Informatiebeveiliging blijft belangrijk en uitdagend

feb 3, 2022 | Nieuws, Privacy & Security

Vanuit Zorgkenners verzorgt Huibert Bouthoorn al jaren een deel van de opleiding Informatiebeveiliging bij het opleidingsinstituut Outvie. Een onderwerp dat voor de zorgsector zeer belangrijk is en blijft. En ook voor vele uitdagingen zorgt.

Spanningsveld tussen digitalisering en informatie-uitwisseling
‘Het vak van security professionals is vandaag de dag een behoorlijk uitdagend vak. Men ervaart over het algemeen een spanningsveld tussen de in dit tijdperk noodzakelijke digitalisering en informatie-uitwisseling enerzijds en dit veilig en beheerst doen anderzijds’, aldus Huibert. ‘We zijn in de afgelopen jaren uiteindelijk toch gedwongen om digitaal te gaan werken, ook de zorginstellingen die dit normaliter niet zo snel zouden doen. Met name de digitalisering van medische informatie en de uitwisseling hiervan met andere zorginstellingen of de patiënt zelf zorgde voor een versnelling. En het geeft spanning om dat veilig te laten verlopen. Hoe je dat doet? Dat doe je door alle lagen van informatiebeveiliging op orde te hebben binnen je zorginstelling. Dit betekent dat je de juiste maatregelen moet nemen voor zowel het werken thuis als op de locatie(s) zelf. Je zult beleid moeten definiëren over hoe er intern met

 

 

informatiebeveiliging wordt omgegaan. Ook training is belangrijk. Want je kunt je processen nóg zo strak inregelen, als je je mensen en hun bewustzijn rondom dit onderwerp niet scherp houdt op dit vlak, dan blijf je kwetsbaar. De verschillende voorbeelden in de krant van verloren medische informatie tonen dit wel aan.’

Veel én veranderende wet- en regelgeving
‘Waar ook mee geworsteld wordt, is de enorme hoeveelheid wet- en regelgeving waaraan voldaan moet worden. Men mist een totaaloverzicht en dat geeft onrust omdat de betrokken professional daardoor twijfelt of hij op de hoogte is van álle informatie. Tel daar het steeds strakkere optreden van de Autoriteit Persoonsgegevens richting zorginstellingen die een datalek hebben bij op, en je begrijpt de onrust van deze security professional’, vertelt Huibert. ‘Tot slot heeft het vele thuiswerken, als gevolg van de coronacrisis, ook impact. Bijvoorbeeld op de uitdaging om medewerkers bewust te houden rondom de risico’s die ze lopen en het potentiële doelwit dat zij zelf zijn, maar ook rondom praktische zaken als onbeveiligde (privé) laptops en dito verbindingen. Het gevoel van grip is over de gehele linie toch wel afgenomen in de laatste periode.’

 

Hackers geprofessionaliseerd
‘En dan is er natuurlijk nog de uitdaging rondom het hacken van organisaties, een activiteit die niet alleen steeds meer voorkomt maar ook breed wordt uitgelicht in de media. Zeker het installeren van ransomware is een fenomeen dat veel voorbij komt’, vervolgt Huibert ‘Er zijn een aantal redenen voor deze hacking- en ransomware-activiteiten. Ten eerste is het hacken van een organisatie commercieel heel aantrekkelijk geworden. Waar dit vroeger vanuit een zolderkamertje gebeurde, voor de lol, is het tegenwoordig in toenemende mate steeds meer georganiseerd en geprofessionaliseerd. In onderzoeken worden over 2020 al getallen genoemd van 18 miljard euro dat aan losgeld voor ransomware is betaald. Het is dus een enorm lucratieve business om in te stappen. Naar verluid bedraagt het gemiddeld betaalde bedrag om een ransomware-aanval op te lossen zo’n slordige 300.000 euro’.

Start bij de basis
‘En juist die winstgevendheid is een reden om te professionaliseren voor hackers. Omdat het de core activiteit van hackers is, is het moeilijk voor zorginstellingen om dit vanuit hun kant, waarbij het voorkomen van aanvallen juist geen kernactiviteit is, te beheersen. Je ziet overigens wel degelijk dat de urgentie om dit probleem serieus aan te pakken gevoeld wordt. Bij de wat kleinere zorginstellingen ook wel, maar wordt deze materie vaak nog als complex ervaren. Terwijl je door het volgen van een paar basisregels al een stuk beter beschermd kan zijn. Zo behandel ik in de opleiding ook voorbeelden uit de praktijk zodat het onderwerp meer gaat leven bij de cursisten en men deze basisregels leert kennen. Al is het maar vanwege herkenbaarheid met mogelijke beveiligingslekken binnen de eigen zorginstelling en het hierop kunnen acteren.’

 

Nieuwe security- en technologische ontwikkelingen
‘Uiteraard zijn er ook steeds nieuwe ontwikkelingen op het gebied van security en technologie. Graag noem ik een aantal thema’s waar security professionals rekening mee zouden moeten houden’, aldus Huibert. ‘Zo is bijvoorbeeld het fenomeen MultiFactor Authenticatie een belangrijk topic. Alleen gebruikmaken van een username en wachtwoord is -voor vertrouwelijke informatie- echt te zwak anno nu. Ook de beveiliging van de werkplekken thuis is een thema dat veel aandacht krijgt. Veel organisaties vinden het nog een hele kluif om dit goed aan te pakken, zeker ook met de hackende community die geïnteresseerd meekijkt en zo mogelijk direct inspringt op beveiligingslekken bij medewerkers die vanuit huis werken. Maar ook het snel ontdekken en oplossen van (potentiële) beveiligingslekken is belangrijk. Zo zie je bijvoorbeeld terug in de markt dat bedrijven zich richten op geautomatiseerd scannen op kwetsbaarheden in de infrastructuur en het automatisch updaten daarvan. In het verleden kon zo’n fout in de software veel langer bestaan, waardoor kwaadwillenden meer kans hadden om binnen te komen. Dat soort zwakke plekken oplossen gaat nu allemaal veel sneller en bovendien beter omdat je veel minder afhankelijk bent van menselijk handelen. Uiteindelijk blijft het een wedstrijd tussen de security professionals en hackers.’

Ben je geïnteresseerd in de opleiding Informatiebeveiliging, schrijf je dan snel in bij Outvie. De opleiding geeft een  integraal beeld van informatiebeveiliging en alle aspecten die daarbij horen. De inhoud gaat van beleidsvorming tot innovatieve techniek én belicht de vele onderwerpen daartussen.

 Wil je graag verder praten over dit onderwerp, neem dan contact met ons op!