Tech

Kwetsbare eindgebruiker zet deur naar cyberaanval open

Kwetsbare eindgebruiker zet deur naar cyberaanval open

De digitale informatieketen in de zorg, meer in het bijzonder het landelijke schakelpunt (LSP), is kwetsbaar voor cyberaanvallen door onvoldoende beveiliging van PC’s, laptops, tablets en smartphones van eindgebruikers zoals huisartsen. Hierdoor kunnen computers die met honderden virussen en malware besmet zijn toegang krijgen tot het digitale informatienetwerk.

Dat zegt Daniëlle van Leeuwen van databeveiliger G Data in Skipr magazine 01, januari 2016. Van Leeuwen baseert zich op onderzoek naar de digitale veiligheid in de eerste lijn. De spil in het digitale dataverkeer in de zorg is nog altijd het Landelijk Schakelpunt (LSP).  Om toegang tot het LSP te krijgen moet een zorgaanbieder voldoen aan de vereisten van een Goed Beheerd Zorgsysteem. Die vereisten hebben onder meer betrekking op de inrichting van het digitale patiëntendossier en de bijbehorende opslag en beveiliging van gegevens. Maar over de computer of laptop die de huisarts gebruikt wordt met geen woord gerept, zo constateert Van Leeuwen.

Daarbij zijn de eisen volgens Van Leeuwen ook nog eens verouderd en worden ze niet meer geactualiseerd. Tot 2013 zag het nationaal IT-instituut NictiZ hier op toe, maar nadat minister Schippers noodgedwongen de stekker uit het project voor een landelijk EPD trok, hield ook de bemoeienis van het NictiZ op. “Een totaal geïnfecteerde computer met daarop honderden virussen en malware, kan zodoende  zonder problemen aangemerkt worden  als een Goed Beheerd Zorgsysteem”, stelt Van Leeuwen. “De gebruiker krijgt zo toegang tot het LSP en daarmee in principe ook tot alle medische dossiers die zijn opgenomen in het LSP.”
Met de nieuwste generatie bank-trojanen is het volgens Van Leeuwen voor kwaadwillenden een koud kunstje om ongemerkt mee te liften.

Daarnaast staan de digitale dossiers van de huisarts zelf ook wijd open. “De huidige EPD-systemen worden niet ten onrechte als heel veilig verkocht. De cloud waarin het EPD zit is goed beveiligd”, zegt van Leeuwen. “Maar wanneer een huisarts iets met zijn eigen computer ophaalt uit de cloud vervalt die beveiliging. Het is van groot belang dat de gebruiker ook zelf voortdurend anti-malware installeert, maar dat is nergens verplicht. In de praktijk werken veel huisartsen juist met verouderde software  die niet langer wordt geserviced.”

De huidige dubbele authenticatie van een Goed Beheerd Zorgsysteem is volgens Van Leeuwen in de praktijk vaak een wassen neus. Tachtig procent van de gebruikers hanteert het standaard ingestelde wachtwoord ‘welkom’ of een variant hierop. De bijhorende UZI-passen zitten door laksheid van de gebruikers of omdat de bijhorende software dat vereist bovendien vaak continu in de houder. 

IT-directeur Ton Hafkamp van Ziekenhuis St Jansdal in Harderwijk deelt de zorgen over de dunne plekken in de digitale informatieketen. “In de keten zitten nog grote verschillen in het  beveiligingsniveau”, aldus Hafkamp in Skipr magazine. “In een zorgecosysteem waarin steeds meer informatie wordt uitgewisseld levert dat risico’s op. Als er ergens niet consequent veiligheidsupdates worden uitgevoerd kun je als organisatie die dat wel doet alsnog in de problemen komen.”

De digitale veiligheid in de zorg wordt verder gecompromitteerd door de groeiende complexiteit van het applicatielandschap. Een beetje ziekenhuis heeft al snel vijfhonderd tot duizend applicaties draaien en telt tot dubbel dit aantal aan workstations. “Daarmee ontstaat een digitale infrastructuur waarvan je niet van A tot Z weet hoe die in elkaar zit”, constateert Martijn van de Beek, operationeel directeur van Hoffmann bedrijfsrecherche. “Zo loop je het risico dat zo’n systeem zonder er erg in te hebben niet up to date is, maar wel in verbinding staat met het internet en andere netwerken.”

Het Ministerie van Veiligheid en Justitie wees er dit najaar in het meest recente Cybersecuritybeeld op dat de zorg “gezien de hoeveelheid geld die ook in Nederland in deze sector wordt omgezet, mogelijk een aantrekkelijk doelwit is”. Vrijwel alle aanbieders en zorgverzekeraars die serieus werk hebben gemaakt van digitale veiligheid zeggen te merken dat “er dagelijks aan de deur gemorreld wordt”.

Lees het verhaal over digitale veiligheid in de zorg in Skipr magazine 01, januari 2016.

   

 

2 Reacties

om een reactie achter te laten

tjark reininga

24 december 2015

de waarschuwing is natuurlijk volledig terecht. maar is de consequentie die er aan verbonden wordt dat ook?
enerzijds maken we - individuele burgers, ondernemers en de overheden, om de drie grootste groepen te noemen - steeds meer van digitale systemen gebruik. voor communicatie, maar meer nog voor handel en dienstverlening. om dat gebruik te faciliteren moeten die systemen toegankelijk zijn, liefst met zo min mogelijk drempels. en dat geldt voor websites en voor de databases die daaraan verbonden zijn.
maar de informatie in die systemen moet betrouwbaar zijn en veilig, en vaak toegankelijk voor partijen met diverse belangen en bevoegdheden. en dat vraagt om drempels en deuren, die met degelijke sleutels beveiligd zijn en bewaakt worden.
het zijn deze Scylla en Charibdis waartussen de regelgevers moeten laveren.

Glenn Mitrasing

24 december 2015

Is VZVZ al om een commentaar gevraagd? Die stellen simpelweg "het LSP voldoet aan de wet en is dus veilig.. "

Top