Verizon heeft in het laatste Data Breach Investigations Report (DBIR) een interessante inventarisatie gemaakt van incidenten per sector. De zorg is er een van. Uit het rapport blijkt allereerst dat de zorgsector niet bepaald hoog staat op de ranglijst op basis van het aantal incidenten: nummer 15 van de 20. Dit is overigens wereldwijd, maar ik zie geen reden waarom Nederland daar veel van zou afwijken. De zorgincidenten zijn volgens het rapport voor bijna driekwart (73 procent) het gevolg van menselijk handelen: Physical Theft/Loss (46 procent), Insider Misuse (15 procent) en Misc. Error (12 procent). In al deze categorieën is geen sprake van malware, cybercriminelen en spionnen. Maar de gevolgen zijn even ernstig: een datalek.
Verlies
Onder Physical Theft/Loss wordt verstaan het kwijtraken van een datadrager als gevolg van verlies of diefstal. Usb-sticks, tablets, smartphones en laptops, maar ook geprinte data, vallen hieronder. En dit soort verlies vormt dus bijna voor de helft het risico dat zorginstellingen lopen op een datalek. Het advies is deze apparatuur achter slot en grendel te bewaren of de welbekende kabelsloten te gebruiken. Als er desondanks apparatuur wegraakt, is het belangrijk dat de data die erop staat versleuteld is.
Ongeautoriseerde toegang
Insider misuse gaat om het doelbewust ongeautoriseerd toegang verkrijgen tot data door eigen medewerkers, consultants of dienstverleners, zoals schoonmakers. Pak dit aan door data te classificeren en de toegang ertoe en het gebruik ervan te reguleren. Goed beheer van gebruikersaccounts (denk aan de uitdienstprocedure) en sterke wachtwoorden voorkomen ongeautoriseerde toegang. Zorg ook voor goede vastlegging van toegangspogingen tot data (audit logging met behulp van SIEM) en monitor actief (via een security operations center). Dat voorkomt dat een dergelijk lek onopgemerkt blijft en maakt het mogelijk uit te zoeken welke data precies gelekt is.
Allerlei foutjes
Ten slotte de categorie Misc. Error ofwel allerlei foutjes. Dit gaat om menselijk handelen met een datalek als gevolg, met uitzondering dus van het verlies van een fysieke datadrager. Een goed voorbeeld is een e-mail verzenden aan een verkeerde ontvanger. Er zijn natuurlijk veel meer ‘foutjes’ te bedenken. In de strijd hiertegen is gebruikersbewustzijn enorm belangrijk, maar dataclassificatie en software om gebruikers te waarschuwen als zij gevoelige data verkeerd gebruiken, kunnen veel toegevoegde waarde leveren.
Kortom: de zorg moet zich vooral zorgen maken om het verlies van data als gevolg van menselijk handelen. Beleid, loggen en monitoren zijn de maatregelen om de impact van driekwart van alle incidenten tot een minimum te beperken. Dat moet te doen zijn. Succes!
Erik Remmelzwaal, CEO van Dearbytes
Een groot deel van het verlies aan data in de zorg wordt veroorzaakt door de systemen die als silo’s werken, de vendor lock-in en gebrek aan centrale opslag, ook over de instellingen heen. De enige manier waarop data dan gedeeld kan worden is om het maar te mailen (met alle risico’s van dien), om het op een CD of USB-stick te zetten en/of met papieren kopieën. Alleen al het aantal Cd’s wat jaarlijks zoekraakt (vaak ook door patiënten) is groot. Het idee wat binnen veel instellingen leeft dat data binnen de eigen muren veilig zou zijn werkt daarmee in praktijk averechts.
Daarnaast is het vrij eenvoudig om in veel grote publiekelijk toegankelijke instellingen rond te neuzen, doen of je er thuishoort, een onbeheerde terminal of dossiermap te vinden en er met een set aan data vandoor te gaan. Dat dit nauwelijks gebeurt is meer omdat eigenlijk niemand weet wat hij met die data aan moet, behoudens wanneer het wellicht van een bekend persoon zou zijn.