Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

Medewerkers grootste gevaar voor datalek

Experts zijn het erover eens: informatiebeveiliging moet risico-gedreven werken. De kans op een incident en de potentiële impact ervan op de organisatie, bepalen dat risico. En met kennis van risico’s kan worden besloten of deze acceptabel zijn of niet. Risico’s verschillen per organisatie en zijn voor een belangrijk gedeelte gekoppeld aan de branche waartoe die organisatie behoort. Dat ligt voor de hand en is ook de reden van de veelgehoorde stelling: ‘wij zijn niet interessant voor hackers’. Inderdaad, Oost-Europese cybercriminelen en Chinese spionnen zijn niet de grootste risico’s voor de zorg. Maar wat dan wel?
Medewerkers grootste gevaar voor datalek

Verizon heeft in het laatste Data Breach Investigations Report (DBIR) een interessante inventarisatie gemaakt van incidenten per sector. De zorg is er een van. Uit het rapport blijkt allereerst dat de zorgsector niet bepaald hoog staat op de ranglijst op basis van het aantal incidenten: nummer 15 van de 20. Dit is overigens wereldwijd, maar ik zie geen reden waarom Nederland daar veel van zou afwijken. De zorgincidenten zijn volgens het rapport voor bijna driekwart (73 procent) het gevolg van menselijk handelen: Physical Theft/Loss (46 procent), Insider Misuse (15 procent) en Misc. Error (12 procent). In al deze categorieën is geen sprake van malware, cybercriminelen en spionnen. Maar de gevolgen zijn even ernstig: een datalek.

Verlies

Onder Physical Theft/Loss wordt verstaan het kwijtraken van een datadrager als gevolg van verlies of diefstal. Usb-sticks, tablets, smartphones en laptops, maar ook geprinte data, vallen hieronder. En dit soort verlies vormt dus bijna voor de helft het risico dat zorginstellingen lopen op een datalek. Het advies is deze apparatuur achter slot en grendel te bewaren of de welbekende kabelsloten te gebruiken. Als er desondanks apparatuur wegraakt, is het belangrijk dat de data die erop staat versleuteld is.

Ongeautoriseerde toegang

Insider misuse gaat om het doelbewust ongeautoriseerd toegang verkrijgen tot data door eigen medewerkers, consultants of dienstverleners, zoals schoonmakers. Pak dit aan door data te classificeren en de toegang ertoe en het gebruik ervan te reguleren. Goed beheer van gebruikersaccounts (denk aan de uitdienstprocedure) en sterke wachtwoorden voorkomen ongeautoriseerde toegang. Zorg ook voor goede vastlegging van toegangspogingen tot data (audit logging met behulp van SIEM) en monitor actief (via een security operations center). Dat voorkomt dat een dergelijk lek onopgemerkt blijft en maakt het mogelijk uit te zoeken welke data precies gelekt is.

Allerlei foutjes

Ten slotte de categorie Misc. Error ofwel allerlei foutjes. Dit gaat om menselijk handelen met een datalek als gevolg, met uitzondering dus van het verlies van een fysieke datadrager. Een goed voorbeeld is een e-mail verzenden aan een verkeerde ontvanger. Er zijn natuurlijk veel meer 'foutjes' te bedenken. In de strijd hiertegen is gebruikersbewustzijn enorm belangrijk, maar dataclassificatie en software om gebruikers te waarschuwen als zij gevoelige data verkeerd gebruiken, kunnen veel toegevoegde waarde leveren.

Kortom: de zorg moet zich vooral zorgen maken om het verlies van data als gevolg van menselijk handelen. Beleid, loggen en monitoren zijn de maatregelen om de impact van driekwart van alle incidenten tot een minimum te beperken. Dat moet te doen zijn. Succes!

Erik Remmelzwaal, CEO van Dearbytes

Eén reactie

  • van Zanten

    Een groot deel van het verlies aan data in de zorg wordt veroorzaakt door de systemen die als silo's werken, de vendor lock-in en gebrek aan centrale opslag, ook over de instellingen heen. De enige manier waarop data dan gedeeld kan worden is om het maar te mailen (met alle risico's van dien), om het op een CD of USB-stick te zetten en/of met papieren kopieën. Alleen al het aantal Cd’s wat jaarlijks zoekraakt (vaak ook door patiënten) is groot. Het idee wat binnen veel instellingen leeft dat data binnen de eigen muren veilig zou zijn werkt daarmee in praktijk averechts.

    Daarnaast is het vrij eenvoudig om in veel grote publiekelijk toegankelijke instellingen rond te neuzen, doen of je er thuishoort, een onbeheerde terminal of dossiermap te vinden en er met een set aan data vandoor te gaan. Dat dit nauwelijks gebeurt is meer omdat eigenlijk niemand weet wat hij met die data aan moet, behoudens wanneer het wellicht van een bekend persoon zou zijn.

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden