Digitale veiligheid moet in elke praktijk op nummer 1 staan

donderdag 13 oktober 2022
timer 4 min

Een ransomware aanval heeft soms ingrijpende gevolgen: een tandartsketen met 120 praktijken ging een week dicht. (Foto: Shutterstock)

Voor digitale veiligheid zorgen lijkt op het hebben van goede voornemens. Je hebt een verandering van mindset nodig om aan de nieuwe voornemens te beginnen en om ze vol te houden. In dit artikel geven we u zeven tips om zo min mogelijk deuren open te houden voor cybercriminelen.

Een tandartsketen met 120 praktijken in Nederland werd afgelopen zomer getroffen door een ransomware-aanval. Er loopt nog een onderzoek naar de aanval en de keten geeft niet veel informatie vrij. Wat wel duidelijk is: de keten kon niets anders dan een aanzienlijk bedrag aan losgeld (een nog niet bevestigd bedrag van € 2 miljoen) betalen. Daarbij waren de 120 praktijken een week dicht en vele patiënten konden er niet terecht. Spoedgevallen werden doorverwezen naar andere praktijken.  

Dan zijn er nog onzichtbare gevolgen waar niemand over praat. Denk aan de vele patiënten die zich zorgen maken of hun persoonlijke data niet op een verkeerde plek terecht zijn gekomen. Of denk aan de medewerkers die patiënten te woord moeten staan om ze gerust te stellen, terwijl ze zelf nog moeten bijkomen van de aanval.  

Het begint met mindset 

Vaak wordt gedacht dat digitale veiligheid het domein is van de praktijkmanager of de van externe IT-leverancier. Zij zorgen voor het up-to-date houden van de firewall en virusscanners en maken dagelijks een back-up. Organisaties denken vaak: meer kunnen wij niet doen, want wij zijn geen multinational met een flink ICT-budget. Door deze mindset krijgt digitale veiligheid onvoldoende aandacht binnen een organisatie. En dat creëert openingen voor cybercriminelen. Hieronder nemen we u mee langs een aantal veelgehoorde aannames over digitale veiligheid en waarom deze onterecht zijn.  

Aanname 1: Mijn praktijk is niet interessant, dus de kans dat ik getroffen word is klein.  

Elke organisatie kan slachtoffer worden van een cyberaanval. Het aantal werkzame medewerkers, de hoeveelheid gevoelige privacygegevens die een organisatie in bezit heeft of het land waar het bedrijf  gevestigd is, zijn geen relevante factoren voor cybercriminelen. Het draait bij hen immers alleen om het geld dat ze kunnen verdienen.  

Juist MKB-bedrijven zijn aantrekkelijk voor cybercriminelen, omdat de beveiliging aldaar doorgaans onvoldoende is geregeld. Het kost minder moeite om binnen te dringen en kans van slagen is veel groter dan bij een grote organisatie. Ook zijn er voorbeelden van praktijken die zelf niet het primaire doelwit zijn, maar wel het IT-bedrijf waarop de IT-systemen van de praktijk draaien. Doorgaans is de beveiliging van het IT-bedrijf goed geregeld en kunnen de systemen en data hersteld worden. Maar praktijken ondervinden nog wel dagen onderbreking in hun zorgverlening en andere processen.  

Conclusie: cyberveiligheid is geen ver-van-je-bed-show, aanvallen kunnen ook jouw onderneming raken. 

Aanname 2: De praktijkmanager of IT-partner regelt alles 

De praktijkmanager of de IT-leveranciers besteden veel aandacht aan informatiebeveiliging. Zij zorgen voor veilige instellingen en onderhouden de systemen, waaronder het uitvoeren van updates. En toch kunnen er kwetsbaarheden bestaan waar cybercriminelen misbruik van kunnen maken.  

Het IT-landschap van een onderneming is steeds complexer geworden. Het gemak waarmee IT-middelen gebruikt worden, zonder de betrokkenheid van de IT-afdeling heeft hieraan bijgedragen. Denk aan software-as-a-service-oplossingen zoals een online boekhoudpakket, smart devices (internet of things) die verbinding maken met het netwerk en eigen laptops of mobiele telefoons waarmee ingelogd kan worden op bedrijfssystemen. Door het ontbreken van een overzicht van alle systemen en devices die toegang hebben op de data, is het lastig volledig te zijn in het dichten van de openingen.  

Conclusie: de praktijkmanager en de IT-mensen doen hun best, maar ze kunnen niet alles in de gaten houden. 

Aanname 3: Digitale veiligheid is een technisch verhaal 

Om jezelf te beschermen tegen cyberaanvallen kun je technische maatregelen nemen, zoals gebruik maken van firewall, een virusscanner en een sterk wachtwoord. Hoewel dit goede maatregelen zijn, zijn alleen technische maatregelen niet meer voldoende om uw praktijk volledig te beschermen tegen cyberaanvallen. De meest gebruikte aanvalstechniek, behalve misbruik maken van niet gedichte kwetsbaarheden, is social engineering: de aanvaller probeert vertrouwen te wekken bij de medewerker van een organisatie om zo inloggegevens te verkrijgen of de persoon te laten betalen. Bekende voorbeelden zijn phishingmails, nepfacturen of nepwebsites (spoofing), CEO-fraude of Whatsapp-fraude. Deze aanvalsmanier omzeilt alle technische maatregelen.  

Het is nog altijd de mens achter de computer die de poorten voor kwaadwillenden kan dichthouden. Daarom is het nodig om een human firewall te bouwen.  

Conclusie: digitale veiligheid omvat techniek, organisatie én de mens.   

Aanname 4: Met een goede back-up ben ik weerbaar tegen digitale gijzeling 

Het hebben van een back-up is een goede start voor het veiligstellen van uw bedrijfsdata. Toch is het niet per definitie zo dat u een back-up kunt herstellen bij een ransomware-aanval. Wanneer de backup mee versleuteld wordt bij de aanval of de recente back-up niet ‘schoon’ is, dan zit er toch niets anders op dan het betalen van het losgeld.  

Naast versleuteling van bedrijfsdata kunnen cybercriminelen nog op andere manieren uw praktijk chanteren tot betalen. Ze kunnen dreigen over te gaan tot het lekken van gesloten privacygevoelige data. Of ze kunnen uw IT-systemen platleggen door een DDoS(Distributed Denial of Service)-aanval, waarbij ze de systemen zo overbelasten dat deze niet meer te bereiken zijn. Het terugzetten van een back-up is dan niet voldoende. Voorkom dat kwaadwillenden binnen komen en signaleer tijdig ongebruikelijke activiteiten. 

Conclusie: digitale veiligheid vraagt om beschermen, detecteren en snel herstellen.  

Kijkt u al anders naar de bescherming van de privacy en informatie van uw patiënten en wilt u ermee aan de slag? Hieronder een opsomming van zeven acties waarmee u kunt starten. 

-------------------------------------------------------------------------------------- 
Aan de slag met digitale veiligheid – 7 tips 

  1. Creëer overzicht van de in gebruik zijnde softwares en hardwares. 

  1. Zoek voor de belangrijkste systemen de kwetsbaarheden en onderneem actie. 

  1. Controleer tijdig op nieuwe updates.  

  1. Stel waar mogelijk multifactor authenticatie in.  

  1. Geef medewerkers awareness trainingen. 

  1. Bespreek regelmatig de status van de digitale veiligheid met de medewerkers en de IT-leveranciers. 

  1. Evalueer het back-upplan en test deze op werking. 

-------------------------------------------------------------------------------------- 
Meer weten? 

Wilt u meer tips specifiek voor uw praktijk? Neem gerust contact op met Tina Tsang-Fong, IT Auditor en Adviseur bij Visser & Visser, zorg@visser-visser.nl of 06 41 54 77 54. 

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.

Meer artikelen met dit thema

Toekomst van het zorgstelsel volgens Guus van Montfort: De zorg is geen koekoeksjong dat de rijksfinanciën opeet

23 mei om 11:30 uurtimer5 min

Oud-huisarts Thieu Heijltjes bespreekt het nieuwe boek van Guus van Montfort ‘De toekomst van…

Lees verder »

Agilio Software Nederland breidt uit met PraQties KMS: De sleutel tot meer werkplezier in de eerstelijnszorg

21 mei om 12:15 uurtimer5 min

PraQties KMS is overgenomen door Agilio Software, een softwareontwikkelaar met oplossingen,…

Lees verder »

DentallManager, all-in-one praktijkmanagement software: Stroomlijnt uw praktijkprocessen

15 mei om 14:00 uurtimer5 min

Razek Sharif is tandarts en directeur van DentalNetwork.nl, zes tandartsenpraktijken in…

Lees verder »
Ron Haanschoten: ‘Met InKwala borgen we de hele plan-do-check-act cyclus op zowel strategisch, tactisch als operationeel niveau.’ (Foto: Fluvius Fysiopromotor)
mic_external_onInterview

InKwala kwaliteitsmanagement voor de fysiotherapie: ‘Meer rust, overzicht en bewaking van de praktijk’

15 mei om 12:00 uurtimer4 min

InKwala is het nieuwe kwaliteitsmanagementsysteem van het Gezonde Net en Fys’Optima dat…

Lees verder »
Foto: team Viadent Tandartsen
person_outlineBlog

Jouw praktijk en Google

8 mei om 10:00 uurtimer4 min

Twintig jaar geleden had ik niet kunnen verwachten dat Google anno 2024 nog steeds zo belangrijk zou zijn voor…

Lees verder »
person_outlineBlog

Het consult loopt in de SOEP

26 mrt om 12:45 uurtimer3 min

Midden in de coronacrisis schreef fysiotherapeut Gideon de Haan blogs bij MedischOndernemen over zijn…

Lees verder »

Fysiotherapeuten doen dankzij SpotOnMedics waar ze goed in zijn: zich richten op patiëntenzorg

12 mrt om 12:30 uurtimer4 min

Fysiotherapeuten moeten kunnen doen waar ze goed in zijn: patiënten helpen. De systemen van SpotOnMedics dragen…

Lees verder »
Reviews in de mondzorg
person_outlineBlog

Reviews in de zorg zijn altijd zinvol

26 feb om 15:00 uurtimer5 min
Het is een lastige kwestie hoe je exact de kwaliteit bepaalt van zorgverlening. Mede om die reden is er veel…
Lees verder »