Wat is er nodig om cybersecurity serieus aan te pakken?
WannaCry was twee jaar geleden de wake-up call voor de zorg
23 juli 2019 -
Zorgorganisaties zijn een geliefd object van cybercriminelen. De apparatuur die verbonden is met een ziekenhuisnetwerk is vaak eenvoudig te hacken en er gaan veel gevoelige gegevens om. Dat maakt een aanval kansrijk en de impact groot.
Er zijn maar weinig sectoren waar een cyberaanval zulke tastbare en potentieel levensbedreigende gevolgen heeft. "Maar juist de kwetsbaarheid van deze sector maakt dat IT-professionals in de zorg een stap extra zetten in cybersecurity." Dat zegt Martin van Son, Senior Account Executive bij Infoblox. Hij vindt dat veel sectoren op het gebied van digitale veiligheid een voorbeeld kunnen nemen aan de zorg.
Wake-up call
Uit onderzoek van Infoblox blijkt dat de ransomware-aanvallen van 2017 voor veel zorginstellingen een wake-up call zijn geweest. Zo heeft 95 procent van de zorginstellingen de investeringen in cybersecurity sindsdien stevig opgeschroefd. Van Son: "Dat klinkt misschien een beetje als mosterd na de maaltijd. U kunt ook zeggen: beter laat dan nooit. Het is ook begrijpelijk. Als uw fiets nog nooit gestolen is, koopt u minder snel een extra kettingslot. Heeft een dief een keer toegeslagen, dan neemt u maatregelen. Dat geldt ook voor digitale criminaliteit. Het is misschien een dure les, maar wel een les."
100 miljard schade door cybercrime
Cybercriminaliteit is voelbaar in de hele maatschappij, zeker in financieel opzicht. Deloitte voorspelde eerder al dat cybercrime de Nederlandse samenleving jaarlijks tien miljard euro kost. Deloitte ziet dat bedrag alleen maar toenemen en voorspelt zelfs een schadepost van 100 miljard euro binnen afzienbare tijd. Alert Online, een initiatief van overheid, bedrijfsleven en wetenschap, meldt dat 52 procent van de mkb-bedrijven in Nederland het afgelopen jaar te maken kreeg cybercriminaliteit. "Voldoende aanleiding dus om er serieus werk van te maken", zegt Martin van Son. Toch ziet hij in de dagelijkse praktijk dat niet alle bedrijven die urgentie voelen.
In de zorg ziet Van Son wel serieuze actie. Uit het onderzoek van Infoblox blijkt dat vrijwel alle zorginstellingen sinds 2017 extra geïnvesteerd hebben in IT-veiligheid. Het onderzoek laat ook zien dat IT-beheerders daardoor het gevoel hebben dat ze nu beter in staat zijn om te reageren op een cyberaanval dan twee jaar geleden. Van Son: "Dat komt voor een deel door verbeteringen in de basis van hun infrastructuur, waardoor afwijkend verkeer wordt opgemerkt, geïsoleerd en beoordeeld. Op die manier worden dreigingen aangepakt zodra ze zich voordoen, in plaats van achteraf wanneer de schade al is aangericht. Verder weten de IT-beheerders nu hoe ze adequaat kunnen reageren zodra zich toch een onvoorziene situatie voordoet." Zo heeft 41 procent van de zorginstellingen een plan op de plank voor de betaling van losgeld bij ransomware, mocht dat nodig zijn.
Continu nadenken over veiligheid
Technologie is volgens Van Son maar een deel van het antwoord op de toenemende cyberdreiging. "De IT-afdeling van een organisatie kan niet achterover leunen zodra de juiste basis er ligt. Bedrijven moeten continu strategisch nadenken over de veiligheid van hun netwerken, hoe deze worden ingezet door gebruikers en op welke vlakken de beveiliging nu of in de toekomst mogelijk tekortschiet. Cyberdreigingen ontwikkelen zich net zo snel als security-oplossingen dat doen. Stilstaan is geen optie."
Bovendien moet een organisatie adequaat en gestructureerd kunnen reageren in geval van een aanval. "Betaalt u wel of geen losgeld? Hoe voorkomt u dat een aanval op een deel van het netwerk zich verder verspreidt? Kijk naar de eigen IT-infrastructuur alsof het, net als in de zorg, om een zaak van leven of dood gaat."
Het draait vooral om alertheid en prioriteiten stellen, zegt Van Son ten slotte. "Geef cybersecurity de juiste urgentie, bezuinig niet op noodzakelijke investeringen en beweeg mee met de ontwikkelingen die zich steeds weer voordoen. Dat is niet makkelijk, maar het loont zeker. De zorg had een wake-up call nodig, maar kwam vervolgens wel in actie. Waarom zou u als organisatie wachten tot het een keer fout loopt om dan pas in beweging te komen?"