Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

Stop met gokken

Erik Remmelzwaal
Erik Remmelzwaal is Managing Director Security Sevices bij KPN. Hij begon zijn carrière in 2001 bij DearBytes, waarvan hij in 2011 CEO werd. In 2017 werd DearBytes overgenomen door KPN; Erik Remmelzwaal werd er Director Products. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.
De achilleshiel van ziekenhuisnetwerken is de beveiliging. Zowel van het netwerk zelf als van de daarop aangesloten medische systemen. Dat zegt ook Jeroen Slobbe van Deloitte, in een uitzending van BNR op 30 april jongstleden. Het bewustzijn hierover neemt langzaam toe, maar ziekenhuizen zullen onderhand toch echt concrete stappen moeten nemen. Maar ja… hoe?
Stop met gokken

Zelf ben ik overtuigd van het gezegde ‘meten is weten’. Een van de belangrijkste zaken die je moet weten om de beveiliging van ziekenhuisnetwerken en de aangesloten systemen te verbeteren, is: welk risico loop je? Want alleen dan kunnen je weloverwogen beslissingen nemen. Maar hoe meet je dat risico? En hoe neem je het weg?

Het risico kan worden bepaald met de formule R = K x I, ofwel: het risico (R) is de kans (K) op een incident, vermenigvuldigd met de potentiële impact (I) van dat incident. Zo wordt bepaald wat het hoogste risico oplevert en wat dus als eerste of het beste beveiligd moet worden. Bovendien dwingt deze aanpak je om na te denken over de mogelijke gevolgen van uitval en of die gevolgen acceptabel zijn.

Kans en impact

Hoe bepaal je nu de waarden voor de Kans en de Impact? Het gaat om medische apparatuur, dus de impact van een incident zal daarom meestal groot zijn.

De kans op een incident is moeilijker te bepalen en die kans kan ook veranderen. Bijvoorbeeld doordat er nieuwe kwetsbaarheden aan het licht komen, zoals Heartbleed, het recente lek in Internet Explorer, of het einde van de ondersteuning van Windows XP. Wanneer dit soort zaken bekend worden, neemt de kans op een incident direct toe, omdat computercriminelen deze kwetsbaarheden gaan uitbuiten. Aan de andere kant zullen niet alle medische systemen getroffen worden door een bepaalde kwetsbaarheid. Want hoewel er (bijvoorbeeld) nog medische apparatuur op Windows XP draait, geldt dat gelukkig niet voor alle systemen.

Goed inzicht

De enige manier om een realistische inschatting te maken van de kans op incidenten, is via goed inzicht in de gebruikte systemen en in de (mogelijke) kwetsbaarheden die deze bevatten. En juist daar wringt de schoen, want bij veel organisaties – ook bij ziekenhuizen – ontbreekt dit inzicht. En dat betekent dat er eigenlijk maar gegokt wordt over de risico’s. In de praktijk houdt dit in dat sommige gaten worden gedicht, maar dat andere – mogelijk veel grotere – beveiligingsproblemen onopgemerkt blijven.

De eerste stap om de informatiebeveiliging op orde te krijgen, is daarom zorgen dat je inzicht krijgt. Dit kan met behulp van software of systemen die automatisch in kaart brengen wat er allemaal op het netwerk is aangesloten. Ook het besturingssysteem en de geïnstalleerde toepassingen worden in deze inventarisatie meegenomen. Daarbij gaat het natuurlijk om medische apparatuur, maar ook om pc’s, laptops, tablets, smartphones, et cetera. Nog beter is een oplossing die niet alleen inventariseert, maar die ook geautomatiseerd stappen kan nemen. Er wordt bijvoorbeeld gecontroleerd of er antivirussoftware of de nieuwste beveiligingsupdates aanwezig zijn. Is dat niet het geval, dan wordt de toegang tot het netwerk geblokkeerd of er komt alleen toegang tot een afgescheiden deel van het netwerk.

Per ongeluk afgesloten

Toch worden zelfs dergelijke essentiële oplossingen niet vaak ingezet, omdat men bang is dat er dan – per ongeluk – belangrijke systemen van het netwerk worden afgesloten. En dat komt weer doordat men geen idee heeft wat er allemaal op dat netwerk is aangesloten.

De oplossing is om zo’n controlesysteem gefaseerd uit te rollen. Eerst goed in kaart brengen wat er allemaal op het netwerk is aangesloten, maar nog niets blokkeren. Vervolgens stap voor stap de controle en blokkering activeren. Het mooie is dat hiermee ook onbekende, ongewenste en vaak onveilige apparatuur, die in de loop van de tijd is aangesloten op het netwerk, kan worden opgespoord en verwijderd. Daarmee is ook meteen een ander vervelend probleem verholpen.

Kortom: stop met gokken, ga meten.


Erik Remmelzwaal, Dearbytes

100 procent ict-veiligheid: een misverstand


Lees ook de eerdere blog van Remmelzwaal over het huwelijk tussen informatiebeveiliging en de zorg. In zijn blog roept hij op om de status quo te doorbreken en te gaan voor 100 procent veiligheid.

Erik Remmelzwaal
Erik Remmelzwaal is Managing Director Security Sevices bij KPN. Hij begon zijn carrière in 2001 bij DearBytes, waarvan hij in 2011 CEO werd. In 2017 werd DearBytes overgenomen door KPN; Erik Remmelzwaal werd er Director Products. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.