Cybersecurityplannen moeten zwakke plekken in de besturingstechnologie van ziekenhuizen aanpakken

Cybersecurityplannen moeten zwakke plekken in de besturingstechnologie van ziekenhuizen aanpakken

The Unseen Danger: Cyber Security Threats to Hospitals’ Operational Systems

  • IT'ers en CISO's in ziekenhuizen kijken in hun cybersecurityplannen hoofdzakelijk naar de bescherming van hun data en IT, maar bij het ontwerpen van beheersystemen blijven vaak mogelijke risco's voor de besturingstechnologie bestaan;
  • Systemen voor het regelen van de ventilatie, water- en zuurstoftoevoer, liften, elektrische deuren, verlichting en andere besturingstechnologie worden vaak over het hoofd gezien als mogelijke toegangspunten voor bedreigingen en cybercriminelen;
  • Ziekenhuizen zouden een cultuur van 'cyberhygiëne' moeten invoeren naar het voorbeeld van de gangbare fysieke hygiëne-inspanningen in de gezondheidszorg;
  • Er is een tekort aan relevante regels rond cybersecuritystandaarden voor besturingstechnologische systemen in de gezondheidszorg.

11 mei 2021 – Het rapport van PwC“The Unseen Danger:Cyber Security Threat to Hospitals’ Operational Systems” toont de mogelijke gevaren die gepaard gaan met een cyberaanval op besturingstechnologische systemen. Aanvallen op dergelijke systemen komen nog relatief zelden voor, maar toch zijn er een aantal zwakke plekken die de komende jaren wellicht een gerichter doelwit zullen worden – vooral naarmate IT-systemen en de IT-infrastructuur steeds beter beveiligd worden en dus moeilijker te hacken zijn.

Systemen voor het regelen van de ventilatie, water- en zuurstoftoevoer, liften, elektrische deuren, verlichting en andere besturingssystemen zijn sowieso al van essentieel belang voor het draaien van een ziekenhuis, en dat geldt eens te meer tijdens een wereldwijde pandemie. Toch worden ze door IT-ers en cybersecurityteams vaak over het hoofd gezien als mogelijke toegangspunten voor hackers.

Volgens Vito Rallo, Director, Threat & Response Management bij PwC België, zijn daar een aantal redenen voor. "Besturingstechnologische systemen worden vaak in stukjes en beetjes en op een onsamenhangende manier geüpgraded, maar net als bij bijvoorbeeld nieuwe beheersystemen is er een nieuw digitaal tijdperk aangebroken, waarin die systemen zijn voorzien van internetverbinding en de mogelijkheid om ze op afstand te besturen en monitoren. In veel gevallen echter gaat de nieuwe technologie niet gepaard met  een groter bewustheid van het feit dat die nieuwe functies ook nieuwe zwakke plekken in de cybersecurity met zich meebrengen."

Dat probleem wordt duidelijk wanneer wordt onderzocht hoe deze technologie in ziekenhuizen wordt beheerd; in de meeste gevallen zijn de CISO's (Chief Information Security Officers) daar zelfs niet voor bevoegd. De meeste CISO's en hun teams staan in voor de IT-elementen die betrekking hebben op data en IT-systemen, maar niet voor de eigenlijke besturingstechnologie zoals beheersystemen voor gebouwen en/of geconnecteerde medische apparatuur. Een nog groter potentieel probleem is dat veel kleinere organisaties zelfs geen CISO hebben.

"Moderne IT-beveiligingssystemen maken het hackers steeds moeilijker, zodat zij noodgedwongen op zoek gaan naar andere manieren om toegang te krijgen. Dat betekent dat besturingstechnologische systemen een steeds groter risico inhouden", aldus Vito Rallo, Director, Threat & Response Management bij PwC België. "Dat risico lijkt niet zo hoog, maar cybercriminelen zoeken altijd het gemakkelijkste toegangspunt, dus dit is een thema dat absoluut moet worden opgenomen in het risicoregister. Er bestaat ook het gevaar dat er wordt ingebroken in de besturingstechnologie die dan toegang tot de IT-systemen en data mogelijk maakt. Een van de punten die tijdens een recente cyberaanval bijvoorbeeld actief werden bedreigd, was de technologische laag die instaat voor het overdragen van de data tussen de IT-infrastructuur en de besturingstechnologie – in dit geval de onbewerkte beeldvormingsgegevens die worden doorgestuurd van scanners naar computers voor verdere bewerking."

Om het probleem op te lossen moeten ziekenhuizen volgens PwC een cultuur van 'cyberhygiëne' invoeren naar het voorbeeld van de gangbare fysieke hygiëne-inspanningen in de gezondheidszorg, en een omvattende aanpak uitwerken voor zowel technologie, processen als mensen. Maar om echt doeltreffend te zijn moeten de systemen verder gaan dan geïsoleerde beoordelingsmomenten en echt gebaseerd zijn op een voortdurende evaluatie van de voortdurend evoluerende bedreigingen. Daarbij moeten de reactievaardigheden regelmatig worden gemeten en getest en de risico's bepaald zodat dit kan worden gebruikt als tactische input voor de cybersecurityroadmap. Een dergelijke aanpak vraagt om multidisciplinaire vaardigheden voor de coördinatie van technische activiteiten (bv. onderzoek vs. herstel en intern CSIRT-team), interactie met en tussen verschillende dienstverleners, stakeholdermanagement en -communicatie, en wettelijke verplichtingen.

Nog een complicatie is dat doorsneeoplossingen voor cyberaanvallen vaak niet aansluiten bij de besturingstechnologische omgeving. "Reageren op cyberaanvallen op de besturingstechnologie vraagt om specifieke vaardigheden en denkpatronen. Klassieke modellen en een traditionele forensische aanpak zijn hier niet op hun plaats", aldus Vito Rallo. "Besturingstechnologische prioriteiten liggen anders. Reageren op een cyberaanval op de besturingstechnologie vereist specifieke veiligheidsoverwegingen omdat de werking van het ziekenhuis gegarandeerd moet blijven en de wettelijke vereisten aangehouden. Het is de bedoeling om zo snel mogelijk weer veilig te kunnen opstarten zonder schade en liefst ook zonder menselijke impact, terwijl de voorschriften steeds worden nageleefd."

Wie de beveiliging van de besturingstechnologie wil opnemen in zijn cybersecurityplanning moet inzien dat er een potentieel risico bestaat en mensen daar op wijzen, en niet enkel op operationeel vlak; ook de hogere kaderleden moeten zich voluit achter die aanpak scharen. "Uit onze ervaring met beheerde beveiligingsdiensten in ziekenhuizen blijkt dat mensen zich steeds bewuster zijn van het probleem. We zien dat CISO's steeds vaker tests doorvoeren om zwakke plekken ten gevolge van bepaalde functies, configuraties of beleidsmaatregelen van de gebruikte systemen te achterhalen", vertelt Vito Rallo. "De sector in zijn geheel zou ook nog extra stappen kunnen ondernemen om het digitale vertrouwen op te bouwen – er is een tekort aan relevante regels rond cybersecuritystandaarden voor besturingstechnologieën in de ziekenhuissector, en overleg tussen wetgever, ziekenhuizen, technologieleveranciers en producenten zou dat moeten oplossen. De besturingstechnologische netwerken in ziekenhuizen spelen vaak een vitale maar onderschatte rol in het redden van mensenlevens."

 

Opmerkingen

The Unseen Danger: Cyber Security Threats to Hospitals’ Operational Systems” kan hier worden gedownload:

https://www.pwc.de/de/cyber-security/the-unseen-danger-cyber-security-threats-to-hospitals-operational-systems.pdf

 

Contact

Erik Oosthuizen

[email protected]
​0474 56 42 76

www.pwc.com

 

 

 

Over PwC België

Building trust and delivering sustained outcomes

PwC wil bijdragen aan het vertrouwen in de maatschappij en aan het oplossen van belangrijke problemen – dat is ons doel. PwC firma's vormen een netwerk van firma's in 151 landen met meer dan 364.000 medewerkers die zich engageren tot het leveren van kwaliteit in audit-, fiscale en adviesdiensten. Laat ons weten wat u belangrijk vindt en lees meer over ons op www.pwc.com.

'PwC' verwijst naar het PwC-netwerk en/of een of meer firma’s die er deel van uitmaken. Elke firma is een afzonderlijke juridische entiteit. Zie www.pwc.com/structure voor meer gedetailleerde informatie hierover.

© 2023 PwC. Alle rechten voorbehouden.

 

PwC België
Culliganlaan 5
1831 Diegem