Cybersecurityplannen moeten zwakke plekken in de besturingstechnologie van ziekenhuizen aanpakken

The Unseen Danger: Cyber Security Threats to Hospitals’ Operational Systems

  • IT'ers en CISO's in ziekenhuizen kijken in hun cybersecurityplannen hoofdzakelijk naar de bescherming van hun data en IT, maar bij het ontwerpen van beheersystemen blijven vaak mogelijke risco's voor de besturingstechnologie bestaan;
  • Systemen voor het regelen van de ventilatie, water- en zuurstoftoevoer, liften, elektrische deuren, verlichting en andere besturingstechnologie worden vaak over het hoofd gezien als mogelijke toegangspunten voor bedreigingen en cybercriminelen;
  • Ziekenhuizen zouden een cultuur van 'cyberhygiëne' moeten invoeren naar het voorbeeld van de gangbare fysieke hygiëne-inspanningen in de gezondheidszorg;
  • Er is een tekort aan relevante regels rond cybersecuritystandaarden voor besturingstechnologische systemen in de gezondheidszorg.

11 mei 2021 – Het rapport van PwC“The Unseen Danger:Cyber Security Threat to Hospitals’ Operational Systems” toont de mogelijke gevaren die gepaard gaan met een cyberaanval op besturingstechnologische systemen. Aanvallen op dergelijke systemen komen nog relatief zelden voor, maar toch zijn er een aantal zwakke plekken die de komende jaren wellicht een gerichter doelwit zullen worden – vooral naarmate IT-systemen en de IT-infrastructuur steeds beter beveiligd worden en dus moeilijker te hacken zijn.

Systemen voor het regelen van de ventilatie, water- en zuurstoftoevoer, liften, elektrische deuren, verlichting en andere besturingssystemen zijn sowieso al van essentieel belang voor het draaien van een ziekenhuis, en dat geldt eens te meer tijdens een wereldwijde pandemie. Toch worden ze door IT-ers en cybersecurityteams vaak over het hoofd gezien als mogelijke toegangspunten voor hackers.

Volgens Vito Rallo, Director, Threat & Response Management bij PwC België, zijn daar een aantal redenen voor. "Besturingstechnologische systemen worden vaak in stukjes en beetjes en op een onsamenhangende manier geüpgraded, maar net als bij bijvoorbeeld nieuwe beheersystemen is er een nieuw digitaal tijdperk aangebroken, waarin die systemen zijn voorzien van internetverbinding en de mogelijkheid om ze op afstand te besturen en monitoren. In veel gevallen echter gaat de nieuwe technologie niet gepaard met ​ een groter bewustheid van het feit dat die nieuwe functies ook nieuwe zwakke plekken in de cybersecurity met zich meebrengen."

Dat probleem wordt duidelijk wanneer wordt onderzocht hoe deze technologie in ziekenhuizen wordt beheerd; in de meeste gevallen zijn de CISO's (Chief Information Security Officers) daar zelfs niet voor bevoegd. De meeste CISO's en hun teams staan in voor de IT-elementen die betrekking hebben op data en IT-systemen, maar niet voor de eigenlijke besturingstechnologie zoals beheersystemen voor gebouwen en/of geconnecteerde medische apparatuur. Een nog groter potentieel probleem is dat veel kleinere organisaties zelfs geen CISO hebben.

"Moderne IT-beveiligingssystemen maken het hackers steeds moeilijker, zodat zij noodgedwongen op zoek gaan naar andere manieren om toegang te krijgen. Dat betekent dat besturingstechnologische systemen een steeds groter risico inhouden", aldus Vito Rallo, Director, Threat & Response Management bij PwC België. "Dat risico lijkt niet zo hoog, maar cybercriminelen zoeken altijd het gemakkelijkste toegangspunt, dus dit is een thema dat absoluut moet worden opgenomen in het risicoregister. Er bestaat ook het gevaar dat er wordt ingebroken in de besturingstechnologie die dan toegang tot de IT-systemen en data mogelijk maakt. Een van de punten die tijdens een recente cyberaanval bijvoorbeeld actief werden bedreigd, was de technologische laag die instaat voor het overdragen van de data tussen de IT-infrastructuur en de besturingstechnologie – in dit geval de onbewerkte beeldvormingsgegevens die worden doorgestuurd van scanners naar computers voor verdere bewerking."

Om het probleem op te lossen moeten ziekenhuizen volgens PwC een cultuur van 'cyberhygiëne' invoeren naar het voorbeeld van de gangbare fysieke hygiëne-inspanningen in de gezondheidszorg, en een omvattende aanpak uitwerken voor zowel technologie, processen als mensen. Maar om echt doeltreffend te zijn moeten de systemen verder gaan dan geïsoleerde beoordelingsmomenten en echt gebaseerd zijn op een voortdurende evaluatie van de voortdurend evoluerende bedreigingen. Daarbij moeten de reactievaardigheden regelmatig worden gemeten en getest en de risico's bepaald zodat dit kan worden gebruikt als tactische input voor de cybersecurityroadmap. Een dergelijke aanpak vraagt om multidisciplinaire vaardigheden voor de coördinatie van technische activiteiten (bv. onderzoek vs. herstel en intern CSIRT-team), interactie met en tussen verschillende dienstverleners, stakeholdermanagement en -communicatie, en wettelijke verplichtingen.

Nog een complicatie is dat doorsneeoplossingen voor cyberaanvallen vaak niet aansluiten bij de besturingstechnologische omgeving. "Reageren op cyberaanvallen op de besturingstechnologie vraagt om specifieke vaardigheden en denkpatronen. Klassieke modellen en een traditionele forensische aanpak zijn hier niet op hun plaats", aldus Vito Rallo. "Besturingstechnologische prioriteiten liggen anders. Reageren op een cyberaanval op de besturingstechnologie vereist specifieke veiligheidsoverwegingen omdat de werking van het ziekenhuis gegarandeerd moet blijven en de wettelijke vereisten aangehouden. Het is de bedoeling om zo snel mogelijk weer veilig te kunnen opstarten zonder schade en liefst ook zonder menselijke impact, terwijl de voorschriften steeds worden nageleefd."

Wie de beveiliging van de besturingstechnologie wil opnemen in zijn cybersecurityplanning moet inzien dat er een potentieel risico bestaat en mensen daar op wijzen, en niet enkel op operationeel vlak; ook de hogere kaderleden moeten zich voluit achter die aanpak scharen. "Uit onze ervaring met beheerde beveiligingsdiensten in ziekenhuizen blijkt dat mensen zich steeds bewuster zijn van het probleem. We zien dat CISO's steeds vaker tests doorvoeren om zwakke plekken ten gevolge van bepaalde functies, configuraties of beleidsmaatregelen van de gebruikte systemen te achterhalen", vertelt Vito Rallo. "De sector in zijn geheel zou ook nog extra stappen kunnen ondernemen om het digitale vertrouwen op te bouwen – er is een tekort aan relevante regels rond cybersecuritystandaarden voor besturingstechnologieën in de ziekenhuissector, en overleg tussen wetgever, ziekenhuizen, technologieleveranciers en producenten zou dat moeten oplossen. De besturingstechnologische netwerken in ziekenhuizen spelen vaak een vitale maar onderschatte rol in het redden van mensenlevens."

 

Opmerkingen

The Unseen Danger: Cyber Security Threats to Hospitals’ Operational Systems” kan hier worden gedownload:

https://www.pwc.de/de/cyber-security/the-unseen-danger-cyber-security-threats-to-hospitals-operational-systems.pdf

 

Contact

Erik Oosthuizen

erik.oosthuizen@pwc.com
0474 56 42 76

www.pwc.com

 

 

 

Delen

Meest recente verhalen

Website preview
Identiteit is nu de nummer één cyber aanvalsroute
Nieuw PwC-rapport toont hoe de manieren waarop hackers organisaties binnendringen zijn veranderd
press.pwc.be
Website preview
“De uitdagingen zijn duidelijk, de ambitie is er, maar het pad (nog) niet”
30 maart 2026, Diegem – Belgische HR-leiders zijn zich zeer bewust van de ingrijpende verschuivingen die de arbeidsmarkt te wachten staan. Een nieuwe enquête onder Belgische HR-managers, uitgevoerd door PwC België, onthult dat er nog steeds kritieke tekortkomingen zijn op het gebied van datacapaciteit, verandermanagement, wettelijke paraatheid en strategische positionering. Deze tekortkomingen laten organisaties kwetsbaar achter op een moment waar snelheid van vernieuwing allesbepalend is. De CHRO Survey van PwC België toont een paradox in workforce-transformatie: de wil is aanwezig, maar de infrastructuur ontbreekt. HR-leiders hebben geen gebrek aan ambitie. “De echte uitdaging is het dichten van de kloof en het omzetten van ambitie in resultaten. Of het nu gaat om het upgraden van systemen, het ontwikkelen van nieuwe vaardigheden, het herdenken van beloning, het waarborgen van wettelijke naleving of het verkrijgen van een sterkere stem aan de strategietafel. De kloof tussen wat...
press.pwc.be
Website preview
Studenten krijgen kans om hun AI-vaardigheden te testen
PwC organiseert AI escape game-sessies in universiteitssteden
press.pwc.be

Persberichten in je mailbox

Door op "Inschrijven" te klikken, bevestig ik dat ik het Privacybeleid gelezen heb en ermee akkoord ga.

Over PwC België

Bij PwC ondersteunen we klanten vertrouwen op te bouwen en zich heruit te vinden, zodat ze van complexe uitdagingen ook competitief voordeel halen. We zijn een technologiegerichte, door mensen gedragen netwerk met meer dan 364.000 medewerkers in 137 landen. Door audit en assurance, belasting en juridisch advies, transacties en consultancy heen helpen we bij het opbouwen, versnellen en behouden van momentum. Lees meer over ons op www.pwc.com

'PwC' verwijst naar het PwC-netwerk en/of een of meer firma’s die er deel van uitmaken. Elke firma is een afzonderlijke juridische entiteit. Zie www.pwc.com/structure voor meer gedetailleerde informatie hierover. 

© 2025 PwC. Alle rechten voorbehouden. 

 

Neem contact op met

Culliganlaan 5 1831 Diegem

+32 (0)2 710 42 11

www.pwc.be