Inhoudsopgave
Wat moet ik doen rondom cybersecurity?

Praktijkvraag 11

Wat moet ik doen rondom cybersecurity?

Paragrafen

Cybersecurity Wat kan ik ondervang... Hoe kan ik medische... Hoe ga ik om met toe... Wat kan ik nog meer...

Cybersecurity draait om een drietal componenten. Data moeten beschikbaar, integer en vertrouwelijk zijn. Als er een incident voorvalt, kan dit grote gevolgen hebben voor patiënten: de privacy van de patiënt kan in het geding zijn, maar ook de patiëntveiligheid. Ook kan het voor het imago van de zorginstelling een flinke klap betekenen.

Cybersecurity

Cybersecurity is een hot topic op dit moment, dat blijkt alleen al uit de jaarlijkse top-10 Health Technology Hazards van het ECRI Institute waarin de laatste jaren de risico’s omtrent IT een steeds prominentere rol spelen. Diverse regelgevingen verplichten zorginstellingen om deze risico’s goed af te dekken. Er komt geregeld een bericht in het nieuws dat patiëntgegevens gelekt zijn of afdelingen van ziekenhuizen tijdelijk gesloten zijn wegens computerstoringen.

 

Als een dergelijk incident voorvalt, kan dit grote gevolgen hebben voor patiënten: de privacy van

de patiënt kan in het geding zijn, maar ook de patiëntveiligheid kan in gevaar komen. Dit kan voor het imago van de zorginstelling een flinke klap betekenen. Cybersecurity draait om een drietal componenten. Data moeten beschikbaar, integer en vertrouwelijk zijn.

 

De beschikbaarheid van data is cruciaal voor de patiëntenzorg. Als patiëntgegevens niet beschikbaar zijn, wordt de zorg tijdelijk op de hele afdeling of zelfs de hele zorginstelling stilgelegd. Als patiëntgegevens niet integer zijn, betekent dit dat de data niet juist zijn. Als bijvoorbeeld de CT-scan bij een verkeerde patiënt staat geregistreerd kan dit desastreuze gevolgen hebben. De vertrouwelijkheid van data is belangrijk voor de privacy van de patiënt. Patiëntgegevens mogen niet in verkeerde handen komen. Inmiddels is de medische sector voor hackers erg interessant geworden.

De NEN 7510 (vanuit ISO 27001, ISO 27002 en ISO 27799) bevat veel verschillende aandachtspunten om verantwoorde zorg te leveren met een adequate beveiliging van de patiëntgegevens. In de toetsingscriteria staat een handreiking waarmee een organisatie getoetst wordt en waarmee ook een zelfevaluatie uitgevoerd kan worden. In die handreiking is ook toegevoegd wat specifiek voor medische apparatuur van toepassing is ten opzichte van alle criteria voor de andere medische informatietechnologie. De koppeling van medische apparatuur aan IT-netwerken maakt dergelijke systemen kwetsbaarder voor virussen en ongeautoriseerde toegang wat tot risico’s met zich meebrengt. Het is raadzaam om de gehele norm voor de organisatie van een bepaalde medische informatietechnologie door te lopen.

Wat kan ik ondervangen bij de selectie van medische systemen?

In de verwervingsfase van medische systemen is het belangrijk dat er op een aantal punten aandacht is voor cybersecurity. Het MDS2-formulier kan hiervoor een hulpmiddel zijn (bijlage XIII). Potentiële leveranciers vullen dit formulier in om informatie te verschaffen over security-aspecten. Deze aspecten kunnen dan goed beoordeeld worden. Een aantal belangrijke vragen die zijn opgenomen zijn:

  • Verstuurt het apparaat patiëntgegevens?
  • Heeft het apparaat exportmogelijkheden naar draagbare media (usb, dvd, et cetera)?
  • Welke communicatiemechanismen gebruikt het apparaat (bijvoorbeeld LAN, WLAN, VPN, IEEE1073, usb, firewire, bluetooth, wifi of infrared)?
  • Welk operating system gebruikt het apparaat?
  • Wat zijn de back-upmogelijkheden?
  • Wat zijn de boot-mogelijkheden?
  • Is het mogelijk om op afstand in te loggen?
  • Is het mogelijk om audit trails te genereren? Is er een inlog per gebruiker mogelijk, eventueel door scannen van een personeelspas bij belangrijke handelingen?
  • Kan het systeem geüpdatet worden?
  • Beschikt het systeem over een virusscanner of is de installatie hiervan mogelijk?
  • Kan het apparaat netwerkverkeer versleutelen?
  • Ondersteunt het apparaat encryptie naar media en borgt het de integriteit van deze data?

Het kan daarnaast goed zijn om een aantal punten al in het Pakket van Eisen op te nemen, bijvoorbeeld bij een Europese aanbesteding. Het gaat dan om:

  • de IT-infrastructuureisen van de zorginstelling om zo mogelijk aan te sluiten bij de standaard IT-infrastructuur;
  • de mogelijkheid tot encryptie van data;
  • gebruik van WPA2 als wifi wordt gebruikt;
  • een up-to-date virusscanner op het systeem;
  • het tijdig doorvoeren van up-to-date patches van OS en software;
  • de redundantie van servers;
  • de eis dat de leverancier geaccrediteerd is voor NEN 7510 (ISO 27001 en ISO 27002/27799).

Hoe kan ik medische informatietechnologie beveiligen?

 

Medische apparatuur of medische software wordt vaak in een bepaalde configuratie geleverd die gebruikt is tijdens de CE-certificering van het medisch hulpmiddel. Dit betekent vaak dat elke patch van bijvoorbeeld het Operating System (OS) eerst door een validatieproces gehaald moet worden door de leverancier. Regelmatig is het zelfs zo dat de leverancier geen patching doet op het geleverde systeem en ook geen virusscanning toelaat op het medische apparaat of de pc/server met medische software. De apparatuur en applicatie zijn dan erg kwetsbaar.

Om medische informatietechnologie toch te beveiligen bij afwezigheid van virusscanning of achterstalligheid in patching, kan de hardware in een apart (medisch) VLAN geplaatst worden, achter een firewall met IPS-functionaliteit (Intrusion Protection System). De firewall controleert vervolgens alle verkeer van en naar het VLAN waardoor het VLAN voor de buitenwereld is afgeschermd. 

Nadeel van het plaatsen van kwetsbare hardware in een VLAN is dat besmetting die eenmaal in het VLAN zit zich makkelijk kan verspreiden onder de kwetsbare apparatuur. Dit betekent dat bijvoorbeeld het gebruik van usb-sticks sterk gereguleerd moet worden. In principe is het het beste om het gebruik van usb sticks te verbieden op deze kwetsbare apparatuur en hiervoor de usbpoorten af te sluiten. Het is echter soms nodig om usb-sticks of aansluiting van service laptops via usb-poorten toe te staan voor

servicedoeleinden. Deze usb-sticks moeten dan vooraf gecontroleerd worden op virussen op een pc met adequate virusbeveiliging. De service laptops moeten ook voorzien zijn van deze adequate virusbeveiliging.

 

Als updates doorgevoerd kunnen en moeten worden, regel dit dan via een wijzigingsprocedure. Meer over de methodes om dit te organiseren staat in Praktijkvraag 8. In ieder geval worden, als dat mogelijk is, wijzigingen eerst in de OTA (Ontwikkel, Test, Acceptatie)-omgeving getest voordat ze in de productie worden doorgevoerd. Zie voor de inrichting hiervan Praktijkvraag 6.

 

De inrichting van remote service (voor wijzigingen en beheer) met de leverancier van medische informatietechnologie is ook erg belangrijk. Maak goede afspraken met de leveranciers wanneer en hoe de leverancier remote service kan verlenen. Om remote service veilig in te richten is een VPN-verbinding (Virtual Private Network) nodig en een token om de leverancier gecontroleerd toegang te verlenen. Log ook alle acties die gedaan zijn via deze VPN. 

Beschikbaarheid van dataverkeer wordt een steeds belangrijker aandachtsgebied nu veel systemen met elkaar gekoppeld worden. Zo is het verkeer van medische apparatuur via het netwerk cruciaal voor de zorg. Om belangrijk dataverkeer voorrang te geven kan het netwerk met Quality of Service (QoS) ingericht worden. Meestal wordt dan met het datapakketje een prioriteitsgetal meegegeven. Het is wel van belang dat apparatuur met deze technologie kan werken. Daarnaast is het geen sluitende garantie dat dataverkeer met hoge prioriteit voorrang krijgt. De leverancier van een product bepaalt het prioriteitsgetal. Zo kan een consumentenproduct ook een hoog prioriteitsgetal krijgen als het bijvoorbeeld afhankelijk is van continu streamen waardoor de prioriteit gelijk wordt aan het cruciale medische dataverkeer.

 

Om medische applicaties gedurende het testen van de productieomgeving te isoleren/ beveiligen wordt vaak gebruikgemaakt van een zogenaamde zandbak of sandbox. Dit is een beveiligde werkomgeving waarbij de te testen applicatie geen verstoring van de productie kan geven en tegelijkertijd afgeschermd is voor malware of virussen. Een zandbak kan ook als leer- en oefenomgeving voor gebruikers worden gebruikt.

Hoe ga ik om met toegankelijkheid van medische informatietechnologie?

Om te zorgen dat de medische informatietechnologie alleen toegankelijk is voor daartoe bevoegde personen, zijn er enkele beveiligingseisen aan verbonden.

De medische software moet met persoonsgebonden authenticatie en autorisatie te benaderen zijn waarbij de acties op en het inzien van data gelogd moet worden zodat ze tot individuele gebruikers te herleiden zijn. Het gebruiken van de medische software zit dan achter een wachtwoord dat regelmatig gewijzigd moet worden. Maak een goed onderbouwde afweging voor uitzonderingen hierop. Zo zien we in veel zorginstellingen dat de medische apparatuur te gebruiken is zonder wachtwoord of met een algemeen wachtwoord.

Er moet een risicoafweging gemaakt worden voor het niet tijdig en/of handig kunnen gebruiken van een medisch apparaat ten opzichte van het afschermen van de medische software. Met Enterprise Single Sign-On (ESSO) is de medische software op een makkelijke manier af te schermen. Dit werkt echter meestal (nog) niet bij medische apparatuur. Om de hardware (servers, pc’s, medische apparatuur, IT-infrastructuur) te beschermen moet de hardware zoveel mogelijk in een fysiek afsluitbare ruimte geplaatst worden. Alleen geautoriseerde personen kunnen zo bij de hardware.

Medische software heeft vaak diepere lagen die voor de klinische gebruikers afgeschermd moeten zijn omdat hier technische instellingen of de kern van de applicatie aangepast kunnen worden. Deze diepere lagen moeten beschermd worden met wachtwoorden die geregeld gewijzigd worden. Helaas zien we vaak dat men de fabriekswachtwoorden gebruikt, die voor alle instellingen gelijk zijn. Bekijk met de leverancier of deze wachtwoorden aangepast kunnen worden.

Omdat de bescherming erg afhankelijk is van de acties van gebruikers is scholing met de nadruk op bewustwording een belangrijke stap. Stel als basis hiervoor een beleid op waarin staat dat gebruikers regelmatig hun wachtwoorden moeten wijzigen en waaraan die wachtwoorden moeten voldoen. Neem in dit beleid ook mee dat de gebruikers de werkstations en apparatuur moeten afsluiten of vergrendelen zodra ze de medische software niet meer gebruiken. Geef ook aan dat de gebruiker de fysieke ruimte waarin pc’s en medische apparatuur staan, moet afsluiten bij het verlaten van deze ruimte.

Voor medische apparatuur is de bescherming lastig. Het is bijvoorbeeld vaak praktisch niet haalbaar om de software voor klinische gebruikers via wachtwoorden te beschermen of om fabriekswachtwoorden voor afscherming van technische instellingen te wijzigen. Het is van belang om hierover wel in gesprek te gaan met de leveranciers om te kijken of dit op termijn, via een voor de kliniek acceptabele manier, te realiseren is.

Als de wachtwoorden van medische apparatuur (gebruikers, technische instellingen, kernsoftware) gewijzigd kunnen worden, is het belangrijk om hier iemand verantwoordelijk voor te maken die dit periodiek doet. Deze taak kan bijvoorbeeld goed liggen bij de medische instrumentatietechnicus van het medische apparaat.

Wat kan ik nog meer zelf regelen?

Om te voorkomen dat data na het afvoeren van hardware in verkeerde handen vallen, moeten deze zo mogelijk van de hardware verwijderd worden door destructie van de harde schijf. Laat de leverancier een vernietigingsverklaring opstellen als hij de enige is die de patiëntgegevens van de hardware kan

verwijderen. Leveranciers van medische informatietechnologie komen vaak in aanraking met de software en medische gegevens van patiënten.

Daarom is het belangrijk afspraken te maken met leveranciers over geheimhouding. Dit kan in de vorm van een verwerkersovereenkomst. Een verwerkersovereenkomst is een overeenkomst waarin afspraken zijn opgenomen over het verwerken van persoonsgegevens door een derde partij. Een dergelijke overeenkomst is verplicht vanuit de Wbp (Wet bescherming persoonsgegevens) en AVG (Algemene verordening gegevensbescherming), die stellen dat een organisatie verplicht is maatregelen te nemen om de privacy van persoonsgegevens te beschermen. Dit betreft niet alleen patiëntgegevens maar ook gegevens van bijvoorbeeld medewerkers. Een organisatie blijft hiervoor verantwoordelijk, ook als zij bepaalde diensten door een derde partij laat uitvoeren. In een verwerkersovereenkomst worden daarvoor eisen en afspraken opgenomen. Denk hierbij bijvoorbeeld aan informatiebeveiliging, geheimhouding van informatie, melding van incidenten, interne controle en eisen aan certificering. De NVZ heeft een template voor de verwerkersovereenkomst opgesteld.

 

Naast een goede implementatie van beveiligingsmaatregelen en de instructie voor de medewerkers, is het erg belangrijk om een kwetsbaarheid te signaleren. Enerzijds kan dit gedaan worden door de signalering via ketenmonitoring per medisch systeem zodat er continue monitoring plaatsvindt op de Beschikbaarheid, Integriteit en Vertrouwelijkheid van de data. Anderzijds is het goed om op de hoogte te blijven van gevonden kwetsbaarheden. Leg een melding van een kwetsbaarheid vast in de verwerkersovereenkomst met de leverancier. Het is daarnaast ook van belang om beveiligingsmeldingen te volgen. Deze meldingen worden gedaan door bijvoorbeeld het ECRI Institute of door het recent opgerichte Z-CERT. Het Z-CERT ondersteunt zorginstellingen op het gebied van cybersecurity, onder andere door de deelnemers te informeren over kwetsbaarheden bekend bij het Z-CERT.

 

Meer informatie

Voor meer informatie over adequate beveiliging van persoonsgegevens verwijzen we naar publicaties van het European Union Agency for Network and Information Security (ENISA) en het Nationaal Cyber Security Centrum (NCSC). Voor de beveiligingsmeldingen kun je meer vinden op www.z-cert.nl en www.ecri.org.
Praktijkvraag 10 Hoe valideer ik software en wat heb ik dan aan een OTAP?
Download document (PDF)
Praktijkvraag 12 Hoe voorkom ik een datalek?
MT Integraal gebruikt cookies

Door cookies werkt de site goed en veilig. Ook kunnen we u beter informeren. Welk niveau van cookies en verwerken van persoonsgegevens wilt u dat wij gebruiken?

Meer informatie over cookies