Digitale veiligheid moet in elke praktijk op nummer 1 staan

donderdag 13 oktober 2022
timer 4 min

Een ransomware aanval heeft soms ingrijpende gevolgen: een tandartsketen met 120 praktijken ging een week dicht. (Foto: Shutterstock)

Voor digitale veiligheid zorgen lijkt op het hebben van goede voornemens. Je hebt een verandering van mindset nodig om aan de nieuwe voornemens te beginnen en om ze vol te houden. In dit artikel geven we u zeven tips om zo min mogelijk deuren open te houden voor cybercriminelen.

Een tandartsketen met 120 praktijken in Nederland werd afgelopen zomer getroffen door een ransomware-aanval. Er loopt nog een onderzoek naar de aanval en de keten geeft niet veel informatie vrij. Wat wel duidelijk is: de keten kon niets anders dan een aanzienlijk bedrag aan losgeld (een nog niet bevestigd bedrag van € 2 miljoen) betalen. Daarbij waren de 120 praktijken een week dicht en vele patiënten konden er niet terecht. Spoedgevallen werden doorverwezen naar andere praktijken.  

Dan zijn er nog onzichtbare gevolgen waar niemand over praat. Denk aan de vele patiënten die zich zorgen maken of hun persoonlijke data niet op een verkeerde plek terecht zijn gekomen. Of denk aan de medewerkers die patiënten te woord moeten staan om ze gerust te stellen, terwijl ze zelf nog moeten bijkomen van de aanval.  

Het begint met mindset 

Vaak wordt gedacht dat digitale veiligheid het domein is van de praktijkmanager of de van externe IT-leverancier. Zij zorgen voor het up-to-date houden van de firewall en virusscanners en maken dagelijks een back-up. Organisaties denken vaak: meer kunnen wij niet doen, want wij zijn geen multinational met een flink ICT-budget. Door deze mindset krijgt digitale veiligheid onvoldoende aandacht binnen een organisatie. En dat creëert openingen voor cybercriminelen. Hieronder nemen we u mee langs een aantal veelgehoorde aannames over digitale veiligheid en waarom deze onterecht zijn.  

Aanname 1: Mijn praktijk is niet interessant, dus de kans dat ik getroffen word is klein.  

Elke organisatie kan slachtoffer worden van een cyberaanval. Het aantal werkzame medewerkers, de hoeveelheid gevoelige privacygegevens die een organisatie in bezit heeft of het land waar het bedrijf  gevestigd is, zijn geen relevante factoren voor cybercriminelen. Het draait bij hen immers alleen om het geld dat ze kunnen verdienen.  

Juist MKB-bedrijven zijn aantrekkelijk voor cybercriminelen, omdat de beveiliging aldaar doorgaans onvoldoende is geregeld. Het kost minder moeite om binnen te dringen en kans van slagen is veel groter dan bij een grote organisatie. Ook zijn er voorbeelden van praktijken die zelf niet het primaire doelwit zijn, maar wel het IT-bedrijf waarop de IT-systemen van de praktijk draaien. Doorgaans is de beveiliging van het IT-bedrijf goed geregeld en kunnen de systemen en data hersteld worden. Maar praktijken ondervinden nog wel dagen onderbreking in hun zorgverlening en andere processen.  

Conclusie: cyberveiligheid is geen ver-van-je-bed-show, aanvallen kunnen ook jouw onderneming raken. 

Aanname 2: De praktijkmanager of IT-partner regelt alles 

De praktijkmanager of de IT-leveranciers besteden veel aandacht aan informatiebeveiliging. Zij zorgen voor veilige instellingen en onderhouden de systemen, waaronder het uitvoeren van updates. En toch kunnen er kwetsbaarheden bestaan waar cybercriminelen misbruik van kunnen maken.  

Het IT-landschap van een onderneming is steeds complexer geworden. Het gemak waarmee IT-middelen gebruikt worden, zonder de betrokkenheid van de IT-afdeling heeft hieraan bijgedragen. Denk aan software-as-a-service-oplossingen zoals een online boekhoudpakket, smart devices (internet of things) die verbinding maken met het netwerk en eigen laptops of mobiele telefoons waarmee ingelogd kan worden op bedrijfssystemen. Door het ontbreken van een overzicht van alle systemen en devices die toegang hebben op de data, is het lastig volledig te zijn in het dichten van de openingen.  

Conclusie: de praktijkmanager en de IT-mensen doen hun best, maar ze kunnen niet alles in de gaten houden. 

Aanname 3: Digitale veiligheid is een technisch verhaal 

Om jezelf te beschermen tegen cyberaanvallen kun je technische maatregelen nemen, zoals gebruik maken van firewall, een virusscanner en een sterk wachtwoord. Hoewel dit goede maatregelen zijn, zijn alleen technische maatregelen niet meer voldoende om uw praktijk volledig te beschermen tegen cyberaanvallen. De meest gebruikte aanvalstechniek, behalve misbruik maken van niet gedichte kwetsbaarheden, is social engineering: de aanvaller probeert vertrouwen te wekken bij de medewerker van een organisatie om zo inloggegevens te verkrijgen of de persoon te laten betalen. Bekende voorbeelden zijn phishingmails, nepfacturen of nepwebsites (spoofing), CEO-fraude of Whatsapp-fraude. Deze aanvalsmanier omzeilt alle technische maatregelen.  

Het is nog altijd de mens achter de computer die de poorten voor kwaadwillenden kan dichthouden. Daarom is het nodig om een human firewall te bouwen.  

Conclusie: digitale veiligheid omvat techniek, organisatie én de mens.   

Aanname 4: Met een goede back-up ben ik weerbaar tegen digitale gijzeling 

Het hebben van een back-up is een goede start voor het veiligstellen van uw bedrijfsdata. Toch is het niet per definitie zo dat u een back-up kunt herstellen bij een ransomware-aanval. Wanneer de backup mee versleuteld wordt bij de aanval of de recente back-up niet ‘schoon’ is, dan zit er toch niets anders op dan het betalen van het losgeld.  

Naast versleuteling van bedrijfsdata kunnen cybercriminelen nog op andere manieren uw praktijk chanteren tot betalen. Ze kunnen dreigen over te gaan tot het lekken van gesloten privacygevoelige data. Of ze kunnen uw IT-systemen platleggen door een DDoS(Distributed Denial of Service)-aanval, waarbij ze de systemen zo overbelasten dat deze niet meer te bereiken zijn. Het terugzetten van een back-up is dan niet voldoende. Voorkom dat kwaadwillenden binnen komen en signaleer tijdig ongebruikelijke activiteiten. 

Conclusie: digitale veiligheid vraagt om beschermen, detecteren en snel herstellen.  

Kijkt u al anders naar de bescherming van de privacy en informatie van uw patiënten en wilt u ermee aan de slag? Hieronder een opsomming van zeven acties waarmee u kunt starten. 

-------------------------------------------------------------------------------------- 
Aan de slag met digitale veiligheid – 7 tips 

  1. Creëer overzicht van de in gebruik zijnde softwares en hardwares. 

  1. Zoek voor de belangrijkste systemen de kwetsbaarheden en onderneem actie. 

  1. Controleer tijdig op nieuwe updates.  

  1. Stel waar mogelijk multifactor authenticatie in.  

  1. Geef medewerkers awareness trainingen. 

  1. Bespreek regelmatig de status van de digitale veiligheid met de medewerkers en de IT-leveranciers. 

  1. Evalueer het back-upplan en test deze op werking. 

-------------------------------------------------------------------------------------- 
Meer weten? 

Wilt u meer tips specifiek voor uw praktijk? Neem gerust contact op met Tina Tsang-Fong, IT Auditor en Adviseur bij Visser & Visser, zorg@visser-visser.nl of 06 41 54 77 54. 

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.

Meer artikelen met dit thema

flash_onNieuws

Webinar MO Innovation Centre: De innovatieve impuls voor uw mondzorgpraktijk

19 okt 2023 timer4 min

Op een effectieve manier op de hoogte raken van innovaties in producten en diensten die uw praktijk kunnen…

Lees verder »

InterShift en Agilio: Intelligente software die praktijkmanagers bij al hun taken ondersteunt

26 sep 2023 timer4 min

InterShift, bij huisartsen bekend als de aanbieder van roostersoftware voor…

Lees verder »

Praktijkmanager Linde van der Leeuw over ReviewCollect: ‘Patiënten zien dat we alert zijn en ze snel helpen’

6 jul 2023 timer9 min

Staas & Bergmans, een brede tandartspraktijk met drie locaties in Den Bosch en Rosmalen, werkt sinds begin…

Lees verder »
Bart Malenstein (Foto: Quin)
mic_external_onInterview

Bart Malenstein (Quin): ‘Huisarts en patiënt ondersteunen en onnodig gebruik tweede lijn voorkomen’

4 jul 2023 timer7 min
Quin wil met triage- en communicatiesoftware het werkproces in de huisartsenpraktijk verlichten. Tegelijk wil het…
Lees verder »

vanBERNARD: allesomvattende software voor een efficiënte en eenvoudige bedrijfsvoering in iedere tandartspraktijk

24 mei 2023 timer3 min

vanBERNARD heeft samen met ZorgSom & Partners een nieuw softwarepakket gebouwd en is verheugd om aan te…

Lees verder »
Fred Bloem CEO Infomedics
flash_onNieuws

Infomedics wil ‘het verschil maken’: ‘De zorg optimaal laten functioneren. En vooral menselijk houden’

19 mei 2023 timer4 min
Infomedics wil de administratieve druk zoveel mogelijk bij zorgverleners weghalen, zodat ze zich volledig op de…
Lees verder »

eHerkenning nodig voor deponeren financiële jaarverantwoording

2 mei 2023 timer2 min
Heeft u al eHerkenning aangevraagd? Met eHerkenning logt u als bedrijf in bij verschillende overheidsinstanties.…
Lees verder »

Praktijkhandboek 'dentalQmanagement’ maakt werken in praktijk makkelijk

24 apr 2023 timer4 min
DentalQmanagement is een praktijkhandboek ter ondersteuning van het praktijk- en kwaliteitsmanagement in de…
Lees verder »