KPN
Informatiebeveiliging in de zorg Inzicht in de status van informatiebeveiliging binnen ziekenhuizen
Onderzoek
2
Inhoud
Voorwoord Managementsamenvatting KPN onderzoekt informatiebeveiliging in de zorg Onderzoeksmethode Organisatie en besturing Compliance en aansprakelijkheid Awareness Budgettering Risico- en incidentmanagement Risico’s en zorgen Patiëntgegevens Cybersecurity ICT en bedrijfscontinuïteit Conclusies en aanbevelingen Contactgegevens
4 5 6 8 10 14 18 20 24 26 28 30 32 36 38
Maart, 2015
3
Voorwoord
Hoe is het in Nederland gesteld met de informatie beveiliging in de zorg? Dat was de centrale vraag van een onderzoek dat KPN-consultants begin dit jaar onder negentien ziekenhuizen hielden. Het leverde een rapport op met wetenswaardige resultaten en bevindingen. Zo vinden de meeste ziekenhuizen dat (de aandacht voor) informatiebeveiliging thuishoort op het niveau van de Raad van Bestuur. Ook blijkt dat veel ziekenhuizen hun maatregelen nemen om kwetsbaarheden in hun ICT-systemen op te sporen. Tegelijkertijd komen er in het rapport aandachtspunten naar voren, waaruit blijkt dat informatiebeveiliging nog niet altijd de aandacht krijgt die het verdient. Zo blijken sommige ziekenhuizen onvoldoende in staat om continu te monitoren op de risico’s van cybercriminaliteit en diefstal van patiëntgegevens. Voor KPN zijn de onderzoeksresultaten vanuit meerdere oogpunten waardevol, omdat we voor onszelf een belangrijke rol zien weggelegd om de gezondheidszorg via innovatieve, efficiënte en veilige ICT-diensten toegankelijk én betaalbaar te houden. Bijvoorbeeld
met e-Health-toepassingen, het uitwisselen van informatie tussen zorgprofessionals of overal en altijd toegang tot de zorgwerkplek. Dat een goede (data) beveiliging en de privacy van patiënten daarbij gewaarborgd moeten zijn, is voor ons een vanzelf sprekendheid. Reden waarom KPN als eerste telecom provider in Nederland van de overheid het Privacy Waarborg-keurmerk heeft ontvangen. Ook op dat vlak kan en wil KPN een substantiële bijdrage leveren aan de gezondheidszorg, met als basis ons betrouwbare vaste en mobiele netwerk. Zorg is onze zorg. Samen met ziekenhuizen en andere gezondheidsinstanties wil KPN nieuwe ICT-toepassingen ontwikkelen én de informatie beveiliging naar een ‘next level’ tillen. Het rapport geeft voldoende aanknopingspunten om daar verder invulling aan te geven. Tot slot wil ik de ziekenhuizen en hun Chief Information Security Officers bedanken voor hun medewerking aan het onderzoek. Zonder hun bijdrage zou de publicatie van dit rapport niet mogelijk zijn geweest.
Eelco Blok Voorzitter Raad van Bestuur KPN
4
Managementsamenvatting
Patiëntenzorg gaat tegenwoordig verder dan het zo snel mogelijk behandelen van een ziekte of aandoening. Ook de zorg voor de informatie van en over die betreffende patiënt valt onder de verantwoordelijkheid van de instelling. In dit rapport zijn de resultaten verwoord van het KPN onderzoek naar informatiebeveiliging binnen de zorg. KPN Security Consultants hebben de Chief Information Security Officers van negentien ziekenhuizen bevraagd over uiteenlopende aspecten van informatiebeveiliging in hun ziekenhuis. Vanuit onze kennis en expertise zijn vragen geformuleerd die het thema informatiebeveiliging in de zorg in de breedte afdekken. De meest in het oog springende constateringen zijn: • Maar liefst 79% van de ziekenhuizen beschouwt informatiebeveiliging als prioriteit op Raad van Bestuur niveau. Het budget blijft echter achter bij de toenemende risico’s rond het verlies van patiënt gegevens, sociale media, malware en verouderde soft- en hardware. Het meten van return on security investment heeft nauwelijks aandacht.
• Het voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging staat hoog op de agenda van de Raad van Bestuur en wordt als enigszins effectief ervaren in het verlagen van risico’s. Meer dan de helft van de deelnemende ziekenhuizen voert dan ook periodieke compliance reviews uit om de benodigde processen te evalueren. Een derde van de ziekenhuizen voert deze momenteel niet uit. • Een groot deel van de deelnemende ziekenhuizen zet op regelmatige basis ethical hackers in om kwetsbaarheden in systemen te identificeren. Echter continue monitoren op cybercriminelen en data diefstal van onder meer patiëntgegevens wordt niet structureel toegepast. KPN heeft dit rapport met zorg samengesteld. Veel dank gaat daarbij uit naar de ziekenhuizen die een bijdrage hebben geleverd aan de totstandkoming van dit verslag. Zij staan aan de basis van dit onderzoek. We hopen met dit rapport een bijdrage te leveren aan de zorgsector. Daarnaast bieden we hiermee aanvullend inzicht in de huidige status en de volgende stappen in de informatiebeveiliging binnen ziekenhuizen in Nederland. Marco Heemskerk Jan de Heer Erik van der Meij Alain Rees Tomas Smulders
5
KPN onderzoekt informatiebeveiliging in de zorg
De Nederlandse zorgsector staat voor grote uitdagingen. De zorg moet efficiënter zonder verlies van kwaliteit; soms staat er zelfs grotere kwaliteit tegenover. Tegelijkertijd is er – onder meer als gevolg van een vergrijzende samenleving – steeds meer vraag naar zorg. Onder invloed van ICT neemt het gemak, maar ook de complexiteit toe. Overheden en maatschappij stellen steeds meer eisen, zowel aan de kwaliteit van zorg als aan de veiligheid – ook van gegevens. ICT neemt in deze ontwikkelingen een centrale plek in: het levert innovatie en efficiëntie op. Medische informatie vindt snel haar weg naar de juiste specialisten. Patiënten kunnen vanuit huis chatten met hun arts of eenvoudig hun dossier inkijken en gegevens over hun bloeddruk invoeren. Straks nemen patiënten hun eigen eHealth-data mee en is het Internet of Things niet meer weg te denken uit de zorg. Samengevat kunnen we stellen dat ICT-systemen complexer worden en bovendien steeds vaker aan elkaar gekoppeld. De invloed van bedrijven die medische ICT leveren, groeit daarmee vanzelf. Parallel aan deze technische ontwikkelingen lopen organisatorische veranderingen binnen de zorgsector zelf. Ziekenhuizen besteden soms zorgtaken uit, werken intensiever samen of stoten taken af. Gevolg: ze moeten – veel meer dan voorheen – gegevens met elkaar delen. Logischerwijs brengt dit nieuwe risico’s met zich mee. Daarbij groeit de bezorgdheid om de veiligheid van patiëntgegevens. Brussel werkt aan de Algemene Verordening Gegevensbescherming (AVG), dit is nieuwe regelgeving rond privacy. Deze verordening heeft verstrekkende gevolgen voor organisaties die te weinig doen aan bescherming van persoonsgegevens. In ons eigen land werkt Den Haag aan de meldplicht datalekken
6
en heeft het ministerie van Volksgezondheid, Welzijn en Sport onlangs de informatiebeveiligingsnormering voor de zorgsector (NEN 7510) vrijgegeven.
Al deze ontwikkelingen hebben bij KPN de vraag doen rijzen hoe het eigenlijk gesteld is met informatiebeveiliging binnen de Nederlandse ziekenhuizen.
Bij een globale analyse van de situatie is een vergelijking tussen gezondheid en informatiebeveiliging bijzonder verhelderend. Mensen doorstaan in de relatief korte tijd tussen opstaan en op hun werk aankomen duizenden gevaren. Bijvoorbeeld in de vorm van op de loer liggende bacteriën die infecties kunnen veroorzaken. Gelukkig zijn we ons daar niet bewust van: de bescherming zit ‘in ons systeem’, ons lichaam. We maken daarbij onbewust gebruik van een enorme hoeveelheid preventieve maatregelen. Denk aan opvoeding, hygiëne, gezonde voeding, beweging, kennis en ervaring. En mocht het een keertje misgaan, dan geeft ons lichaam dit meestal aan in de vorm van koorts of pijn. Om de impact van een dergelijk incident te beperken gaat het lichaam vaak zelf aan de slag. Soms is er aanvullend medicatie of zelfs behandeling nodig.
Informatiebeveiliging is, in tegenstelling tot onze eigen gezondheid, nog lang niet zover. Het instinct, het automatisme ontbreekt. Bovendien is de urgentie niet bij iedereen even hoog en missen we eenvoudigweg duizenden jaren kennis en ervaring. Daarvoor is de informatietechnologie nog te jong. Conclusie: we moeten in de zorgsector wat ICT betreft goed nadenken over risico’s, preventie, detectie en repressie. Zonder de kwaliteit van leven/gebruikersvriendelijkheid uit het oog te verliezen.
Patiëntenzorg gaat tegenwoordig verder dan het zo snel mogelijk behandelen van een ziekte of aandoening. Ook de zorg voor de informatie van en over die betreffende patiënt valt onder de verantwoordelijkheid van de instelling die deze informatie verzamelt, bewaart, bewerkt, verstuurt en uitwisselt. Meten is weten, ook in de zorg. Daarom steekt KPN met dit onderzoek naar informatiebeveiliging een thermometer in de zorg.
7
Onderzoeksmethode
Negentien ziekenhuizen zijn door KPN bevraagd over essentiële voorwaarden en aspecten van informatie beveiliging in hun ziekenhuis. In dit rapport gaan we in op die verschillende onderdelen. KPN heeft een representatieve groep ziekenhuizen geïnterviewd op basis van gestandaardiseerde vragenlijsten. Vanuit onze kennis en expertise hebben we vragen geformuleerd die het thema informatiebeveiliging in de zorg volledig afdekken. KPN security consultants hebben de Chief Information Security Officers (verantwoordelijken voor informatiebeveiliging) van de deelnemende ziekenhuizen geïnterviewd. Uitgangspunt in de gesprekken waren 2 gestructureerde vragen, met bij bepaalde vragen nog een set subvragen. De geïnterviewden wisten van tevoren niet welke vragen KPN ging stellen. Bij de beantwoording van de vragen konden geïnterviewden een score aangeven op een schaal van 1 tot 5: 1 is erg laag, 5 erg hoog. Daarnaast is een aantal gesloten (ja/nee-vragen) en open vragen gesteld. Bij sommige antwoordscores is een beperkte toelichting opgenomen. Van elk interview zijn de antwoordscores schriftelijk vastgelegd. Om tot dit rapport te komen, zijn de resultaten van de interviews samengevoegd. De bevindingen en conclusies zijn generiek qua karakter en niet traceerbaar naar een individueel ziekenhuis.
In totaal hebben negentien ziekenhuizen meegewerkt aan dit onderzoek waarvan drie academisch: • AMC (Amsterdam) • Erasmus MC (Rotterdam) • VUmc (Amsterdam) Zestien verschillende algemene ziekenhuizen verdeeld over heel Nederland: • • • • • • • • • • • • • • • •
Amphia Ziekenhuis (Breda) Bernhoven (Uden) HagaZiekenhuis (Den Haag) Isala (Zwolle) Maasziekenhuis Pantein (Beugen) Martini Ziekenhuis (Groningen) Rijnstate (Arnhem) Röpcke-Zweers (Hardenberg) (Saxenburgh Groep) Sint Maartenskliniek (Nijmegen) Slingeland Ziekenhuis (Doetinchem) Spaarne Ziekenhuis (Hoofddorp) VieCuri Medisch Centrum (Venlo) Ziekenhuis Bronovo (Den Haag) Ziekenhuis Gelderse Vallei (Ede) Ziekenhuis Tergooi (Hilversum) ZorgSaam Ziekenhuis (Terneuzen).
Daarnaast is André Beerten van Octopus informatiebeveiliging geïnterviewd. … Het onderzoek is uitgebreid en degelijk: negentien ziekenhuizen geven kwalitatieve interviews af op basis van gestandaardiseerde vragenlijsten …
8
9
Organisatie en besturing Informatiebeveiliging prioriteit Raad van Bestuur
Buitenstaanders denken misschien dat een ziekenhuis uitsluitend bezig is met patiëntenzorg en declaraties. Voor de Raad van Bestuur is informatiebeveiliging echter een relatief belangrijk onderwerp. Zo’n % van de ziekenhuizen beschouwt informatiebeveiliging als een prioriteit op Raad van Bestuurniveau. Ziekenhuizen zien in dat informatiebeveiliging cruciaal is om de geloofwaardigheid en kwaliteit van het ziekenhuis en zorg te waarborgen.
te faciliteren. Denk aan een Chief Information Security Officer (CISO).
… De veelheid van eisen en belangen vragen om een voortdurend goede afstemming tussen het bestuur, specialisten, patiënten, ICT en informatiebeveiliging …
Zie grafiek A
Zie grafiek B
Uit ons onderzoek blijkt dat het bestuur de randvoorwaarden en kaders voor informatiebeveiliging aangeeft. Doorgaans is het informatiebeveiligingsbeleid van toepassing op de hele organisatie met aanvullende – beperkende – regels voor individuele, geografische en onderliggende entiteiten. In veel gevallen is een speciale (staf)functie gecreëerd om in het ziekenhuis de informatiebeveiliging in brede zin ‘aan te jagen’ en
CISO’s antwoorden heel verschillend op de vraag of ze met de business unit managers om organisatiedoelstellingen en informatiebeveiligingsbehoeften afstemmen: de resultaten uit ons onderzoek laten een verdeeld beeld zien. De Raad van Bestuur van meer dan de helft van de ziekenhuizen ontvangt eens per kwartaal of vaker rapporten met de informatiebeveiligingsstatus of veiligheidsincidenten. Zie grafiek C
A
Binnen mijn organisatie wordt informatiebeveiliging beschouwd als een prioriteit op Raad van Bestuur-niveau
Helemaal mee eens
Q- (IB pr veau): Histo
Enigszins eens Eens noch oneens
Binnen m wordt in ging bes prioriteit Bestuur-n
Enigszins oneens Helemaal niet mee eens
10
%
B
Communicatie
%
Hoe vaak wordt de Raad van Bestuur voorzien van rapporten met de informatiebeveiligingsstatus of incidenten?
Hoe vaak worden de business doelstellingen en de informatiebeveiligingsbehoeften afgestemd met de business unit managers?
Maandelijks Per Halfof vaker kwartaal jaarlijks
C
Jaarlijks Op ad hoc Nooit basis of op aanvraag
Welke zaken heeft uw organisatie ingezet?
Het beveiligingsbeleid en de procedures worden op reguliere basis beoordeeld en herzien Controlemechanismen worden geïntroduceerd wanneer een nieuwe technologie is toegepast Het beveiligingsbeleid wordt gecommuniceerd De informatiebeveiligingsorganisatie communiceert op reguliere basis met de gebruikerspopulatie Een operationele security officer is benoemd Gebruikers ontvangen instructies hoe om te gaan met vertrouwelijke informatie Werknemers ontvangen voortdurend training in beveiliging en controle
%
Ja
11
Q09: (zaken ingezet): % ja/nee gesorteerd op effecti-
Welke zaken heeft uw orga-
Informatiebeveiliging is een domeinoverstijgende tak van sport. Informatiebeveiliging en daarmee ook ICT heeft steeds meer invloed binnen de zorg. Wat organisatie betreft, zien we binnen ziekenhuizen een duidelijke samenhang tussen de verschillende domeinen. Uit ons onderzoek blijkt dat de informatiebeveiligingsafdeling doorgaans als ondersteunend aan de primaire processen wordt ervaren.
ale bedrijfsvoeri egr ng t n i a g n e men ma t risk ligheid vei
patiënt kw
m
apparatuur
governance
nt
ar b
erker ew ed
manage me
n ië nc
d ei
fin a
patiënt
a lit e it
r is
a
te g
nt k ma nage m e
raal k
wa lite it s s y
s te
em
w
im
go
in
en
s p e c i a lis t
ge
bo
u
ICT Bron: De rol van eHealth en Gezondheid . in het veranderend ziekenhuislandschap; Achtergrondstudie uitgebracht door de Raad voor de Volksgezondheid en Zorg bij het advies Ziekenhuislandschap; ; Denise van der Klauw)
Risicomanagement is bepalend voor de reikwijdte en scope van informatiebeveiliging; dit voorkomt een te generieke aanpak. Een speciaal daarvoor aangewezen medewerker kan risico’s in kaart brengen en afstemmen (namens het management). Uit ons onderzoek blijkt dat deze functie (nog) niet bestaat. Het proces van risicomanagement passen ziekenhuizen daarentegen wel toe. Meer hierover kunt u lezen in het hoofdstuk risico- en incidentmanagement.
… Ziekenhuizen delen kennis en inzichten; ofwel samen sterker …
Uit ons onderzoek blijkt verder dat bijna alle algemene en academische ziekenhuizen regelmatig kennis en kunde delen over informatiebeveiliging. Dit doen ze via de Nederlandse Vereniging van Ziekenhuizen (NVZ) of via de Nederlandse Federatie van Universitair Medische Centra (NFU).
12
13
Compliance en aansprakelijkheid
Regelgeving draagt bij aan e�ectievere informatiebeveiliging
Ieder ziekenhuis heeft te maken met de naleving van wet en regelgeving. Vooral op bestuursniveau heeft compliance, het voldoen aan de regels, veel aandacht. De Raad van Bestuur is doorgaans gevoelig voor compliance en legt hier nadruk op. Zie grafiek A
Ook zien we dat meer dan de helft van de deelnemende ziekenhuizen periodieke compliance reviews uitvoert om de compliance met informatiebeveiligingsprocedures te evalueren. Een derde voert deze niet uit. De Raad van Bestuur is zich meestal bewust van de noodzaak wet- en regelgeving na te leven. Zie grafiek D/E
… Impact van wet- en regelgeving op ziekenhuizen is hoog en heeft aandacht van het bestuur, het aantoonbaar en evenwichtig voldoen aan die regelgeving is geen sinecure …
Uit ons onderzoek blijkt dat de tijd die de meeste ziekenhuizen besteden aan informatiebeveiligingszaken naar verwachting toeneemt in 2015 (in vergelijking met 201). Voor een aantal ziekenhuizen is hier een direct verband te zien met toenemende compliance-eisen, meestal wat de bescherming van persoonsgegevens (privacy) betreft. De aanstaande Algemene Verordening Gegevensbescherming en de Wet meldplicht datalekken spelen hierbij een belangrijke rol. Naleving van de privacywetgeving vereist een geschikte structuur voor beheer en beveiliging. Ook ziekenhuizen moeten zich hierop voorbereiden. Zie grafiek B
Tevens blijkt uit ons onderzoek dat wetgeving en overheidsnormeringen bijdragen aan het verlagen van risico’s rondom informatiebeveiliging binnen de zorg. Over hoe effectief dit is, verschillen de meningen. Een enkel ziekenhuis vindt deze normeringen effectief, maar de meeste zien wet- en regelgeving als enigszins effectief. Hieruit kunnen we opmaken dat de behoefte aan zorgspecifieke regelgeving rond dit thema op bepaalde punten gewenst is. Zie grafiek C
14
Naast compliance reviews is training van medewerkers een belangrijk vast onderdeel om compliance te verhogen. Het is immers nodig dat medewerkers zich bewust zijn van de noodzaak wet- en regelgeving na te leven. We zien dit niet direct terug: bij slechts de helft van de ziekenhuizen ontvangen de werknemers regelmatig training in beveiliging en controle. Meer hierover vindt u in het hoofdstuk over awareness. Het ministerie van Volksgezondheid, Welzijn en Sport heeft onlangs de informatiebeveiligingsnormering voor de zorgsector (NEN 7510) vrijgegeven. NEN 7510 is de norm voor het organiseren en borgen van (specifieke) informatiebeveiliging in de zorg (afgeleid van de ISO 27001 norm). De norm richt zich op alle kleine en grote organisaties die hiermee te maken hebben. NEN 7510 is een algemene norm. NEN 7512, NEN 751 en NEN 7521 werken deze norm verder uit voor een specifiek aandachtsgebied. NEN 7510 geeft aanwijzingen over het organisatorisch en technisch inrichten van informatiebeveiliging in een zorginstelling.
A
Hoe belangrijk is het voldoen aan regelgeving omtrent informatiebeveiliging?
B
Hoe verhoudt de tijd die uw organisatie aan informatiebeveiligingszaken besteedt zich in 2015 ten opzichte van 2014?
%
%
Hoe
belangrijk is het voldoen aan regelgeving omtrent informatie beveiliging?
Q- (voldoen aan regelgeving):
Histogram met antwoorden
Helemaal niet Niet Gemiddeld Belangrijk Zeer belangrijk belangrijk belangrijk
C
H ti be va
Toename
Geringe Geen Geringe toename verandering afname
Afname
In hoeverre dragen wetgeving en overheidsnormeringen bij aan het verlagen van risico’s rondom informatiebeveiliging in uw organisatie?
Zeer ineffectief Enigszins ineffectief Noch effectief noch ineffectief Enigszins effectief Zeer effectief
D
%
In hoeverre dragen wetgeving en
Q (Effectiviteit wet en regelgeving): bij aan het Worden informatiebeveiligingsE Effectiviteitoverheidsnormeringen van compliance Histogram van antwoorden verlagen van risico's rondom informaprocedures periodiek geëvalueerd reviews tiebeveiliging in uw organisatie? met compliance reviews?
%
Ef
Q- (Compliancereviews): Histogram met antwoorden
%
Worden informatiebeveili gingsprocedures periodiek geëvalueerd met complian ce reviews?
% Ja Nee
Zeer laag
Laag
Gemiddeld
Hoog
Zeer hoog
15
16
… Een risico gedreven implementatieaanpak van de NEN geeft een optimale kans van slagen bij informatiebeveiliging in de zorg …
Zie grafiek F
Als we vervolgens kijken naar de NEN 7510-certificering is dit nauwelijks een onderwerp. Dit wil niet zeggen dat de NEN 7510 zelf geen aandacht krijgt. In de regel vindt er collegiale toetsing plaats op basis van de NEN 7510-normering. Slechts een klein aantal ziekenhuizen overweegt certificering in 2015. Het advies is om een risico gedreven implementatieaanpak te hanteren voor de NEN 7510 en extra ervaring op te doen. Van groot belang is een NEN 7510-traject te starten met een brede en gedegen risicoanalyse; dit is een uitdaging omdat een grote groep stakeholders moet worden benaderd voor het (aantoonbaar) uitvoeren van de verschillende NEN 7510-maatregelen. Vaak is een cultuuromslag nodig voor het aantoonbaar uitvoeren van de verschillende maatregelen binnen complexe ziekenhuisorganisaties.
F
Is uw organisatie NEN 7510 gecertificeerd?
%
Q: % Nen gecertificeerd e dat in certificering overwee
%
Is uw organisatie NEN gecertificeerd?
% Ja
Misschien in 2015 Nee
17
Awareness
Beveiligingsbewustzijn blijft een risico
In veel ziekenhuizen is informatiebeveiliging een prioriteit van de Raad van Bestuur. Medewerkers vinden informatiebeveiliging belangrijk voor de organisatie en de securityafdeling kan hen dikwijls bereiken. Uit ons onderzoek blijkt dat ziekenhuizen het gebrek aan security awareness bij het ziekenhuispersoneel als een risico zien.
beveiliging begrijpt, zijn eigen individuele beveiligingsverantwoordelijkheden inziet en daar ook naar handelt. Awareness draagt bij aan de bescherming van informatie en bedrijfsmiddelen van het ziekenhuis. Aan de meeste beveiligingsincidenten ligt bewust of onbewust onveilig gedrag van medewerkers ten grondslag. Zij zijn daarmee een belangrijke schakel in de beveiligingsketen.
Security awareness is de mate waarin iedere medewerker op elk niveau in de organisatie het belang en de mate van
A
Zie grafiek A
Beveiligingsbewustzijn
Helemaal mee eens Enigszins eens Eens noch oneens Enigszins oneens Helemaal niet mee eens
Medewerkers vinden informatiebeveiliging belangrijk voor de organisatie
Resultaatverantwoordelijke Eenheden of Unithoofden beschouwen investeringen in informatiebeveiliging als noodzakelijke Beveiligingsbewustzijn uitgaven om hun werk te kunnen doen Q-,, (awareness op niveaus): Histogram van antwoorden
18
%
Binnen mijn organisatie wordt informatieMedewerkers vinden informatiebebeveiligingveiliging beschouwd als een prioriteit belangrijk voor de organisatie op Raad van Bestuur-niveau
Resultaatverantwoordelijke Eenheden of Unithoofden beschouwen investeringen in informatiebeveiliging als noodzakelijke uitgaven om hun werk te kunnen doen. Binnen mijn organisatie wordt informatiebeveiliging beschouwd als een prioriteit op Raad van Bestuur-niveau
Het risico van gebrek aan awareness en commitment op het niveau van Resultaatverantwoordelijke Eenheden (RVE) en Unithoofden geeft een verdeeld beeld. Het gebrek aan awareness bij gebruikers wordt wel als een groot risico ingeschat. … Slechts de helft van de ziekenhuizen traint het personeel regelmatig in security en controle …
Zie grafiek B/C
Geschikte trainingen en het op reguliere basis opfrissen van kennis dragen bij aan security awareness. Training in het verhogen van het bewustzijn is bedoeld om personen in staat te stellen informatiebeveiligingsproblemen en -incidenten te onderkennen en daarop te reageren. Slechts de helft van de ziekenhuizen traint het personeel regelmatig in security en controle. Dit is opvallend omdat de risico’s bij het ontbreken van awareness onderkend worden. Geïnterviewden schatten de effectiviteit van trainingen overigens wel hoog in. Opmerkelijk is ook dat een derde van de geïnterviewde ziekenhuizen systeemgebruikers niet traint in het identificeren en melden van verdachte activiteiten. Zie grafiek D
B
Ontvangen medewerkers voortdurend training in beveiliging en controle?
De informatiebeveiligingsorganisatie communiceert op reguliere basis met de gebruikerspopulatie. Over het beveiligingsbeleid communiceert het ziekenhuis met enige regelmaat. Het effect ervan verschilt per ziekenhuis, maar geïnterviewden beleven dit als enigszins effectief. Voor het komende jaar ligt de nadruk op het verhogen van awareness en training over informatiebeveiliging bij werknemers. Het belang van het verhogen van ontwikkeling en behoud van ICT-personeel scoort in ons onderzoek gemiddeld: ziekenhuizen vinden het niet onbelangrijk, maar ook niet heel belangrijk.
C
Effectiviteit training in beveiliging en controle
% Q9-1 (Voordurende training): Histogram van antwoorden en effectiviteit
Ef co
47 %
Ontvangen de medewerkers voortdurend training in beveiliging en controle?
53 %
Ja Nee
Zeer laag
D
Laag
Gemiddeld
Hoog
Zeer hoog
Zijn uw medewerkers getraind om verdachte activiteiten te identificeren en te melden?
%
Ja
19 Q- (Gebruikers getraind om verdachte
Zijn
Budgettering Budget blijft achter bij toenemende risico’s
Ons onderzoek laat wat budget voor informatie beveiliging betreft grote verschillen tussen de ziekenhuizen zien. Tijdens het interview hebben we vanuit diverse invalshoeken vragen gesteld over budgettering van informatiebeveiliging. Budget zegt iets over de mogelijkheid om maatregelen te nemen die de risico’s kleiner maken. Tegelijkertijd geven de uitkomsten – in samenhang met andere antwoorden – een beeld van de manier waarop ziekenhuizen met informatiebeveiliging omgaan. Zie grafiek A
Wij vroegen ons af of het budget voor informatiebeveiliging toeneemt of afneemt ten opzichte van het afgelopen jaar. Opvallend is dat meer dan 50% van de geïnterviewde ziekenhuizen aangeeft dat het budget voor informatiebeveiliging niet toeneemt het komende jaar. Een aantal CISO’s geeft verder aan dat er geen apart beveiligingsbudget is. Dit lijkt een zorgwekkend signaal, maar hier verschilt de werkwijze ten opzichte van de overige geïnterviewde ziekenhuizen. Per business case bepalen ze of er geïnvesteerd wordt. Wanneer we bij deze ziekenhuizen de samenhang bekijken met bijvoorbeeld het risico van een beperkt budget en de vraag of informatiebeveiliging een prioriteit is op Raad van Bestuur-niveau, zien we dat deze ziekenhuizen daar zeer goed op scoren.
… Toename van de informatiebeveiligingsrisico’s leidt zelden tot verhoging van de informatiebeveiliging budgetten in de zorg …
Zie grafiek B
20
Uit ons onderzoek blijkt dat het budget voor informatiebeveiliging niet per se stijgt bij ziekenhuizen waar informatiebeveiliging wel als prioriteit gezien wordt. Dit geeft wel aan hoe moeilijk het in een groot aantal ziekenhuizen is om deze prioriteit van het bestuur te verzilveren. Het al dan niet kunnen aantonen van het belang van informatiebeveiliging, zien de geïnterviewden meestal als een gemiddeld risico. Zie grafiek C
Een groot gedeelte van de geïnterviewde ziekenhuizen neemt de nodige preventieve beveiligingsmaatregelen, maar monitoren het effect daarvan nauwelijks. Hierdoor is lastig aan te geven of er nog meer maatregelen nodig zijn. Omdat historische data en het lerend effect ontbreken, is het belang van de maatregelen moeilijk aan te tonen. Terwijl monitoren in de zorg juist ingeburgerd is. Zie grafiek D
A
Hoe verhouden de informatiebeveiligingsbudgetten van 2015 en 2016 zich tot het budget van 2014?
B
%
Hoe verhoudt de tijd die uw organisatie aan informatiebeveiligingszaken besteedt zich in 2015 ten opzichte van 2014? %
Hoe verhouden de informatiebeveiligingsbudgetten van en zich tot het budget van ?
H ti be va
Grote toename Kleine toename Geen verandering Kleine afname Grote afname Geen verandering, maar afgestemd Geen Toenameopnieuw Geringe mettoename risico- en verandering prioriteitsgebieden
Geringe afname
Afname
Grote toename Kleine toename Geen verandering Kleine afname Grote afname Geen verandering, maar opnieuw afgestemd met risico- en prioriteitsgebieden
C
In hoeverre vormt een beperkt budget een risico voor het beveiligen van informatie binnen uw organisatie?
%
D
Hoe belangrijk is het meten van de “return on security investments” en het vergroten van het informatiebeveiligingsbudget?
%
v
In hoeverre vormt een beperkt
budget een risico voor het beveili-
gen van informatie binnen uw
organisatie?
H va in va b
Q- (Risico Beperkt budget): Histogram
Zeer laag
Laag
Gemiddeld
Hoog
Zeer hoog
ROI-Security
Budget vergroten
Helemaal niet belangrijk Niet belangrijk Gemiddeld Belangrijk Zeer belangrijk
21
22
In de toekomst nemen de risico’s bij ziekenhuizen toe, maar het budget stijgt niet mee. Dit kan een probleem zijn wanneer er maatregelen moeten worden genomen om informatiebeveiligingsrisico’s te verkleinen. Intensivering van het ICT-risicomanagement – wat informatiebeveiligingsbeleid betreft – kan helpen het bewustzijn bij alle stakeholders te vergroten. De informatiebeveiligingsrisico’s moeten met alle
stakeholders (inclusief directieleden, waaronder financieel management) worden besproken. Het goed doorpakken – consequenties bepalen van informatiebeveiligingsrisico’s op bedrijfsdoelstellingen – levert in dit kader winst op. Ook het nadrukkelijker bepalen van de financiële impact van informatiebeveiligingsrisico’s kan helpen de budgettering op niveau en scherp te krijgen.
Aandachtspunten 2015* Voldoen aan regelgeving omtrent informatiebeveiliging
,
Verbeteren van privacy / vertrouwelijkheid van data
,
Verhogen van awareness en training over informatiebeveiliging bij werknemers
,
Elimineren van verouderde of niet gesteunde technologie / software
,
Afstemmen van veiligheidsstrategie met businessdoelstellingen
,
Versterken van informatiebeveiligingsbeleid
,
Identificeren van open patches en gaten in applicatiesoftware
,
Verbeteren van netwerkbeveiliging
,
Versterken van business continuïteit programma
,
Standaardiseren van veiligheidstechnologie / beleid / procedures
,
Verhogen van ontwikkeling / behoud van personeel
,
Versterken van IT rampenherstelplan
,
Beveiligen van de fysieke werkplaatsen
,
Verhogen van informatiebeveiligingsbudget
,
Verhogen van beveiliging van data warehouse
,
Meten van return on investment op informatiebeveiligingsuitgaven
,
*De stellingen staan in volgorde van belangrijkheid (schaal -)
23
Risico- en incidentmanagement Processen veelal op orde
De meeste ziekenhuizen hebben risicomanagement opgenomen als ‘proces’. Doen zich toch incidenten voor, dan gaat een – niet geformaliseerd – incidententeam aan de slag. Uit ons onderzoek blijkt dat ziekenhuizen vinden dat ze dit goed georganiseerd hebben.
prima geregeld. De ondersteunende informatietechnologie staat echter nog in de kinderschoenen. Dit is een risico. Optimale zorg aan het bed is dusdanig afhankelijk van ICT dat het een niet langer zonder het ander kan.
Geïnterviewden geven aan dat ze de effectiviteit van het risicomanagementproces groot vinden: ziekenhuizen onderkennen de bedreigingen en treffen maatregelen om die bedreigingen het hoofd te bieden. Denk aan het met enige regelmaat uitvoeren van penetratietesten. Hiermee maken ziekenhuizen kwetsbaarheden in de infrastructuur zichtbaar. Doorgaans voeren externe partijen deze testen – naar tevredenheid van de opdrachtgever – uit.
… Ziekenhuizen schakelen bij incidenten ad hoc een team in. Zelf vinden ze dat dit goed georganiseerd is …
Zie grafiek A
… Risicomanagement bestaat als proces in ziekenhuizen maar nog niet als verbijzonderde ICT-functie – zo’n functie is bepalend voor het lerend vermogen op het gebied van structureel risicomanagement …
Medewerkers weten over het algemeen goed welke data gevoelig of vertrouwelijk zijn. Ook als ze niet formeel als vertrouwelijk geclassificeerd zijn. De identificatie van kritieke assets is echter nog niet overal doorgevoerd. Waar deze identificatie en classificatie wél hebben plaatsgevonden wordt de effectiviteit daarvan meestal niet als groot beschouwd. Een doorvertaling van de waarde van deze assets naar primaire processen of financiën vindt zelden plaats. Deze zaken zijn opmerkelijk, omdat business continuity proces bij de ziekenhuizen over het algemeen op orde lijkt. De meeste ziekenhuizen hebben plannen op dit gebied, en de ziekenhuizen die deze plannen ook nog eens testen, melden dat de effectiviteit daarvan erg groot is. Het continueren van primaire zorgprocessen bij calamiteiten is op zorggebied 24
Zie grafiek B
Als zich incidenten in informatiebeveiliging voordoen, schakelen ziekenhuizen hun incidentteam of Computer Emergency Response Team (CERT) in. De meeste ziekenhuizen hebben zo’n team, maar het is doorgaans geen formeel organisatieonderdeel. Bij beveiligingsincidenten wordt het bij elkaar geroepen en gaat het team aan de slag. De effectiviteit van zo’n ad hoc team is afhankelijk van de samenstelling, de slagkracht en de aanwezige kennis. Uit ons onderzoek blijkt dat geïnterviewden vinden dat ze dit goed georganiseerd hebben.
A
Welke risicomanagement praktijken heeft uw organisatie ingezet?
Kritieke systemen voor de organisatie zijn geïdentificeerd en voorbereidingen zijn getroffen om in geval van verstoring zonder deze kritieke systemen door te kunnen werken Mogelijke bedreigingen die kritische processen in gevaar zouden kunnen brengen zijn geïdentificeerd Maatregelen die voldoende beveiliging bieden tegen bedreigingen zijn geïdentificeerd Penetratie- en kwetsbaarhedenassessments worden op reguliere basis uitgevoerd Gevoelige of vertrouwelijke informatie is geïdentificeerd Functies en assets zijn geïdentificeerd en gerangschikt aan de hand van waarde, gevoeligheid en kritieke waarde
%
Ja
B
Q10: (zaken ingezet): % ja/nee gesorteerd op effectiviteit.
Beschikt uw organisatie over een incident management team?
Welke risicomanagement praktijken heeft uw organisatie ingezet?
Q (incident team ingericht): Percentage dat “Ja” heeft geantwoord
%
Beschikt uw organisatie over een incident management team?
% Ja Nee
25
Risico’s en zorgen
Gebrek aan awareness en verlies vertrouwelijke gegevens op 1.
In de voorgaande hoofdstukken van dit rapport hebben we informatiebeveiliging als breed thema vanuit verschillende hoeken belicht. In de volgende paragrafen ligt de nadruk op de zorgen en risico’s rond informatiebeveiliging. Wat zien de ziekenhuizen zelf als een risico en waarover maken ze zich zorgen?
Grootste risico's voor het beschermen van informatie* Beperkt budget
,
Gebrek aan beveiligingsawareness bij gebruikers
,
Beschikbaarheid / behoud van bekwame medewerkers
,
Snelheid van veranderingen in informatietechnologie
,
Gebrek aan RVE/ Unithoofden - awareness en commitment
,
Bestaande informatiebeveiligingsarchitectuur
,
Beperkte tijd voor langetermijnoplossingen / -planning
,
Onvolwassen informatiebeveiligingstechnologie
,
Moeite om het belang van informatiebeveiliging aan te tonen
,
Informatiebeveiligingsbehoeften niet in lijn met business doelstellingen
,
Vertrouwen in andere functies of groepen (e.g. interne audit)
,
Het niet effectief kunnen bereiken van medewerkers
,
Gebrek aan formeel informatiebeveiligingsproces
,
Onzeker economisch klimaat
,
Slechte relatie met leveranciers
,
*De stellingen staan in volgorde van belangrijkheid (schaal -)
26
Grootste zorgen* Verlies van klantendata die privé / vertrouwelijk is
,
Groot virus, Phishing, andere malware
,
Wangedrag van leveranciers omtrent informatiesystemen
,
Niet voldoen aan wet- en regelgeving
,
Social Media (Facebook, LinkedIn, Chat, etc)
,
Slechte software kwaliteit, e.g. onvolwassen, slechte coding
,
Cyber-terrorisme
,
Wangedrag van werknemers omtrent informatiesystemen
,
Draadloze kwetsbaarheden (wifi, straalverbindingen)
,
Wangedrag van derde partijen die toegang hebben tot uw informatiesystemen
,
Fysieke beveiliging
,
Distributed Denial of Service (DDoS) aanvallen
,
Amateur hackers
,
Financiële fraude omtrent informatiesystemen
,
Voormalig wangedrag van werknemers omtrent informatiesystemen
,
Diefstal van patentinformatie of intellectueel eigendom
,
Spam
,
Bio-terrorisme of terroristische aanvallen
,
Politieke hacks of cyber protest (bv Anonymous)
,
Concurrent spionage
,
Natuurramp
,
*De stellingen staan in volgorde van belangrijkheid (schaal -)
27
Risico’s en zorgen
Patiëntgegevens
Met de toenemende digitalisering en uitwisseling van patiëntgegevens groeit de kans op het verlies ervan. Wij zien dat terug in de aandacht die ziekenhuizen in het komende jaar geven aan het verbeteren van privacy en het beschermen van vertrouwelijke data. Een belangrijke bevinding uit het onderzoek is dat veel ziekenhuizen zich zorgen maken over het verlies van patiëntgegevens. Denk hierbij aan datalekken en/of aan patiëntgegevens die in verkeerde handen terecht komen. Zie grafiek A Geen enkel ziekenhuis wil dat patiëntgegevens op straat komen te liggen. De zorg om patiëntgegevens kwijt te raken, hangt samen met de beveiligingsplicht rond persoonsgegevens. Op basis van de geldende wet- en regelgeving moet het ziekenhuis passende technische en organisatorische maatregelen nemen tegen verlies of enige vorm van onrechtmatige verwerking. Dit betekent onder meer dat alleen bevoegde personen toegang mogen hebben tot de patiëntgegevens. Uit ons onderzoek blijkt dat bij bijna alle ziekenhuizen elke gebruiker alleen toegang heeft tot de informatie die nodig is om zijn taak uit te voeren. De vertrouwelijkheid van patiëntgegevens zit tenslotte ook in het voldoende waarborgen dat alleen geautoriseerde gebruikers toegang tot bepaalde informatie hebben. Zie grafiek B
ICT-infrastructuren kunnen tegenwoordig worden bewaakt met veiligheidsmonitoring om de effectuering van beveiligingsbeleid, bekende en onbekende kwetsbaar heden en pogingen tot misbruik op te sporen. Uit ons onderzoek blijkt dat ziekenhuizen onvoldoende gebruik maken van de mogelijkheden van structurele monitoring. Het onderzoek maakt inzichtelijk dat bijna alle zieken huizen gevoelige of vertrouwelijke informatie identificeren. Geïnterviewden vinden het effect van deze vorm van risicomanagement groot. Bij tweederde van de zieken huizen ontvangen gebruikers instructies of communicatie rondom vertrouwelijke informatie. De effectiviteit van deze praktijk wordt hoog ingeschat. Vanuit security perspectief moet informatie geclassificeerd zijn. Alleen dan kan een passend niveau van informatiebeveiliging worden toegepast. Classificatie moet plaatsvinden op basis van de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Daarnaast is classificatie nodig die het belang van de informatie voor het zorgproces aangeeft, in termen van beschikbaarheid en integriteit. De aanstaande Europese regelgeving op het gebied van privacy en data protectie speelt hier een belangrijke rol in. Zie ook het hoofdstuk ‘Compliance en aansprakelijkheid’.
… Door de veranderingen in de zorg zie je dat ziekenhuizen meer moeten specialiseren en samenwerken. Optimale samenwerking is pas mogelijk als de ICT ook klaar is voor de uitwisseling van privacy gevoelige gegevens …
… Recente onderzoeken hebben uitgewezen dat veel organisaties nog niet voldoen aan de (toekomstige) Europese regelgeving op het gebied van privacy en dataprotectie …
Bron van zorg is het feit dat niet gecontroleerd kan worden of er ergens vertrouwelijke informatie weglekt. Ziekenhuizen kunnen wel meten, maar weten nooit precies wat weglekt. Zie grafiek C 28
Zie grafiek D/E
Het wel of niet buiten de organisatie plaatsen van patiëntgegevens is ook een vraagstuk voor ziekenhuizen. De helft heeft de opslag van medische gegevens geoutsourcet en ervaart de effectiviteit als hoog tot zeer hoog.
A
Mate van zorg over het verliezen van vertrouwelijke informatie
B
%
%
Q- (zorgen om datalekken):
Zeer laag
C
Effectiviteit van instructies hoe om te gaan met vertrouwelijke informatie
Laag
Gemiddeld
Hoog
Zeer hoog
Histogram met scores -
Q ce
Mate van zorg over het verliezen van vertrouwelijke informatie
Ef o in
Zeer laag
Laag
Gemiddeld
Hoog
Zeer hoog
Welke monitoringspraktijken heeft uw organisatie ingezet?
Veiligheidsschending resulteert in adequate actie Gevoelige acties worden bijgehouden om verantwoordelijkheid effectief te kunnen beleggen De operatie van de algehele controle structuur wordt geëvalueerd en aangepast aan de hand van veranderingen in de omgeving Compliance met informatiebeveiligingsprocedures wordt geëvalueerd met periodieke compliance reviews
%
Ja
D
Q12 (monitoringspratijken): % ja/nee gesorteerd op effectiviteit
Heeft uw organisatie data archiving en herstel uitbesteed?
E
Welke monitoringspraktijken heeft uw organisatie ingezet? Effectiviteit van data archiving
en herstel %
%
Q- (Outsourcing van data archiving): % uitbesteed en histogram effectiviteit
%
%
Ja
Heeft uw organisatie data archiving en herstel uitbesteed?
E h
Nee Misschien in 2015
Zeer laag
Laag
Gemiddeld
Hoog
Zeer hoog
29
Risico’s en zorgen
Cybersecurity
Met cybersecurity wordt het beveiligen van informatie tegen kwaadwillende acties van hackers bedoeld. Door steeds verdergaande digitalisering wordt de zorg steeds afhankelijker van ICT en neemt de potentiële impact van cyberaanvallen en verstoringen toe.
minder kennis en toegangsmogelijkheden hebben, maken ziekenhuizen zich meer zorgen over mogelijk ongewenst gedrag van deze groep.
Het lijkt erop dat de meeste ziekenhuizen zichzelf op dit moment niet zien als doelwit van hackers. De ICT speelt zich nu nog veelal af binnen de vier muren van het ziekenhuis. Deze systemen zijn nog niet via het internet benaderbaar. Uit ons onderzoek blijkt dat ziekenhuizen zich op de eerste plaats veel zorgen maken over het verlies van (vertrouwelijke) patiëntinformatie. Op de tweede plaats staat de uitbraak van een groot virus, phishing aanval of andere malware.
… In de toekomst neemt de impact van een geslaagde hackaanval flink toe …
Zie grafiek A
... Zonder informatiebeveiliging in een ziekenhuis is de patiëntenveiligheid niet geborgd …
Het is cruciaal dat de organisatie op cyberaanvallen is voorbereid en begrijpt welke reactie nodig is op het moment dat een aanval plaatsvindt. De voorbereiding start met het onder ogen zien van dreigingen en risico’s. Is dit niet het geval, dan komt cybersecurity pas op de agenda als zich een cyberaanval voordoet. Uit ons onderzoek blijkt overigens dat de meeste ziekenhuizen het verbeteren van de netwerkbeveiliging als belangrijk aandachtspunt voor 2015 hebben aangemerkt.
Zie grafiek B
Opvallend is de zorg voor ongewenst gedrag van leveranciers ten opzichte van ongewenst gedrag van eigen (oud-) medewerkers. De meeste ziekenhuizen maken zich weinig zorgen over oud-medewerkers: ze blokkeren bij uittreding direct hun account en ze nemen toegangspassen en tokens in. Hoewel leveranciers 30
Zie grafiek C
In de toekomst hebben informatiebeveiligingsincidenten een nog grotere impact op de continuïteit van de bedrijfsvoering, als grote hoeveelheden informatie (systemen) dan buiten het ziekenhuis ontsloten worden. Ziekenhuizen veranderen zo langzamerhand steeds meer in netwerkorganisaties en de uitwisseling en digitalisering van informatie neemt alleen maar toe. Het risico van een hackaanval groeit daarmee aanzienlijk.
Zie grafiek D
De geïnterviewde ziekenhuizen maken zich over het algemeen weinig zorgen over diefstal van data waarop intellectueel eigendom rust. Uitzonderingen zijn de academische ziekenhuizen, omdat zij over meer patenten en intellectuele eigendommen beschikken.
A
Heeft uw organisatie in 2014 te maken gehad met cyber incidenten?
Verdachte activiteiten door amateur hackers Cyber-terrorisme Politieke hacks of cyber protest Distributed Denial of Service (DDoS) aanval Groot virus, Phishing, andere malware
%
Nee
B
3, 8, 9, 12 (Cyber Heeft uw Q15-2, organisatie het incidenten): histogram met uitvoeren%van kwetsbaarhedenNee assessments uitbesteed?
C
Effectiviteit van kwetsbaarhedenassessments Heeft u organisatie in 2014 te maken gehad met cyber incidenten? %
%
Q- (Outsourcing van kwetsbaarheidsanalyse): % uitbesteed en histogram effectiviteit
%
%
Ja Nee
Heeft uw organisatie het uitvoeren van kwetsbaarheden-assess ments uitbesteed?
Misschien in 2015
Zeer laag
D
E h
Laag
Gemiddeld
Hoog
Zeer hoog
Worden kwetsbaarhedenassessments op reguliere basis uitgevoerd?
Q- (Regelmatig kwetsbaarheids assesments): Histogram van antwoorden
%
% Ja
Worden Kwetsbaarheden-assessments op reguliere basis uitgevoerd?
Nee
31
Risico’s en zorgen
ICT en bedrijfscontinuïteit
Ziekenhuizen hebben regelmatig last van storingen. Op allerlei fronten en zowel in hard als software. De aanpak daarvan is van groot belang voor de bedrijfscontinuïteit.
variëren van zeer laag tot zeer hoog. Mogelijke verklaring: sommige ziekenhuizen werken met relatief veel verouderde software. Betrekkelijk veel ziekenhuizen hebben het elimineren van verouderde software in 2015 (weer) op de agenda staan.
Ongeveer tweederde van de ziekenhuizen heeft in 201 last van één of meer softwarestoringen. Er is echter geen verband te ontdekken tussen een hoge risico-inschatting en het daadwerkelijk ondervinden van softwarestoringen. Op de vraag of ze slechte kwaliteit software als een risico voor het beveiligen van informatie zien, antwoorden geïnterviewden heel verschillend. De antwoorden
A
Zie grafiek A
… De meeste ziekenhuizen hebben een business continuity plan. Tegelijkertijd is het testen pas aan de orde bij een incident …
Heeft uw organisatie in 2014 te maken gehad met verstoringen?
Hardware storing Telecommunicatie falen Software falen Operationele fouten, e.g. laden verkeerde software Derde partij falen, e.g.service provider Infrastructure falen, e.g., brand, black out Capaciteitsissues Ongewenst gedrag van business partners / suppliers Voormalig of huidig wangedrag van werknemers omtrent informatiesystemen Wangedrag van leveranciers omtrent informatiesystemen Natuurramp
%
Ja
32
Q15-1, 4, 5, 6, 7, 10, 11, 13, 14, 15, 16 (falen van IT): histogram met % Ja
Heeft u organisatie in 2014 te maken gehad met verstoringen?
Bijna alle ziekenhuizen kregen het afgelopen jaar storingen voor hun kiezen: uitval van elektriciteit, geen koeling, uitblijvende communicatie of het niet leveren van een dienst door een service provider. De meeste ziekenhuizen geven aan te beschikken over een getest business continuity plan, al geeft een aantal ziekenhuizen toe dat (integraal) testen alleen aan de orde is als zich een werkelijk incident voordoet. Overigens verwerken ziekenhuizen wel hun ervaringen bij het actualiseren van het plan.
B
Zie grafiek B
Het incident response plan geeft organisaties enige houvast bij verschillende typen incidenten. De meeste geïnterviewden beoordelen dit plan (voor zover aanwezig) als effectief tot zeer effectief. We zien dat het IT-incident response plan vaak geïntegreerd is in andere (niet IT-gerelateerde) response plannen.
In het IT-ramp herstelplan staat beschreven hoe de organisatie na een groot incident terugkeert naar de normale gang van zaken. Uit ons onderzoek blijkt dat dit plan het minst wordt getest. Dit plan krijgt in de meeste
C
Beschikt uw organisatie over een getest plan?
Zie grafiek C
Effectiviteit van plannen
%
%
Q (Plannen getest): % van plannen
getest en histogram van effectiviteit
Beschikt uw organisatie over een getest plan?
Business continuity plan
IT ramp herstelplan
Incident response plan
Business continuity plan
Zeer laag
Effectiviteit van plannen Hoog
IT ramp herstelplan
Laag Zeer hoog
Incident response plan
Gemiddeld Erg laag Laag Gemiddeld Hoog Erg Hoog
33
schaars en voor de meeste ziekenhuizen moeilijk om aan te trekken. Het is daarom niet vreemd dat ziekenhuizen het uitbesteden van veiligheidsmonitoring op dit moment het vaakst overwegen.
gevallen pas als laatste aandacht. De overige twee plannen hebben prioriteit omdat het effect ervan groter wordt geacht. Zie grafiek D
Zie grafiek E
Over het algemeen zijn de ziekenhuizen tevreden over de effectiviteit van de uitbestede informatiebeveiligingsfuncties. De ziekenhuizen verschillen in welke IT-diensten ze uitbesteden, met uitzondering van incidentmanagement: dit wordt meestal binnen de eigen organisatie – met een redelijk hoge effectiviteit – opgepakt. Slechts 21% van de ziekenhuizen laat veiligheidsmonitoring door een externe partij uitvoeren. Het intern opzetten van een Security Operating Center (SOC) vereist naast kostbare tooling goed opgeleid personeel. Dit personeel is erg
D
Bij een groot informatiebeveiligingsincident wordt afhankelijk van het type incident vaak de hulp ingeroepen van leveranciers. Zij beschikken over specialistische kennis en kunnen bijdragen aan schadebeperking. Opvallend is dat driekwart van de geïnterviewden bij een informatiebeveiligingsincident ook de klanten van het ziekenhuis informeert en zonodig instrueert. Onder klanten verstaan we patiënten, maar ook andere afnemers van diensten van het ziekenhuis.
Welke zaken heeft u uitbesteed? Kwetsbaarhedenassessments / penetratietesting Anti-SPAM Anti-virus en content filtering services Informatiebeveiliging risico-assessments Data archiving en herstel Veiligheidsmonitoring Netwerk boundary beveiliging Incidentmanagement
%
Misschien in 2015
Ja
E
Q23 (outsourcet): Histogram van op bij een groot Welke zaken heeft u uitbeMet welke partijen neemt u contact antwoorden ja, nee, misschien in 2015. steed? informatiebeveiligingsincident? Sorteren op meest geoutsourcet
Klanten Leveranciers Politie/justitie Internet Service Provider Overheid Externe rechtspartij Anders Externe auditor Niemand buiten onze organisatie
34
Met welke partijen neemt u
%
35
Conclusies en aanbevelingen
De zorg voor patiënten heeft zich aantoonbaar uitgebreid tot de zorg voor informatie over die patiënt. Ieder ziekenhuis ziet het toenemende belang van informatiebeveiliging en de bescherming van persoons gegevens. Functies op het vlak van informatiebeveiliging worden ingevuld en het thema staat op de agenda van de Raad van Bestuur. Op veel gebieden zijn maatregelen genomen om misbruik en verlies van informatie tegen te gaan. Tegelijkertijd zijn er ook een aantal verbeter punten.
3. AWARENESS In ziekenhuizen waar informatiebeveiliging geen prioriteit van de Raad van Bestuur heeft, is het bewustzijn wat de omgang met gevoelige informatie betreft voor verbetering vatbaar. Maar liefst % geeft aan dat onvoldoende beveiligingsbewustzijn in het ziekenhuis als risico wordt gezien. In de hele informatiebeveiligingsketen blijft de mens de zwakste schakel. Om dit bewustzijn onder het ziekenhuispersoneel te creëren zijn speciaal voor het eigen ziekenhuis te ontwikkelen awarenessprogramma’s nodig.
1. ORGANISATIE EN BESTURING Voor de Raad van Bestuur is informatiebeveiliging een relatief belangrijk onderwerp. Op de stelling: ‘Binnen mijn organisatie wordt informatiebeveiliging beschouwd als een prioriteit op Raad van Bestuur-niveau’, was 79% het daar (helemaal) mee eens. Als het beveiligen van informatie – of dit nu patiëntgegevens zijn, leveranciersgegevens of onderzoeksgegevens van artsen – niet een topprioriteit op Raad van Bestuur-niveau heeft, dan is dit ongetwijfeld ook in de rest van de organisatie niet het geval. De Raad van Bestuur zou hier meer richting aan kunnen geven. 2. COMPLIANCE EN AANSPRAKELIJKHEID Het voldoen aan wet- en regelgeving lijkt de juiste aandacht te hebben van de Raad van Bestuur. De overheid kan een bijdrage leveren aan de effectiviteit door regelgeving zorgspecifieker te maken. Op informatiebeveiliging is de NEN 7510 van toepassing. De zorgsector gebruikt de NEN 7510, maar de aantoonbaarheid staat bij een groot aantal ziekenhuizen niet op de agenda. Het is nu aan de sector zelf om hier verder mee aan de slag te gaan, door een risicogedreven implementatieaanpak te hanteren.
36
4. BUDGETTERING Meer dan 0% van de geïnterviewde ziekenhuizen verwacht dat het informatiebeveiligingsbudget het komende jaar niet toeneemt. Toch is informatiebeveiliging volgens bijna 0% van de geïnterviewden prioriteit bij de Raad van Bestuur. Veel CISO’s geven aan risico’s te zien rond het verlies van patiëntgegevens, sociale media, malware en slechte software. De beheersing van deze risico’s, en de eventuele acceptatie of afzwakking ervan, is op Raad van Bestuur-niveau dan ook aan te bevelen. 5. RISICO- EN INCIDENTMANAGEMENT Doordat bij een groot deel van de geïnterviewde ziekenhuizen de classificatie van informatie ontbreekt, kan men niet aangeven welke informatie echt waardevol is. Wanneer classificatie van informatie op orde is, leidt dit tot een effectievere bijdrage van de Raad van Bestuur en een betere besturing van het benodigde budget. Een enkel ziekenhuis geeft aan op deze manier te werken. 6. RISICO’S EN ZORGEN • Patiëntgegevens De zorg voor patiëntgegevens is op alle niveaus in de ziekenhuizen aanwezig. Een belangrijke bevinding uit het onderzoek is dat veel ziekenhuizen zich zorgen maken over het verlies van patiëntgegevens.
• Cybersecurity De meeste ziekenhuizen maken zich op dit moment weinig zorgen over cyberaanvallen. Met de toenemende uitwisseling van gegevens groeit de kwetsbaarheid. Daar de veranderingen op dit vlak in de zorg snel gaan, adviseren wij om met grote regelmaat risico’s en maatregelen tegen het licht te houden. Een groot deel van de geinterviewden geeft aan een incident response team samen te stellen als er een incident is. Maar slechts een klein deel maakt gebruik van (permanente) monitoring van IT systemen. Met de straks geldende “Wet meldplicht datalekken” adviseren wij om een vorm van monitoring te doen die de organisatie controle geeft. Hoe eerder de organisatie weet dat er een incident is, hoe sneller het onder controle is en – niet onbelangrijk – hoe goedkoper de oplossing. • ICT en bedrijfscontinuïteit Ziekenhuizen hebben regelmatig last van storingen. Een van de pijnpunten hierbij is het nog steeds in gebruik zijn van verouderde software en hardware. Ziekenhuizen hebben dit erkend en geven aan dat dit hoog op de agenda staat. Wij adviseren ziekenhuizen daarnaast om systemen veiliger te maken door ongebruikte functies uit te zetten en een kwalitatief hoogstaand patchmanagementproces te gebruiken. TOT SLOT KPN heeft dit rapport met zorg samengesteld. Veel dank gaat daarbij uit naar de ziekenhuizen die een bijdrage hebben geleverd aan de totstandkoming. Zij staan aan de basis van dit rapport. We hopen dat we de zorgsector hiermee meer inzicht hebben gegeven in de status van informatiebeveiliging binnen de ziekenhuizen.
37
Contactgegevens
Meer weten over informatiebeveiliging in de zorg en wat KPN voor uw organisatie kan betekenen? Neem contact op met uw accountmanager of een van onze Senior Consultants:
Marco Heemskerk Senior Consultant Governance & Risk Management +1 (0) 21525
[email protected]
Jan de Heer Senior Consultant Risk Management & Assurance +1 (0) 570751
[email protected]
Alain Rees Managing Consultant Cyber Security & Compliance +1 (0) 29529
[email protected]
Tomas Smulders Senior Consultant Cyber Security & Ethical Hacking +1 (0) 1291
[email protected]
Erik van der Meij Senior Consultant Privacy & Compliance +1 (0) 1017
[email protected]
Voor meer informatie over informatiebeveiliging in de zorg kunt u ook een e-mail sturen naar
[email protected].
38
kpn.com/zorg kpn.com/security