Om in beeld te brengen welke organisatiekenmerken het risico op een cyberincident beïnvloeden, is bij Nederlandse zorginstellingen onderzoek gedaan naar cyberincidenten.
Meer en meer organisaties krijgen te maken met cyberincidenten. Zo’n incident heeft vaak verregaande gevolgen voor de organisatie zelf en voor de maatschappij. Wanneer zorginstellingen slachtoffer worden, zijn de gevolgen zo mogelijk nog verstrekkender en kunnen er zelfs mensenlevens in gevaar komen. Zorginstellingen onderkennen deze dreigingen en risico’s, maar vaak is niet duidelijk wat hen kwetsbaar maakt en wat ze daar tegen kunnen doen.
Allereerst is het van belang de juiste basismaatregelen te nemen en stap voor stap toe te werken naar een digitaal veilige organisatie. Het Nationaal Cyber Security Centrum (NCSC) heeft hiervoor een handreiking opgesteld die organisaties helpt zich te beschermen tegen actuele digitale dreigingen.
Onderzoek bij zorginstellingen
Om in beeld te brengen welke organisatiekenmerken het risico op een cyberincident beïnvloeden, is de afgelopen periode bij Nederlandse zorginstellingen onderzoek gedaan naar cyberincidenten. Deelnemende zorginstellingen hebben een enquête ingevuld waarin zij werden bevraagd over recente security-incidenten en kenmerken van hun organisatie zoals geïmplementeerde (technische) maatregelen.
Uit deze enquête blijkt dat er bij bijna de helft (45,5%) van de deelnemende zorginstellingen in het afgelopen jaar een cyberincident heeft plaatsgevonden. Het gaat daarbij met name om DDoS-aanvallen, (pogingen tot) hacking en/of phishing. Ook komt uit het onderzoek naar voren dat zorginstellingen maar zo’n 8% van hun IT-budget investeren in cybersecurity, terwijl dit bij andere sectoren hoger ligt [1].
Uit de analyse blijkt dat het trainen en bijscholen van medewerkers (zogeheten awareness oftewel creëren van bewustzijn) daadwerkelijk helpt bij de preventie van security-incidenten. Ook dragen investeringen op het gebied van ‘threat intelligence’, het versleutelen van communicatie en een systeem voor wachtwoordbeheer significant bij aan de bescherming van informatie en systemen.
[1] Cybersecurity in Science and Medicine: Threats and Challenges (Luh & Yen, 2020)
Direct toepasbare aanbevelingen
De inzichten uit dit onderzoek, waarbij gebruik gemaakt werd van eerder wetenschappelijk onderzochte en relevante variabelen, vormen direct toepasbare aanbevelingen voor zorginstellingen om hun digitale weerbaarheid te versterken en de kans op een cyberincident te verkleinen:
- Kies voor Mobile Device Management - het beheer van mobiele apparaten van medewerkers (smartphones, tablets en laptops) om de risico’s bij het gebruik van mobiele apparatuur te beheersen.
- Pas multifactorauthenticatie toe oftewel dat bij inloggen twee of meer zgn. factoren worden gebruik. Factoren zijn er in drie categorieën: iets dat je weet, bijvoorbeeld een wachtwoord; iets dat je hebt, bijvoorbeeld een token of iets dat je bent, bijvoorbeeld een vingerafdruk). Daardoor krijgt een aanvaller moeilijker toegang tot een account door de gebruikersnaam en het wachtwoord te raden of te achterhalen.
- Weeg kosten en baten van het beschikbaar stellen van een openbaar toegankelijk wifinetwerk tegen elkaar af. Besef dat zo’n open netwerk de kans op cyberincidenten vergroot.
Ondanks de genomen (basis-)maatregelen kan een incident nog steeds plaatsvinden. Organisaties dienen dan ook blijvend te investeren in hun medewerkers door middel van het vergroten van awareness en door opleiden, trainen en oefenen.
Meer weten over hoe u stapsgewijs uw visie en strategie op informatieveiligheid kunt vertalen naar realistische doelen en inspanningen? Of weten hoe u de ‘human factor’ succesvol inzet voor het verhogen van uw weerbaarheid? Neem dan vrijblijvend contact met ons op of bekijk alvast wat we voor u kunnen betekenen.