Trends op de Zorg en ICT beurs

 Zorg en ICT beurs 5, 6 en 7 april 2016 in de Jaarbeurs

Tijdens de beurs werden drie dagen lang lezingen gegeven door bedrijven die vanuit verschillende invalshoeken databescherming onder de nieuwe wetgeving belichtten. Zo waren er bestuurders, patiëntenorganisaties, juridische bureaus en softwarebedrijven die ethisch hackers in dienst nemen om in opdracht systemen te testen. Hieronder een compilatie van de meest opvallende informatie die mij ter ore kwam. (citaten van data-professionals, namen bij de redactie bekend)

Door V.F. Wiendels

Bestuurders

De meeste datalekken komen niet van hackers, maar van de medewerkers.

Ik kan in het systeem zien dat iemand na kantoortijden urenlang in dossiers leest. Dan vind ik dat verdacht en ga ik uitzoeken of dat wel klopt. Bij thuiswerkers heb ik die controle niet. Ik zie niet op hun computer of ze nog bezig zijn. Je hebt toch een check minder.

Juristen

Ook de naam van een patiënt gekoppeld aan een specialist of afdeling is een datalek, ook al kan men niet in het hele dossier. Men kan zo zien welke soort aandoening de patiënt heeft.

Als men onderzoekers toelaat tot patiëntenbestanden dan moet die data gepseudonimiseerd zijn.

Patiëntenbelangen

De patiëntveiligheid is in het geding. Als medische gegevens in verkeerde handen vallen wordt de zorg duurder dan noodzakelijk. Mensen zijn bijvoorbeeld langer niet inzetbaar. Bij een onprofessioneel data systeem neemt tevens de kans op medische fouten toe. Zo kwam door foutieve koppeling van bestanden een verkeerde röntgenfoto in een dossier, waardoor een verkeerde behandeling plaatsvond. De kwaliteit van de zorg is de grootste peiler onder het beleid van een zorginstelling: daarom moet dataprotectie in de missiestatement van de instelling staan. Er moet een CISO (Chief Information Security Officer) in het bestuur zitten.

Wie laat zich nu leiden door wie? Pak de regie terug, als iets niet kan of als iets moet: wie heeft hier de leiding? Het systeem moet de patiënt dienen, niet andersom.

ICT en administratieve lasten worden in één zin genoemd. ICT wordt gezien als last. Als iemand databescherming als een juridische last ziet, dan zegt men feitelijk dat men er geen controle over heeft. Het is die mentaliteit waardoor men niet beseft dat dankzij die data je werk mogelijk is.

Creëer vertrouwen, durf transparant te zijn. Zie ICT als kans en niet als beperking. Vertrouw meer op de patiënt. Vertrouwen is eerlijk zijn over wat je wel weet maar ook over wat je niet weet. Beide kanten moeten open zijn.

Controle op het systeem  is gratis als je dit door de patiënt laat doen. Geef de patiënt meer toegang en je hebt direct een check of alles wel klopt en waardevolle feedback op wat niet goed loopt. Als de patiënt kan zien wie er in het dossier heeft gekeken heb je nog een gratis controle. Anders moet je betaalde mensen inhuren voor de loggingscontrole.

Verzekeringen hebben alle macht naar zich toegetrokken. Ze hebben van heel Nederland allerlei medische data in handen. Ze kunnen meta-analyses uitvoeren. Die metadata zouden onderzoekers en artsen graag ook willen inzien, omdat hen dit zou kunnen helpen bij het begrijpen van het verloop van ziektes. Je kunt ziekenhuizen vergelijken, of verschillende behandelmethodes. Maar de verzekeraars geven die metadata niet, en gebruiken het alleen voor hun eigen doeleinden. Waarom is dat eigenlijk? Die data is niet hun eigendom.

CartoonJasonGoto

Cartoon door Jason Goto via Flickr.

Ethisch hackers

De eerste manier waarop cybercriminelen geld verdienen is door middel van afpersing. Met encryptie maakt men het databestand onleesbaar en alleen na betaling geeft men de sleutel waarmee de data weer leesbaar wordt (een ziekenhuis in België betaalde zoals gezegd 17.000 euro)

Een tweede manier waarop cybercriminelen geld verdienen is verhandeling van databestanden op het darkweb. Ook hier staan medische gegevens met stip op 1 van meest gewilde data:

  • 81% medical records
  • 64% patient billing information
  • 50% clinical trials en other research

Zestig procent van wat we zien is ransomware.

Er gaat meer geld in om dan in de drugsindustrie

Ik stuur bij mijn pentests wel eens een mailtje naar mensen in het bedrijf”, vertelt een ethisch hacker tijdens een druk bezochte lezing. Zogenaamd van de systeembeheerder, met een mailadres dat op dat van de systeembeheerder lijkt. In de mail staat ”ik doe een wachtwoordcontrole, wilt u hier uw wachtwoord invullen?” En 38% van de ontvangers doet dat gewoon!

Oscar Koeroo KNPDe informatie bij medische bestanden is netjes georganiseerd, alles staat mooi compleet bij elkaar: de persoonsgegevens, de medische gegevens en de betaalgegevens. Dat is ideaal voor een hacker. Sommige handelaren kopen via darkweb diverse databestanden op en proberen die aan elkaar te koppelen en door te verkopen: Het is meer waard als het per persoon compleet is. Bij medische gegevens staat alles al bij elkaar, daarom is het zo gewild.

De ethisch hacker hackt in opdracht om zo de zwakke punten in de beveiliging bloot te leggen en die te delen met het bedrijf. Daarnaast zijn er de volgende typen hackers:

  • Individuele hacker
  • Hacktivist (uit ideële overtuiging bijvoorbeeld geld overmaken naar Wikileaks terwijl de V.S. betalingen blokkeert, of de Panama Papers: journalistieke hacks om informatie boven water te krijgen
  • Cybercriminal (zwarte hacker)
  • State actor (landen die elkaar hacken om politieke redenen)
  • Bedrijven die informatie van de concurrent stelen of hen dwars zitten

Een zwarte hacker verdient veel meer dan een ethisch hacker. Terwijl die pentester ook bij al die data kan. Je bent idealistisch, maakt overuren, houdt je kennis uptodate, je geeft cursussen, leidt mensen op. En dan loop je binnen bij een bedrijf dat je ingehuurd heeft om de beveiliging te testen. En meteen bij de receptie zie je een post-it met het wachtwoord op het scherm geplakt. Dan zakt de moed je wel in de schoenen.

Wat moet een bedrijf of instelling wél doen:

  1. Meerlagige beveiligingsstructuur. Intrusion Detection System.
  2. Continue waakzaamheid
  3. Aandacht voor bewustwording, cyberhygiènetrainingen en educatie
  4. Extra aandacht voor een legacy systeem (een oud systeem dat nog gebruikt wordt naast een nieuw) en voor de backup.
  5. Doorlopend risico-assesment. Extern bedrijf inhuren om het systeem te testen. (laat je ethisch hacken)

Een DDoS aanval is een klassieke afleidingsmaneuvre. Als ik een DDoS aanval zie denk ik meteen: okee, en waar is nu het echte datalek?

3744236806_40bd359d88_bAndere datalekken die ik tegenkom:
Mails verzonden naar verkeerde adressen. Afgedankte en niet schoongemaakte computers. Gestolen laptops en usb sticks. De oplossing hiervoor is encryptie. Dit is veel makkelijker dan men denkt. Met een simpele encryptie van zulke mobiele data kun je datalekken voorkomen.

Tot slot: wees niet bang om vragen te stellen. Een goede vraag is bijvoorbeeld: wat als mijn harddisk kapot is? Hier moet een procedure voor zijn.
Hoe vernietig ik data als die niet meer gebruikt wordt? Daar moet van tevoren over nagedacht zijn. Dat verhoogt de kosten natuurlijk; die kosten moeten zijn meegerekend.

admin

Antropoloog. Journalist. Informatieve teksten. Onderzoek. Interviews.

One Comment

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *