Zelf ben ik overtuigd van het gezegde ‘meten is weten’. Een van de belangrijkste zaken die je moet weten om de beveiliging van ziekenhuisnetwerken en de aangesloten systemen te verbeteren, is: welk risico loop je? Want alleen dan kunnen je weloverwogen beslissingen nemen. Maar hoe meet je dat risico? En hoe neem je het weg?
Het risico kan worden bepaald met de formule R = K x I, ofwel: het risico (R) is de kans (K) op een incident, vermenigvuldigd met de potentiële impact (I) van dat incident. Zo wordt bepaald wat het hoogste risico oplevert en wat dus als eerste of het beste beveiligd moet worden. Bovendien dwingt deze aanpak je om na te denken over de mogelijke gevolgen van uitval en of die gevolgen acceptabel zijn.
Kans en impact
Hoe bepaal je nu de waarden voor de Kans en de Impact? Het gaat om medische apparatuur, dus de impact van een incident zal daarom meestal groot zijn.
De kans op een incident is moeilijker te bepalen en die kans kan ook veranderen. Bijvoorbeeld doordat er nieuwe kwetsbaarheden aan het licht komen, zoals Heartbleed, het recente lek in Internet Explorer, of het einde van de ondersteuning van Windows XP. Wanneer dit soort zaken bekend worden, neemt de kans op een incident direct toe, omdat computercriminelen deze kwetsbaarheden gaan uitbuiten. Aan de andere kant zullen niet alle medische systemen getroffen worden door een bepaalde kwetsbaarheid. Want hoewel er (bijvoorbeeld) nog medische apparatuur op Windows XP draait, geldt dat gelukkig niet voor alle systemen.
Goed inzicht
De enige manier om een realistische inschatting te maken van de kans op incidenten, is via goed inzicht in de gebruikte systemen en in de (mogelijke) kwetsbaarheden die deze bevatten. En juist daar wringt de schoen, want bij veel organisaties – ook bij ziekenhuizen – ontbreekt dit inzicht. En dat betekent dat er eigenlijk maar gegokt wordt over de risico’s. In de praktijk houdt dit in dat sommige gaten worden gedicht, maar dat andere – mogelijk veel grotere – beveiligingsproblemen onopgemerkt blijven.
De eerste stap om de informatiebeveiliging op orde te krijgen, is daarom zorgen dat je inzicht krijgt. Dit kan met behulp van software of systemen die automatisch in kaart brengen wat er allemaal op het netwerk is aangesloten. Ook het besturingssysteem en de geïnstalleerde toepassingen worden in deze inventarisatie meegenomen. Daarbij gaat het natuurlijk om medische apparatuur, maar ook om pc’s, laptops, tablets, smartphones, et cetera. Nog beter is een oplossing die niet alleen inventariseert, maar die ook geautomatiseerd stappen kan nemen. Er wordt bijvoorbeeld gecontroleerd of er antivirussoftware of de nieuwste beveiligingsupdates aanwezig zijn. Is dat niet het geval, dan wordt de toegang tot het netwerk geblokkeerd of er komt alleen toegang tot een afgescheiden deel van het netwerk.
Per ongeluk afgesloten
Toch worden zelfs dergelijke essentiële oplossingen niet vaak ingezet, omdat men bang is dat er dan – per ongeluk – belangrijke systemen van het netwerk worden afgesloten. En dat komt weer doordat men geen idee heeft wat er allemaal op dat netwerk is aangesloten.
De oplossing is om zo’n controlesysteem gefaseerd uit te rollen. Eerst goed in kaart brengen wat er allemaal op het netwerk is aangesloten, maar nog niets blokkeren. Vervolgens stap voor stap de controle en blokkering activeren. Het mooie is dat hiermee ook onbekende, ongewenste en vaak onveilige apparatuur, die in de loop van de tijd is aangesloten op het netwerk, kan worden opgespoord en verwijderd. Daarmee is ook meteen een ander vervelend probleem verholpen.
Kortom: stop met gokken, ga meten.
Erik Remmelzwaal, Dearbytes
100 procent ict-veiligheid: een misverstand
Lees ook de eerdere blog van Remmelzwaal over het huwelijk tussen informatiebeveiliging en de zorg. In zijn blog roept hij op om de status quo te doorbreken en te gaan voor 100 procent veiligheid.