De zorgsector is een belangrijk doelwit voor cybercriminelen. Criminelen richten zich al lang niet meer alleen op de standaardsystemen, maar hebben ook databases, medische apparatuur en back-ups als doelwit. Echter, niet alleen cybercrime is het probleem. Ook de eigen medewerkers zijn onbewust onbekwaam als het aankomt op digitale veiligheid. Dit zorgt regelmatig voor open deurtjes voor cybercriminelen om binnen te komen. De meest eenvoudige zaken worden over het hoofd gezien in deze digitale wereld. Denk hierbij aan phishing e-mails, wachtwoordbeleid en websitebeveiliging. Op Safer Internet Day is het tijd om hiermee af te rekenen. Daarom deelt Teun Vink, Security Officer bij BIT, vijf praktische handvatten om een veiliger internet te garanderen in de zorg.

  1. Wachtwoorden opslaan en delen

In recent onderzoek van BIT geeft meer dan een kwart van de zorgmedewerkers aan dat het wachtwoord van de werkcomputer bekend is bij minimaal één ander persoon in de privé-omgeving. Met deze inloggegevens hebben derden in 38 procent van de gevallen toegang tot bedrijfssystemen en -informatie. Naast dat wachtwoorden worden gedeeld met derden, schrijft de helft wachtwoorden op een post-it en een kwart mailt deze naar zichzelf om het niet te vergeten.

 

Dit zijn schokkende conclusies. Over het algemeen ervaren we wachtwoorden als lastig en vervelend, maar feit is dat ze onmisbaar zijn en we er dus mee om moeten leren gaan. Als organisatie is het belangrijk om medewerkers te faciliteren en gepaste oplossingen te bieden. Denk hierbij aan het gebruik van passwordgenerators en -managers. Idealiter zijn deze tools ook beschikbaar op mobiele devices, zodat medewerkers gemakkelijk en snel toegang hebben tot de wachtwoorden. Om niet eenieder bij de wachtwoorden te laten, is het cruciaal dat deze oplossingen worden beveiligd middels bijvoorbeeld fingerprint. In het geval van derden die gebruikmaken van werkdevices, is het goed om gastaccounts aan te bieden. Zo zijn bedrijfssystemen en -informatie veilig gesteld.

 

  1. Bewustzijn rondom malafide e-mails

In het onderzoek komt ook naar voren dat veel medewerkers malafide e-mails en bestanden bij twijfel openen op een werkdevice. Hierdoor is bijna een kwart van de werkcomputers of -laptops weleens geïnfecteerd met een virus. Daarnaast weet tien procent van de respondenten niet of dit gevolgen heeft gehad. Een verklaring voor het feit dat werknemers malafide e-mails en bestanden openen, is dat zij het gevoel hebben dat de IT-afdeling het allemaal wel geregeld heeft. Zij lossen het wel op. Echter is het juist belangrijk om bewustzijn te creëren bij personeel. Om de internetveiligheid verder te verhogen, is het cruciaal dat medewerkers getraind en opgeleid worden. Informeer vanuit de IT-afdeling medewerkers over de ontwikkelingen op securitygebied, geef inzicht in de risico’s en vraag aandacht voor de maatregelen. Twee keer per jaar kan al afdoende zijn. Denk bijvoorbeeld aan een korte presentatie tijdens de afdelingsoverleggen. Dit helpt de IT-afdeling ook direct een vertrouwd gezicht te geven binnen de organisatie.

 

  1. Websitebeveiliging

Een groot deel van het webverkeer in de zorg is nog altijd slecht beveiligd. Zo maakt twee derde geen gebruik van veilige https-verbindingen. Dit betekent dat het verkeer niet versleuteld wordt met een SSL-certificaat. Dit is een verontrustend gegeven, zeker met het oog op de aankomende wet- en regelgeving; de AVG. De zorg heeft constant te maken met persoonsgegevens. Patiënten moeten bijvoorbeeld gegevens invoeren op websites. Wanneer deze niet versleuteld zijn, bestaat de kans dat een ander deze gegevens kan aftappen. En met de AVG staan hier behoorlijke boetes op.

 

Tegenwoordig zijn er goedkope en zelfs gratis SSL-varianten beschikbaar. Kosten kunnen wat mij betreft dan ook echt geen excuus meer zijn. Het is een kwestie van prioriteiten stellen en dit moet nu toch wel echt een keer bovenaan de lijst staan. De investering in tijd en kosten is minimaal. Dus wat weerhoudt u nog?

 

  1. Internet of Things-overwegingen

Steeds meer apparaten worden verbonden met het internet en aan bedrijfsnetwerken gekoppeld. Er zijn dan ook al verhalen bekend over infuuspompen die gehackt zijn op afstand. Voor patiënten is dit logischerwijs angstaanjagend, om nog maar te zwijgen over de reputatie van de zorginstelling. Denk nooit: ik ben niet interessant genoeg voor een hacker. Zij kunnen apparaten altijd gebruiken voor aanvallen. Hierom is het essentieel om goed na te denken over de security van IoT-apparaten. Bedenk bijvoorbeeld of het nodig is dat apparaten constant verbonden zijn met het netwerk of dat deze alleen verbinding maken op het moment dat dit nodig is. Daarnaast maken bezoekers ook gebruik van het netwerk, dus zorg ervoor dat er gescheiden netwerken zijn voor intern en extern gebruik. Pas hierbij ook netwerkauthenticatie toe. En tot slot is het essentieel om altijd software-updates uit te voeren op IoT-apparatuur.

 

  1. Betrek medewerkers bij maatregelen

Er moet een goede balans zijn in de maatregelen. Enerzijds moeten deze afgedwongen en gecontroleerd kunnen worden en anderzijds moeten ze werkbaar blijven. Het is dan ook goed om het belang van de genomen maatregelen toe te lichten aan medewerkers. Wanneer zij de noodzaak van een maatregel niet inzien, is de kans groot dat zij eromheen gaan werken. Denk maar eens aan medewerkers die allemaal een eigen computeraccount hebben, maar niet uitloggen na de dienst en een ander verder werkt in hetzelfde account. Het is natuurlijk de bedoeling dat men uitlogt en het eigen account gebruikt. Het is daarom raadzaam om werknemers te betrekken tijdens het opstellen van maatregelen, laat hen met ideeën komen.

 

Kortom, investeren in digitale veiligheid is cruciaal. Dit is een stukje techniek, maar ook zeker het medeverantwoordelijk en bewustmaken van werknemers. Bovenal is het de kunst om niet teveel barrières op te werpen, maar begrip te creëren voor de maatregelen.

 

Bron: BIT