Digitale veiligheid moet in elke praktijk op nummer 1 staan

donderdag 13 oktober 2022
timer 4 min

Een ransomware aanval heeft soms ingrijpende gevolgen: een tandartsketen met 120 praktijken ging een week dicht. (Foto: Shutterstock)

Voor digitale veiligheid zorgen lijkt op het hebben van goede voornemens. Je hebt een verandering van mindset nodig om aan de nieuwe voornemens te beginnen en om ze vol te houden. In dit artikel geven we u tips om zo min mogelijk deuren open te houden voor cybercriminelen.

Een tandartsketen met 120 praktijken in Nederland werd afgelopen zomer getroffen door een ransomware-aanval. Er loopt nog een onderzoek naar de aanval en de keten geeft niet veel informatie vrij. Wat wel duidelijk is: de keten kon niets anders dan een aanzienlijk bedrag aan losgeld (een nog niet bevestigd bedrag van € 2 miljoen) betalen. Daarbij waren de 120 praktijken een week dicht en vele patiënten konden er niet terecht. Spoedgevallen werden doorverwezen naar andere praktijken.  

Dan zijn er nog onzichtbare gevolgen waar niemand over praat. Denk aan de vele patiënten die zich zorgen maken of hun persoonlijke data niet op een verkeerde plek terecht zijn gekomen. Of denk aan de medewerkers die patiënten te woord moeten staan om ze gerust te stellen, terwijl ze zelf nog moeten bijkomen van de aanval.  

Het begint met mindset 

Vaak wordt gedacht dat digitale veiligheid het domein is van de praktijkmanager of de van externe IT-leverancier. Zij zorgen voor het up-to-date houden van de firewall en virusscanners en maken dagelijks een back-up. Organisaties denken vaak: meer kunnen wij niet doen, want wij zijn geen multinational met een flink ICT-budget. Door deze mindset krijgt digitale veiligheid onvoldoende aandacht binnen een organisatie. En dat creëert openingen voor cybercriminelen. Hieronder nemen we u mee langs een aantal veelgehoorde aannames over digitale veiligheid en waarom deze onterecht zijn.  

Aanname 1: Mijn praktijk is niet interessant, dus de kans dat ik getroffen word is klein.  

Elke organisatie kan slachtoffer worden van een cyberaanval. Het aantal werkzame medewerkers, de hoeveelheid gevoelige privacygegevens die een organisatie in bezit heeft of het land waar het bedrijf  gevestigd is, zijn geen relevante factoren voor cybercriminelen. Het draait bij hen immers alleen om het geld dat ze kunnen verdienen.  

Juist MKB-bedrijven zijn aantrekkelijk voor cybercriminelen, omdat de beveiliging aldaar doorgaans onvoldoende is geregeld. Het kost minder moeite om binnen te dringen en kans van slagen is veel groter dan bij een grote organisatie. Ook zijn er voorbeelden van praktijken die zelf niet het primaire doelwit zijn, maar wel het IT-bedrijf waarop de IT-systemen van de praktijk draaien. Doorgaans is de beveiliging van het IT-bedrijf goed geregeld en kunnen de systemen en data hersteld worden. Maar praktijken ondervinden nog wel dagen onderbreking in hun zorgverlening en andere processen.  

Conclusie: cyberveiligheid is geen ver-van-je-bed-show, aanvallen kunnen ook jouw onderneming raken. 

Aanname 2: De praktijkmanager of IT-partner regelt alles 

De praktijkmanager of de IT-leveranciers besteden veel aandacht aan informatiebeveiliging. Zij zorgen voor veilige instellingen en onderhouden de systemen, waaronder het uitvoeren van updates. En toch kunnen er kwetsbaarheden bestaan waar cybercriminelen misbruik van kunnen maken.  

Het IT-landschap van een onderneming is steeds complexer geworden. Het gemak waarmee IT-middelen gebruikt worden, zonder de betrokkenheid van de IT-afdeling heeft hieraan bijgedragen. Denk aan software-as-a-service-oplossingen zoals een online boekhoudpakket, smart devices (internet of things) die verbinding maken met het netwerk en eigen laptops of mobiele telefoons waarmee ingelogd kan worden op bedrijfssystemen. Door het ontbreken van een overzicht van alle systemen en devices die toegang hebben op de data, is het lastig volledig te zijn in het dichten van de openingen.  

Conclusie: de praktijkmanager en de IT-mensen doen hun best, maar ze kunnen niet alles in de gaten houden. 

Aanname 3: Digitale veiligheid is een technisch verhaal 

Om jezelf te beschermen tegen cyberaanvallen kun je technische maatregelen nemen, zoals gebruik maken van firewall, een virusscanner en een sterk wachtwoord. Hoewel dit goede maatregelen zijn, zijn alleen technische maatregelen niet meer voldoende om uw praktijk volledig te beschermen tegen cyberaanvallen. De meest gebruikte aanvalstechniek, behalve misbruik maken van niet gedichte kwetsbaarheden, is social engineering: de aanvaller probeert vertrouwen te wekken bij de medewerker van een organisatie om zo inloggegevens te verkrijgen of de persoon te laten betalen. Bekende voorbeelden zijn phishingmails, nepfacturen of nepwebsites (spoofing), CEO-fraude of Whatsapp-fraude. Deze aanvalsmanier omzeilt alle technische maatregelen.  

Het is nog altijd de mens achter de computer die de poorten voor kwaadwillenden kan dichthouden. Daarom is het nodig om een human firewall te bouwen.  

Conclusie: digitale veiligheid omvat techniek, organisatie én de mens.   

Aanname 4: Met een goede back-up ben ik weerbaar tegen digitale gijzeling 

Het hebben van een back-up is een goede start voor het veiligstellen van uw bedrijfsdata. Toch is het niet per definitie zo dat u een back-up kunt herstellen bij een ransomware-aanval. Wanneer de backup mee versleuteld wordt bij de aanval of de recente back-up niet ‘schoon’ is, dan zit er toch niets anders op dan het betalen van het losgeld.  

Naast versleuteling van bedrijfsdata kunnen cybercriminelen nog op andere manieren uw praktijk chanteren tot betalen. Ze kunnen dreigen over te gaan tot het lekken van gesloten privacygevoelige data. Of ze kunnen uw IT-systemen platleggen door een DDoS(Distributed Denial of Service)-aanval, waarbij ze de systemen zo overbelasten dat deze niet meer te bereiken zijn. Het terugzetten van een back-up is dan niet voldoende. Voorkom dat kwaadwillenden binnen komen en signaleer tijdig ongebruikelijke activiteiten. 

Conclusie: digitale veiligheid vraagt om beschermen, detecteren en snel herstellen.  

Kijkt u al anders naar de bescherming van de privacy en informatie van uw patiënten en wilt u ermee aan de slag? Hieronder een opsomming van zeven acties waarmee u kunt starten. 

-------------------------------------------------------------------------------------- 
Aan de slag met digitale veiligheid – 7 tips 

  1. Creëer overzicht van de in gebruik zijnde softwares en hardwares. 

  1. Zoek voor de belangrijkste systemen de kwetsbaarheden en onderneem actie. 

  1. Controleer tijdig op nieuwe updates.  

  1. Stel waar mogelijk multifactor authenticatie in.  

  1. Geef medewerkers awareness trainingen. 

  1. Bespreek regelmatig de status van de digitale veiligheid met de medewerkers en de IT-leveranciers. 

  1. Evalueer het back-upplan en test deze op werking. 

-------------------------------------------------------------------------------------- 
Meer weten? 

Wilt u meer tips specifiek voor uw praktijk? Neem gerust contact op met Tina Tsang-Fong, IT Auditor en Adviseur bij Visser & Visser, zorg@visser-visser.nl of 06 41 54 77 54. 

 

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.

Lees verder - met dit thema

Geautomatiseerd en structureel reviews ontvangen voor jouw tandartspraktijk op o.a. Google en ZorgkaartNederland

24 okt om 11:38 uurtimer3 min
Beetr is een onafhankelijk onderzoeks- en marketingbureau dat streeft naar transparantie over de kwaliteit van…
Lees verder »

Patrick Vollenbroek: ‘DentalRules helpt om het maximale uit de dagelijkse werkzaamheden te halen’

24 okt om 10:56 uurtimer3 min
Van papier naar digitaal: het is de passie van Patrick Vollenbroek om software te ontwikkelen die échte…
Lees verder »

Wat heeft u als zorgverlener aan Google Mijn Bedrijf?

22 sep om 13:42 uurtimer3 min

Waarschijnlijk ben je het al eens tegengekomen in de zoekresultaten van Google: een kaartje met daarop…

Lees verder »
mic_external_onInterview

'Welshop' voor online behandeling, coaching en zelfhulp: ‘Mentale fitheid van begin tot eind ondersteunen’

15 sep om 10:04 uurtimer5 min
'Welshop' heet het digitale platform met online behandelingen, coaching- en zelfhulptrajecten van ggz-aanbieders.…
Lees verder »

Informatieveiligheid vraagt aandacht en actie

15 sep om 09:53 uurtimer3 min
‘Ik heb een mail geopend en toen was het te laat, ik ben gehackt!’ Malware, phishingmail en ransomware kunnen de…
Lees verder »
flash_onNieuws

De ervaringen van HOOG met Uw Zorg online: ‘Alle huisartsen in twee regio’s hebben nu een patiëntenportaal’

1 sep om 10:17 uurtimer5 min
Huisartsen Organisatie Oost-Gelderland (HOOG) begon vijf jaar geleden met de invoering van Uw Zorg online. Via dit…
Lees verder »
mic_external_onInterview

Praktijkmanager Ingrid Jaape over Uw Zorg online: ‘Werkdruk beperk je door maximale inzet op digitalisering’

15 aug om 10:23 uurtimer5 min
De huisartsenpraktijk van dr. Kees Vos in Spijkenisse werkt al zeven jaar met het patiëntenportaal Uw Zorg online…
Lees verder »
flash_onNieuws

Proef met digitale huisartsenpost Nijmegen en Boxmeer succesvol

29 jun om 10:12 uurtimer3 min
Een proef met een digitale huisartsenpost die de reguliere spoedzorg aanvult bij NEO Huisartsenzorg is volgens…
Lees verder »