Digitale veiligheid moet in elke praktijk op nummer 1 staan

donderdag 13 oktober 2022
timer 4 min

Een ransomware aanval heeft soms ingrijpende gevolgen: een tandartsketen met 120 praktijken ging een week dicht. (Foto: Shutterstock)

Voor digitale veiligheid zorgen lijkt op het hebben van goede voornemens. Je hebt een verandering van mindset nodig om aan de nieuwe voornemens te beginnen en om ze vol te houden. In dit artikel geven we u tips om zo min mogelijk deuren open te houden voor cybercriminelen.

Een tandartsketen met 120 praktijken in Nederland werd afgelopen zomer getroffen door een ransomware-aanval. Er loopt nog een onderzoek naar de aanval en de keten geeft niet veel informatie vrij. Wat wel duidelijk is: de keten kon niets anders dan een aanzienlijk bedrag aan losgeld (een nog niet bevestigd bedrag van € 2 miljoen) betalen. Daarbij waren de 120 praktijken een week dicht en vele patiënten konden er niet terecht. Spoedgevallen werden doorverwezen naar andere praktijken.  

Dan zijn er nog onzichtbare gevolgen waar niemand over praat. Denk aan de vele patiënten die zich zorgen maken of hun persoonlijke data niet op een verkeerde plek terecht zijn gekomen. Of denk aan de medewerkers die patiënten te woord moeten staan om ze gerust te stellen, terwijl ze zelf nog moeten bijkomen van de aanval.  

Het begint met mindset 

Vaak wordt gedacht dat digitale veiligheid het domein is van de praktijkmanager of de van externe IT-leverancier. Zij zorgen voor het up-to-date houden van de firewall en virusscanners en maken dagelijks een back-up. Organisaties denken vaak: meer kunnen wij niet doen, want wij zijn geen multinational met een flink ICT-budget. Door deze mindset krijgt digitale veiligheid onvoldoende aandacht binnen een organisatie. En dat creëert openingen voor cybercriminelen. Hieronder nemen we u mee langs een aantal veelgehoorde aannames over digitale veiligheid en waarom deze onterecht zijn.  

Aanname 1: Mijn praktijk is niet interessant, dus de kans dat ik getroffen word is klein.  

Elke organisatie kan slachtoffer worden van een cyberaanval. Het aantal werkzame medewerkers, de hoeveelheid gevoelige privacygegevens die een organisatie in bezit heeft of het land waar het bedrijf  gevestigd is, zijn geen relevante factoren voor cybercriminelen. Het draait bij hen immers alleen om het geld dat ze kunnen verdienen.  

Juist MKB-bedrijven zijn aantrekkelijk voor cybercriminelen, omdat de beveiliging aldaar doorgaans onvoldoende is geregeld. Het kost minder moeite om binnen te dringen en kans van slagen is veel groter dan bij een grote organisatie. Ook zijn er voorbeelden van praktijken die zelf niet het primaire doelwit zijn, maar wel het IT-bedrijf waarop de IT-systemen van de praktijk draaien. Doorgaans is de beveiliging van het IT-bedrijf goed geregeld en kunnen de systemen en data hersteld worden. Maar praktijken ondervinden nog wel dagen onderbreking in hun zorgverlening en andere processen.  

Conclusie: cyberveiligheid is geen ver-van-je-bed-show, aanvallen kunnen ook jouw onderneming raken. 

Aanname 2: De praktijkmanager of IT-partner regelt alles 

De praktijkmanager of de IT-leveranciers besteden veel aandacht aan informatiebeveiliging. Zij zorgen voor veilige instellingen en onderhouden de systemen, waaronder het uitvoeren van updates. En toch kunnen er kwetsbaarheden bestaan waar cybercriminelen misbruik van kunnen maken.  

Het IT-landschap van een onderneming is steeds complexer geworden. Het gemak waarmee IT-middelen gebruikt worden, zonder de betrokkenheid van de IT-afdeling heeft hieraan bijgedragen. Denk aan software-as-a-service-oplossingen zoals een online boekhoudpakket, smart devices (internet of things) die verbinding maken met het netwerk en eigen laptops of mobiele telefoons waarmee ingelogd kan worden op bedrijfssystemen. Door het ontbreken van een overzicht van alle systemen en devices die toegang hebben op de data, is het lastig volledig te zijn in het dichten van de openingen.  

Conclusie: de praktijkmanager en de IT-mensen doen hun best, maar ze kunnen niet alles in de gaten houden. 

Aanname 3: Digitale veiligheid is een technisch verhaal 

Om jezelf te beschermen tegen cyberaanvallen kun je technische maatregelen nemen, zoals gebruik maken van firewall, een virusscanner en een sterk wachtwoord. Hoewel dit goede maatregelen zijn, zijn alleen technische maatregelen niet meer voldoende om uw praktijk volledig te beschermen tegen cyberaanvallen. De meest gebruikte aanvalstechniek, behalve misbruik maken van niet gedichte kwetsbaarheden, is social engineering: de aanvaller probeert vertrouwen te wekken bij de medewerker van een organisatie om zo inloggegevens te verkrijgen of de persoon te laten betalen. Bekende voorbeelden zijn phishingmails, nepfacturen of nepwebsites (spoofing), CEO-fraude of Whatsapp-fraude. Deze aanvalsmanier omzeilt alle technische maatregelen.  

Het is nog altijd de mens achter de computer die de poorten voor kwaadwillenden kan dichthouden. Daarom is het nodig om een human firewall te bouwen.  

Conclusie: digitale veiligheid omvat techniek, organisatie én de mens.   

Aanname 4: Met een goede back-up ben ik weerbaar tegen digitale gijzeling 

Het hebben van een back-up is een goede start voor het veiligstellen van uw bedrijfsdata. Toch is het niet per definitie zo dat u een back-up kunt herstellen bij een ransomware-aanval. Wanneer de backup mee versleuteld wordt bij de aanval of de recente back-up niet ‘schoon’ is, dan zit er toch niets anders op dan het betalen van het losgeld.  

Naast versleuteling van bedrijfsdata kunnen cybercriminelen nog op andere manieren uw praktijk chanteren tot betalen. Ze kunnen dreigen over te gaan tot het lekken van gesloten privacygevoelige data. Of ze kunnen uw IT-systemen platleggen door een DDoS(Distributed Denial of Service)-aanval, waarbij ze de systemen zo overbelasten dat deze niet meer te bereiken zijn. Het terugzetten van een back-up is dan niet voldoende. Voorkom dat kwaadwillenden binnen komen en signaleer tijdig ongebruikelijke activiteiten. 

Conclusie: digitale veiligheid vraagt om beschermen, detecteren en snel herstellen.  

Kijkt u al anders naar de bescherming van de privacy en informatie van uw patiënten en wilt u ermee aan de slag? Hieronder een opsomming van zeven acties waarmee u kunt starten. 

-------------------------------------------------------------------------------------- 
Aan de slag met digitale veiligheid – 7 tips 

  1. Creëer overzicht van de in gebruik zijnde softwares en hardwares. 

  1. Zoek voor de belangrijkste systemen de kwetsbaarheden en onderneem actie. 

  1. Controleer tijdig op nieuwe updates.  

  1. Stel waar mogelijk multifactor authenticatie in.  

  1. Geef medewerkers awareness trainingen. 

  1. Bespreek regelmatig de status van de digitale veiligheid met de medewerkers en de IT-leveranciers. 

  1. Evalueer het back-upplan en test deze op werking. 

-------------------------------------------------------------------------------------- 
Meer weten? 

Wilt u meer tips specifiek voor uw praktijk? Neem gerust contact op met Tina Tsang-Fong, IT Auditor en Adviseur bij Visser & Visser, zorg@visser-visser.nl of 06 41 54 77 54. 

 

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.

Lees verder - met dit thema

Infomedics wil ‘het verschil maken’: ‘De zorg optimaal laten functioneren. En vooral menselijk houden’

15 mei 2023 timer4 min
Infomedics wil de administratieve druk zoveel mogelijk bij zorgverleners weghalen, zodat ze zich volledig op de…
Lees verder »

Justine Moes, adviseur bij DentalRules: ‘Onze kracht is dat het een alles-in-één-systeem is’

15 mei 2023 timer5 min

Maak kennis met Justine Moes, adviseur bij DentalRules. Vanaf haar 19e werkzaam in de…

Lees verder »

De voordelen van het wachtkamerscherm voor de praktijkmanager

2 mei 2023 timer3 min
Voor patiënten in de huisartsenpraktijk is het wachtkamerscherm informatief en prettig om naar te kijken tijdens…
Lees verder »

Praktijkhandboek ‘dentalQmanagement’ maakt werken in praktijk makkelijk

24 apr 2023 timer4 min
DentalQmanagement is een praktijkhandboek ter ondersteuning van het praktijk- en kwaliteitsmanagement in de…
Lees verder »

Michael Joosen over patiënten- en medewerkerstevredenheid: ‘Goede online reputatie helpt bij het vinden van personeel’

13 apr 2023 timer6 min
ReviewCollect is een tool waarmee praktijken eenvoudig, gebruiksvriendelijk en systematisch reviews kunnen…
Lees verder »
person_outlineBlog

Het belang van een sterk en uniek wachtwoord voor jouw praktijkwebsite

23 feb 2023 timer4 min
Veel praktijkwebsites maken gebruik van geïntegreerde formulieren, waar patiënten online hun persoonsgegevens (…
Lees verder »
Digifit Challenge
flash_onNieuws

De ‘Digifit challenge’: digitaal fit in een maand

21 feb 2023 timer2 min
Maart is de maand van de digitale fitheid, een initiatief van de coalitie ‘Digivaardig in de zorg’. De coalitie…
Lees verder »
person_outlineBlog

Hoe verbeter je de leesbaarheid van jouw praktijkwebsite?

5 dec 2022 timer3 min
Bijna elke praktijk heeft een website, maar bereik je hier iedereen mee? Een goed leesbare praktijkwebsite is niet…
Lees verder »