Digitale veiligheid moet in elke praktijk op nummer 1 staan

donderdag 13 oktober 2022
timer 4 min

Een ransomware aanval heeft soms ingrijpende gevolgen: een tandartsketen met 120 praktijken ging een week dicht. (Foto: Shutterstock)

Voor digitale veiligheid zorgen lijkt op het hebben van goede voornemens. Je hebt een verandering van mindset nodig om aan de nieuwe voornemens te beginnen en om ze vol te houden. In dit artikel geven we u zeven tips om zo min mogelijk deuren open te houden voor cybercriminelen.

Een tandartsketen met 120 praktijken in Nederland werd afgelopen zomer getroffen door een ransomware-aanval. Er loopt nog een onderzoek naar de aanval en de keten geeft niet veel informatie vrij. Wat wel duidelijk is: de keten kon niets anders dan een aanzienlijk bedrag aan losgeld (een nog niet bevestigd bedrag van € 2 miljoen) betalen. Daarbij waren de 120 praktijken een week dicht en vele patiënten konden er niet terecht. Spoedgevallen werden doorverwezen naar andere praktijken.  

Dan zijn er nog onzichtbare gevolgen waar niemand over praat. Denk aan de vele patiënten die zich zorgen maken of hun persoonlijke data niet op een verkeerde plek terecht zijn gekomen. Of denk aan de medewerkers die patiënten te woord moeten staan om ze gerust te stellen, terwijl ze zelf nog moeten bijkomen van de aanval.  

Het begint met mindset 

Vaak wordt gedacht dat digitale veiligheid het domein is van de praktijkmanager of de van externe IT-leverancier. Zij zorgen voor het up-to-date houden van de firewall en virusscanners en maken dagelijks een back-up. Organisaties denken vaak: meer kunnen wij niet doen, want wij zijn geen multinational met een flink ICT-budget. Door deze mindset krijgt digitale veiligheid onvoldoende aandacht binnen een organisatie. En dat creëert openingen voor cybercriminelen. Hieronder nemen we u mee langs een aantal veelgehoorde aannames over digitale veiligheid en waarom deze onterecht zijn.  

Aanname 1: Mijn praktijk is niet interessant, dus de kans dat ik getroffen word is klein.  

Elke organisatie kan slachtoffer worden van een cyberaanval. Het aantal werkzame medewerkers, de hoeveelheid gevoelige privacygegevens die een organisatie in bezit heeft of het land waar het bedrijf  gevestigd is, zijn geen relevante factoren voor cybercriminelen. Het draait bij hen immers alleen om het geld dat ze kunnen verdienen.  

Juist MKB-bedrijven zijn aantrekkelijk voor cybercriminelen, omdat de beveiliging aldaar doorgaans onvoldoende is geregeld. Het kost minder moeite om binnen te dringen en kans van slagen is veel groter dan bij een grote organisatie. Ook zijn er voorbeelden van praktijken die zelf niet het primaire doelwit zijn, maar wel het IT-bedrijf waarop de IT-systemen van de praktijk draaien. Doorgaans is de beveiliging van het IT-bedrijf goed geregeld en kunnen de systemen en data hersteld worden. Maar praktijken ondervinden nog wel dagen onderbreking in hun zorgverlening en andere processen.  

Conclusie: cyberveiligheid is geen ver-van-je-bed-show, aanvallen kunnen ook jouw onderneming raken. 

Aanname 2: De praktijkmanager of IT-partner regelt alles 

De praktijkmanager of de IT-leveranciers besteden veel aandacht aan informatiebeveiliging. Zij zorgen voor veilige instellingen en onderhouden de systemen, waaronder het uitvoeren van updates. En toch kunnen er kwetsbaarheden bestaan waar cybercriminelen misbruik van kunnen maken.  

Het IT-landschap van een onderneming is steeds complexer geworden. Het gemak waarmee IT-middelen gebruikt worden, zonder de betrokkenheid van de IT-afdeling heeft hieraan bijgedragen. Denk aan software-as-a-service-oplossingen zoals een online boekhoudpakket, smart devices (internet of things) die verbinding maken met het netwerk en eigen laptops of mobiele telefoons waarmee ingelogd kan worden op bedrijfssystemen. Door het ontbreken van een overzicht van alle systemen en devices die toegang hebben op de data, is het lastig volledig te zijn in het dichten van de openingen.  

Conclusie: de praktijkmanager en de IT-mensen doen hun best, maar ze kunnen niet alles in de gaten houden. 

Aanname 3: Digitale veiligheid is een technisch verhaal 

Om jezelf te beschermen tegen cyberaanvallen kun je technische maatregelen nemen, zoals gebruik maken van firewall, een virusscanner en een sterk wachtwoord. Hoewel dit goede maatregelen zijn, zijn alleen technische maatregelen niet meer voldoende om uw praktijk volledig te beschermen tegen cyberaanvallen. De meest gebruikte aanvalstechniek, behalve misbruik maken van niet gedichte kwetsbaarheden, is social engineering: de aanvaller probeert vertrouwen te wekken bij de medewerker van een organisatie om zo inloggegevens te verkrijgen of de persoon te laten betalen. Bekende voorbeelden zijn phishingmails, nepfacturen of nepwebsites (spoofing), CEO-fraude of Whatsapp-fraude. Deze aanvalsmanier omzeilt alle technische maatregelen.  

Het is nog altijd de mens achter de computer die de poorten voor kwaadwillenden kan dichthouden. Daarom is het nodig om een human firewall te bouwen.  

Conclusie: digitale veiligheid omvat techniek, organisatie én de mens.   

Aanname 4: Met een goede back-up ben ik weerbaar tegen digitale gijzeling 

Het hebben van een back-up is een goede start voor het veiligstellen van uw bedrijfsdata. Toch is het niet per definitie zo dat u een back-up kunt herstellen bij een ransomware-aanval. Wanneer de backup mee versleuteld wordt bij de aanval of de recente back-up niet ‘schoon’ is, dan zit er toch niets anders op dan het betalen van het losgeld.  

Naast versleuteling van bedrijfsdata kunnen cybercriminelen nog op andere manieren uw praktijk chanteren tot betalen. Ze kunnen dreigen over te gaan tot het lekken van gesloten privacygevoelige data. Of ze kunnen uw IT-systemen platleggen door een DDoS(Distributed Denial of Service)-aanval, waarbij ze de systemen zo overbelasten dat deze niet meer te bereiken zijn. Het terugzetten van een back-up is dan niet voldoende. Voorkom dat kwaadwillenden binnen komen en signaleer tijdig ongebruikelijke activiteiten. 

Conclusie: digitale veiligheid vraagt om beschermen, detecteren en snel herstellen.  

Kijkt u al anders naar de bescherming van de privacy en informatie van uw patiënten en wilt u ermee aan de slag? Hieronder een opsomming van zeven acties waarmee u kunt starten. 

-------------------------------------------------------------------------------------- 
Aan de slag met digitale veiligheid – 7 tips 

  1. Creëer overzicht van de in gebruik zijnde softwares en hardwares. 

  1. Zoek voor de belangrijkste systemen de kwetsbaarheden en onderneem actie. 

  1. Controleer tijdig op nieuwe updates.  

  1. Stel waar mogelijk multifactor authenticatie in.  

  1. Geef medewerkers awareness trainingen. 

  1. Bespreek regelmatig de status van de digitale veiligheid met de medewerkers en de IT-leveranciers. 

  1. Evalueer het back-upplan en test deze op werking. 

-------------------------------------------------------------------------------------- 
Meer weten? 

Wilt u meer tips specifiek voor uw praktijk? Neem gerust contact op met Tina Tsang-Fong, IT Auditor en Adviseur bij Visser & Visser, zorg@visser-visser.nl of 06 41 54 77 54. 

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.

Meer artikelen met dit thema

Team DocLine Utrecht
flash_onNieuws

Inspectie oordeelt positief over hybride praktijk DocLine Utrecht

8 feb om 12:15 uurtimer4 min
De Inspectie Gezondheidszorg en Jeugd heeft een inspectierapport van DocLine Utrecht gepubliceerd en beoordeelt…
Lees verder »
Health Arena van in4care
flash_onNieuws

'Health Arena' als nieuw gezondheidscentrum van de toekomst?

7 feb om 15:30 uurtimer4 min

De Health Arena van het Belgische in4care is een nieuw zorgconcept voor een innovatief…

Lees verder »

Verhoogde prestaties in fysiopraktijken dankzij SpotOnMedics

22 jan om 10:15 uurtimer3 min

Dat data niet eng hoeft te zijn, dat weten de experts van SpotOnMedics al lang. Hun software wordt gebruikt…

Lees verder »
mic_external_onInterview

Jan Henk Nawijn bouwt al zes jaar aan keurmerk: ‘In elke gemeente een Lieve Tandarts’

18 jan om 14:00 uurtimer7 min

Jan Henk Nawijn introduceerde in 2017 het keurmerk De Lieve Tandarts, waarbij  zich inmiddels bijna 100…

Lees verder »

Verlagen van werkdruk in de zorg door efficiënte communicatie en kennisuitwisseling

18 jan om 11:37 uurtimer4 min

Volle wachtkamers, overvolle agenda's en telefoonlijnen, administratieve druk. We weten allemaal dat de zorg…

Lees verder »
Rob Kuypers en enkele teamleden
all_inclusiveAchtergrondartikel

Tandarts Rob Kuypers en adviseur Mascha van Wermeskerken: 'Kuypers Mondzorg is klaar voor de toekomst'

20 dec 2023 timer5 min

Rob Kuypers, eigenaar van Kuypers Mondzorg, runde ruim dertig jaar een bloeiende tandartspraktijk binnen een…

Lees verder »
mic_external_onInterview

MO Innovation Centre: Innovatieve impuls voor uw mondzorgpraktijk

3 nov 2023 timer4 min

Het MO Innovation Centre is een serie webinars met productinformatie voor de tandheelkunde.…

Lees verder »
flash_onNieuws

Brancherapport Fysiotherapie 2023: ‘Bekostiging verzekerde zorg in fysiotherapie steeds meer onder druk’

1 nov 2023 timer4 min

Fysiotherapie in Beeld 2023 is een brancherapport van de sectorspecialisten van ABNAMRO dat de stand van zaken…

Lees verder »