De toepassing van innovatieve technologische oplossingen levert een steeds belangrijker bijdrage aan de kwaliteit en de betaalbaarheid van zorg. Als zorginstellingen deze oplossingen willen gebruiken, moeten ze wel meer aandacht besteden aan de cybersecurity van medische apparatuur dan dat tot op heden gebeurt. Er zijn diverse mogelijkheden om deze kwetsbaarheden te reduceren en de veiligheid van apparatuur te verbeteren.

Nieuwe technologieën maken ons leven een stuk gemakkelijker, maar vergroten ook de kans dat persoonlijke gegevens onbedoeld lekken. In 2015 werd er tijdens hackerconferenties veel aandacht besteed aan kwetsbaarheden in medische apparatuur zoals EEG-scanners. Dit trok ook de aandacht van de media. In april dit jaar publiceerde Deloitte een nieuw onderzoek naar de veiligheid van medische apparatuur in ziekenhuizen in 9 landen. Hieruit bleek dat verbeteringen op operationeel niveau nog steeds nodig zijn. Alle reden voor Deloitte om aandacht te vragen voor dit rapport, bij zowel het grote publiek als in de medische wereld en de cybersecurity industrie.

Kamerleden Verhoeven (D66) en Dijkstra (D66) hebben inmiddels Kamervragen gesteld naar aanleiding van deze publicatie. De minister heeft aangekondigd een quickscan uit te voeren naar informatiebeveiliging en privacy bij ziekenhuizen, maar wijst er wel op dat het primair hun eigen verantwoordelijkheid is. Zij zal er ook voor zorgen dat het onderwerp met de leden van het Informatieberaad (onder meer de zorgkoepels, de VNG en Zorgverzekeraars Nederland) zal worden besproken.

Meer bewustzijn
Het begon allemaal vorig jaar april, toen Deloitte een vergelijkbaar onderzoek uitvoerde in Nederland. Dit jaar besloten we het onderzoek uit te breiden naar 9 landen (waaronder Nederland) en 24 ziekenhuizen. Het bewustzijn rondom cybersecurity in Nederlandse ziekenhuizen was gegroeid sinds de vorige interviewsessies. Maar er is nog volop ruimte voor verbetering, zowel in Nederlandse ziekenhuizen als in ziekenhuizen in Zwitserland, Israël, Duitsland, Luxemburg, Tsjechië, Italië, Zuid-Afrika en Griekenland.

Standaardwachtwoorden
Ten eerste is het gebruik van standaardwachtwoorden voor medische apparatuur wijdverbreid. Enkele jaren geleden publiceerde hacker Scott Erven een lijst van 200 standaardwachtwoorden die overal ter wereld in ziekenhuizen werden gebruikt. Ons onderzoek bevestigt de resultaten: meer dan de helft van de ondervraagde ziekenhuizen bleek standaardwachtwoorden te gebruiken om hun apparatuur te beveiligen. Daardoor zijn ze kwetsbaar voor kwaadwillenden. Als zo’n apparaat direct op het ziekenhuisnetwerk is aangesloten, kunnen hackers gemakkelijk toegang krijgen tot alle gegevens op het apparaat en kunnen ze dit zelfs gebruiken als opstapje naar de rest van het netwerk.

Malware en privacywetgeving
De tweede opmerkelijke uitkomst, was dat 3 van de 24 ziekenhuizen in het afgelopen jaar te maken hadden met malware, die de operationele processen had kunnen verstoren. In één geval moesten de patiënten zelfs worden overgebracht naar een ander ziekenhuis. Ten derde bleek bijna de helft van de ziekenhuizen niet te weten of hun apparatuur voldoet aan de nieuwe privacywetgeving (zoals de EU General Data Protection Regulation). Dit kan ernstige gevolgen hebben voor de privacy van patiënten.

Geen reden tot paniek
Moeten we ons zorgen maken? Niet als we een paar essentiële stappen zetten. Tenslotte vormt het niet gebruiken van deze medische apparatuur een groter risico voor de gezondheid van patiënten dan het gebruik van apparatuur die een aantal vermijdbare kwetsbaarheden vertoont. Zo zal kwaadaardige software (malware) zich niet zo snel verspreiden als ziekenhuizen gebruik maken van gescheiden netwerken in plaats van alle apparatuur en IT in hetzelfde netwerk te plaatsen. Ook blijft de traditionele ‘firewall’ heel nuttig en zouden ziekenhuizen er goed aan doen om al het inkomende en uitgaande netwerkverkeer monitoren. Dit maakt het gemakkelijker om verdacht verkeer te blokkeren en weerstand te bieden aan digitale aanvallen.

Welke stappen zetten?
Het maatschappelijk belang van veilige technologie in de zorg is enorm. Patiënten verwachten dat al hun gegevens veilig zijn. Om de noodzakelijke verbeteringen te bereiken, moeten privacy en security vanaf de start worden meegenomen in het ontwerp van nieuwe technologische zorginnovaties.

Cybersecurity hygiëne is een ander belangrijk aspect. Iedereen van de IT-afdeling en de afdeling medische technologie, maar ook medisch personeel moet doordrongen zijn van het belang om usb-sticks en andere apparaten niet zomaar aan het netwerk te koppelen, omdat deze virussen kunnen bevatten die zich verspreiden over het hele ziekenhuisnetwerk. Het is verder van belang dat zorginstellingen een helder beveiligings- en privacybeleid hebben en een integrale managementstructuur op het gebied van ICT en medische technologie.

Digitale veiligheid nodig voor zorgkwaliteit
Zorgprofessionals en ondersteunend personeel zijn continu bezig met kwaliteit van zorg en de bijbehorende risico’s. Bewustzijn rondom digitale risico’s hoort daar tegenwoordig integraal onderdeel van te zijn. Awarenesstrainingen zijn een goed begin, maar continue aandacht in de hele organisatie blijft nodig. Om inzicht te krijgen in theoretische en praktische risico’s dienen regelmatig risicoanalyses en technische kwetsbaarhedenscans te worden uitgevoerd. Diverse leveranciers van medische apparatuur hebben MDS2-formulieren (Medical Device Security Manufacturer Disclosure Statement), waarin de cybersecurity risico’s van de bewuste apparatuur worden benoemd. Deze formulieren bieden al een gemakkelijk eerste aangrijpingspunt voor zorginstellingen maar worden nog lang niet altijd benut. Deze stappen dragen ertoe bij dat de veiligheid van medische apparatuur in ziekenhuizen zal toenemen. Gezien de steeds verder toenemende afhankelijkheid van technologie is dit essentieel voor het waarborgen van de kwaliteit van zorg waar we allemaal op rekenen.

Voor meer informatie:

Tekst: Jeroen Slobbe en Niek IJzinga; Security & Privacy team, Deloitte Risk Advisory

Bron: FMT Gezondheidszorg