:

Meer investeren in cyberbeveiliging. De gemiddelde kosten van een datalek in de gezondheidszorg - opsporing, kennisgeving aan de betrokkenen en passende reactie, plus verlies van omzet - bedragen wereldwijd maar liefst 9,2 miljoen dollar. Dat is meer dan het dubbele van het gemiddelde voor andere sectoren, volgens IBM,[4] rechtvaardigen dat leidinggevenden in de gezondheidszorg nog eens goed kijken naar de kosten/batenverhouding van investeringen in cyberbeveiliging.

Integreer beveiligingsoplossingen. Organisaties die gebruikmaken van één enkel cyberbeveiligingsproduct of -platform lopen het risico een "beveiligingsmonocultuur" te creëren waar aanvallers gemakkelijk misbruik van kunnen maken. Maar het integreren van meerdere best-of-breed beveiligingsoplossingen kan wrijving toevoegen aan de gebruikerservaring - geen kleinigheid op de spoedeisende hulp of intensive care-afdeling - en bovendien kostbaar en complex blijken te zijn. Oplossingen die zijn gebaseerd op geïntegreerde beveiligingstechnologieën, zoals die worden aangeboden door Mimecast en zijn partners, bieden meer toegang tot tijdige informatie over bedreigingen en maken het mogelijk geautomatiseerde herstelprocessen op te zetten die meerdere problemen omvatten.

Verbeter de zichtbaarheid van aangesloten apparatuur. Een meerderheid van organisaties beschikt volgens HIMSS over verouderde besturingssystemen, en veel daarvan draaien op bedrijfskritische medische apparatuur. Eén op vijf heeft apparaten met Windows XP, dat niet langer door Microsoft wordt ondersteund. Volgens Ponemon kan slechts ongeveer een derde van de organisaties al hun medische apparatuur lokaliseren en weten wanneer elk besturingssysteem verouderd is. Nu het gemiddelde ziekenhuisbed in de Verenigde Staten verbonden is met tot 15 apparaten,[5] en nu meer zorg zich buiten de vier muren van het ziekenhuis naar ambulante faciliteiten en zelfs bij de patiënten thuis verplaatst, is het belangrijker dan ooit voor organisaties om zicht te krijgen op de kwetsbaarheden die verbonden apparaten met zich meebrengen.

Kies voor zero trust beveiliging. Van artsen tot facilitair personeel tot een reeks externe partners, de typische organisatie in de gezondheidszorg zit vol met contractanten. Bij een zero-trust beveiligingsmodel wordt geen enkele gebruiker of apparaat door het netwerk herkend tenzij het is geverifieerd. Oplossingen zoals identiteitsbeheer en -administratie (IGA) en beheer van geprivilegieerde toegang (PAM) helpen ervoor te zorgen dat de juiste gebruikers op het juiste moment toegang hebben tot de juiste systemen - en geen toegang kunnen krijgen tot wat ze niet nodig hebben om hun werk te doen.

Cyberbestendigheid opbouwen. De gezondheidszorg is vatbaarder voor cyberaanvallen dan andere sectoren, deels omdat criminelen de patiëntgegevens in medische dossiers kunnen gebruiken om een kredietlijn op te zetten of een lening af te sluiten.[6] Wereldwijd krijgen organisaties in de gezondheidszorg te maken met ongeveer 625 aanvallen per week, oftewel bijna vier per uur.[7] Organisaties moeten accepteren dat datalekken, ransomware-aanvallen en phishing-pogingen soms zullen slagen. Een strategie voor cyberresilience heeft een tweeledige focus: Reageren op de aanval bij de hand en zorgen voor bedrijfscontinuïteit door continue toegang te bieden tot e-mail en andere kritieke systemen wanneer servers down zijn.

Omarm een dreigingsgerichte aanpak. Net als bij het opbouwen van cyberweerbaarheid, gaat een dreigingsgerichte of dreigingsgeïnformeerde aanpak van cyberbeveiliging ervan uit dat dreigingen bestaan en een risico vormen voor een organisatie. Deze aanpak heeft drie algemene componenten: Het modelleren van monitors, systemen en apparaten om kwetsbaarheden te identificeren; het actief jagen op endpoints die kunnen worden uitgebuit; en het verzamelen van informatie via een combinatie van commerciële, open-source en overheidsfeeds over bedreigingen. Door deze aanpak zijn organisaties beter toegerust om op bedreigingen te reageren en hun kwetsbaarheden te minimaliseren.[8]

Moderniseer de cloudinfrastructuur. Uit onderzoek van IBM is gebleken dat organisaties met een proactievere cloudstrategie datalekken 77 dagen sneller kunnen indammen. Door stappen te ondernemen zoals het migreren van legacy-cloudoplossingen, het bijwerken van beveiligingsbeleid en toegangscontroles, het verplichten van gebruikersverificatie voordat ze verbinding maken met cloudgebaseerde diensten en het dichten van gaten als gevolg van verkeerde configuraties in de cloud, kan de kans op een inbreuk worden verkleind en kan eenvoudiger worden vastgesteld waar en wanneer een inbreuk heeft plaatsgevonden.

Zorgen voor HIPAA-naleving. Hoewel de HIPAA Security Rule e-mailarchivering niet expliciet voorschrijft, schrijft deze wel voor dat bevoegde entiteiten zoals gezondheidssystemen en gezondheidsplannen "elektronische communicatie" gedurende ten minste zes jaar moeten bewaren. De regel vereist ook controle op toegang, audit en encryptie om de vertrouwelijkheid, integriteit en beschikbaarheid van elektronische beschermde gezondheidsinformatie (ePHI) te beschermen. E-mailarchivering en beveiligd berichtenverkeer kunnen zorgen voor naleving van de HIPAA-regels en tegelijkertijd de cyberresilience ondersteunen.

Gebruik AI om bedreigingen te herkennen en erop te reageren. Uit onderzoek van Mimecast blijkt dat bedrijven cyberaanvallen in minder dan een minuut moeten detecteren, in minder dan 10 minuten moeten onderzoeken en in minder dan een uur moeten verhelpen. Anders kunnen aanvallers zich over netwerken verspreiden, vaste voet aan de grond krijgen, hardnekkigheid bereiken en systeembronnen aftasten. Gezien het potentieel van hackers om levensreddende systemen offline te halen en hele faciliteiten te ontregelen, is een snelle reactie in de gezondheidszorg nog crucialer. Kunstmatige intelligentie (AI) en systemen voor machinaal leren kunnen bedreigingen sneller opsporen dan menselijke analisten - vooral in kleinere gezondheidszorgorganisaties met beperkte IT-middelen of cyberbeveiligingsdeskundigheid.

Maak gebruik van automatisering. Er zijn drie belangrijke voordelen van automatisering vanuit het oogpunt van cyberbeveiliging. Automatisering kan repetitieve bedrijfsprocessen standaardiseren, zoals de autorisatie van apparaten of gebruikers, die vatbaar zijn voor menselijke fouten. Het kan organisaties in staat stellen meer risicobeoordelingen uit te voeren, vooral omdat ze steeds meer contracten met derden afsluiten. En het kan onmiddellijk na het herkennen van een bedreiging een herstelproces in gang zetten, waardoor kostbare tijd wordt bespaard en cyberbeveiligingsteams meteen in actie kunnen komen.

De kern van de zaak

Bedrijfscontinuïteit is altijd een prioriteit geweest voor ziekenhuizen en gezondheidssystemen die 24/7 zorg bieden - en cyberaanvallen bedreigen in toenemende mate het vermogen van de gezondheidszorg om die missie te handhaven. Het ontwikkelen van een robuuste cyberbeveiligingsstrategie en het implementeren van meerdere beveiligingslagen zal organisaties beschermen tegen meer cyberaanvallen en hen helpen hun activiteiten en patiëntenzorg in stand te houden in het geval dat er een aanval plaatsvindt. Duik dieper op in de aanpak van Mimecast voor de uitdagingen en oplossingen op het gebied van cyberbeveiliging in de gezondheidszorg.

[1] "Datalekken in de gezondheidszorg bereiken recordhoogte in 2021, met gevolgen voor 45 miljoen mensen," Fierce Healthcare

[2] "Ponemon Research Report: The Impact of Ransomware on Healthcare During COVID-19 and Beyond," Ponemon Institute

[3] "2021 HIMSS enquête cyberveiligheid in de gezondheidszorg," Health Information and Management Systems Society

[4] "Cost of a Data Breach Report 2021," IBM

[5] "Medical Devices Are the Next Security Nightmare," Wired

[6] "Wat hackers eigenlijk doen met uw gestolen medische gegevens," The Advisory Board

[7] "Gezondheidszorg goed voor 79% van alle gemelde inbreuken, aanvallen stijgen met 45%," Gezondheidszorg IT-beveiliging

[8] "Healthcare Cybersecurity Report 2021-2022," Herjavec Group