Zorg en cybersecurity

Zorginstellingen die deelnemer willen worden, of meer informatie willen over deelname aan Z-CERT kunnen contact opnemen met [email protected]


Faxgebruik in de zorg

Z-CERT heeft deelnemers gewaarschuwd voor het uitwisselen van medische gegevens via de fax.

De fax wordt veelvuldig gebruikt in de zorgsector, in de informatie-uitwisseling tussen bijvoorbeeld (huis)artsen en apotheken. Uit recent onderzoek is gebleken dat er kwetsbaarheden zitten in de fax-functionaliteit van HP Inkjet printers. Het is onbekend in hoeverre dit ook geldt voor andere printers.

De fax is verbonden met het telefoonnetwerk en het interne netwerk. Hackers kunnen via de telefoonlijn toegang krijgen tot het interne netwerk. Ze krijgen zo toegang tot de gegevens op dit netwerk.

Z-CERT heeft zorginstellingen advies gegeven hoe ze met dit probleem kunnen omgaan.


Kwetsbaarheden in medische IT

“Hackers kunnen insulinepomp bedienen door beveiligingslek”. “Hack van een pacemaker kan direct malware plaatsen op computer”.
Twee voorbeelden van recente krantenkoppen die illustreren dat medische IT kwetsbaar kan zijn en dat kwaadwilligen die kunnen hacken.
Z-CERT volgt deze ontwikkelingen op de voet, in nauw contact met leveranciers, en adviseert zorginstellingen over de maatregelen die ze moeten nemen.


Waarschuwing Computer on wheels

Z-CERT levert aanvullend op de beveiligingsadviezen van het NCSC eigen adviezen waarin een vertaling wordt gemaakt naar de situatie in de zorg. Zo heeft Z-CERT haar deelnemers gewaarschuwd naar aanleiding van een advies van NCSC over HP Laptops.

Voor het NCSC valt dit onder kantoorautomatisering, maar bij Z-CERT was bekend dat deze laptops in ziekenhuizen worden gebruikt als ‘computers on wheels’. Z-CERT heeft daarom een eigen advies aan de deelnemers verstuurd, waardoor dit advies niet ondergesneeuwd raakte en ziekenhuizen maatregelen konden nemen.


Hoe veilig zijn uw e-health toepassingen?

E-health doet steeds meer z’n intrede in de zorg. Horloges of armbanden bijvoorbeeld die mensen thuis in de gaten houden of waarschuwen om bijvoorbeeld medicijnen in te nemen.
Maar hoe zit het met de data die dit soort apparaatjes verzamelen? Met wie worden die data gedeeld? Heeft de fabrikant toegang tot deze gegevens? Voorkomen moet worden dat die privacy-gevoelige data in verkeerde handen vallen.
Z-CERT adviseert over de randvoorwaarden die nodig zijn om veilig e-health te kunnen toepassen.

Waarom deelnemer worden?

Overal in de zorg vind je tegenwoordig ICT. Denk aan patiëntinformatiesystemen, wearables, zorg op afstand of domotica. Hiermee wordt de zorg effectiever en efficiënter. Maar zorginstellingen worden ook kwetsbaar. Datalekken, phishing, hacking en ransomware zijn inmiddels aan de orde van de dag. En in de praktijk blijkt dat medewerkers zich vaak niet bewust zijn hoe je op een veilige manier met gegevens omgaat.

Dit is een relatief nieuw, maar ook een groot  risico voor zorginstellingen. De impact van een cyberincident kan groot zijn. Een cyberaanval kan een zorginstelling volledig lamleggen. Maar ook de privacy van de patiënten of cliënten is in het geding. In het belang van de veiligheid van patiënten en cliënten is risicomanagement daarom noodzakelijk om de continuïteit van de organisatie niet in gevaar te brengen.

Daarom is in 2017 Z-CERT opgericht: het Zorg Computer Emergency Response Team. Z-CERT biedt advies en hulp bij incidenten. Ook werkt Z-CERT aan het vergroten van de weerbaarheid van de zorgsector als het gaat om informatiebeveiliging. Zorgverleners kunnen zich aansluiten als deelnemer en zo gebruikmaken van de diensten en profiteren van de kennis en het netwerk van Z-CERT.

Z-CERT is opgericht op initiatief van de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU) en GGZ Nederland. De bedoeling is om stapsgewijs de dienstverlening uit te breiden naar de hele zorgsector. Z-CERT is een stichting en heeft geen winstoogmerk.

10 redenen om deelnemer te worden van Z-CERT:

  1. Hulp bij incidenten
    U krijgt direct deskundige hulp en ondersteuning van Z-CERT op het moment dat zich bij u een incident voordoet op het gebied van informatiebeveiliging. Het technisch team adviseert u hoe u het incident kunt aanpakken en oplossen. Ook biedt Z-CERT hulp en advies bij crisiscommunicatie over een cyberincident

    Z-CERT heeft een adviesrol tijdens een incident; de organisatie blijft uiteraard zelf verantwoordelijk voor een goede afhandeling.    
     
  2. Monitoring en waarschuwing

    U krijgt een waarschuwing of beveiligingsadvies op het moment dat zich een
    dreiging voordoet die impact kan hebben op uw organisatie. Het technisch team screent dagelijks het internet op mogelijke risico’s en dreigingen. Ook staat Z-CERT in nauw contact met andere CERT’s, leveranciers, community’s, brancheorganisaties etc. om mogelijke dreigingen snel te signaleren.  

    Het technisch team van Z-CERT beschikt over specifieke kennis van de zorg: de hard- en software die in de zorg wordt gebruikt en de digitale aspecten van medische technologie. Zo kunnen risico’s en dreigingen meteen beoordeeld worden op relevantie voor de zorgsector.
     
  3. Toegang tot expertise

    Z-CERT is hét expertisecentrum op het gebied van informatiebeveiliging in de zorg. Z-CERT deelt die kennis via berichten aan deelnemers, maar ook op het jaarlijkse congres en diverse regionale bijeenkomsten.
     
  4. Directe informatie-uitwisseling met leveranciers van ICT

    Z-CERT werkt samen met leveranciers van medische apparatuur, e-health toepassingen, zorg-op-afstand, domotica en applicaties. Doel is informatie uit te wisselen over mogelijke kwetsbaarheden en zo incidenten te voorkomen. Als er kwetsbaarheden in apparatuur of applicaties zijn, communiceert Z-CERT hierover – in overleg met de leverancier- met de deelnemende zorginstellingen.
     
  5. Informatie-uitwisseling vindt plaats binnen de keten.

    De zorg is een complexe sector en er vindt veel informatie-uitwisseling plaats. Van de huisarts naar het ziekenhuis, naar de apotheek of het verpleeghuis. Dagelijks gaan er vele gegevens rond. Informatiebeveiliging is daarom niet een zaak van één instelling, maar moet plaatsvinden met alle partners in de hele zorgketen.

    Z-CERT is daarom voor deelnemers een belangrijke aanvulling op de ICT-diensten die zij afnemen van commerciële partijen (outsourcing). Deze partijen organiseren de beveiliging binnen de eigen instelling; Z-CERT kijkt ook naar de hele sector. Hierdoor neemt de grip op de gegevensstromen van de deelnemers en de betrokken ketenpartners toe en kan gebruik worden gemaakt van de ervaringen bij andere organisaties.

    Z-CERT biedt daarmee unieke diensten die niet in de markt te koop zijn.  
     
  6. Z-CERT is dé CERT voor de zorg

    Het Nationaal Cyber Security Centrum (NCSC) biedt dienstverlening aan sectoren die door de overheid als vitaal zijn aangewezen voor de samenleving. De zorgsector is niet aangewezen als vitale sector. Voor de zorg is er daarom Z-CERT, de sectorale CERT voor de zorg. Aansluiting bij een CERT wordt steeds meer onderdeel van de ketensystemen in de zorg. Auditors vragen bijvoorbeeld aan zorginstellingen die op hun website met DigiD werken of zij zijn aangesloten bij een CERT.
     
  7. Kostenbesparing

    Deelname aan Z-CERT kan uw organisatie veel geld besparen. Expertise en kennis op het gebied van informatiebeveiliging wordt centraal opgebouwd en gedeeld onder de deelnemers. Zo hoeft niet iedere zorginstelling dat zelf te doen en kunnen mogelijke incidenten en bijbehorende kosten worden voorkomen. Behalve de directe kosten gaat het ook om bijvoorbeeld imagoschade of persoonlijke aansprakelijkheid (AVG). Z-CERT is een stichting en heeft – anders dan commerciële partijen op beveiligingsgebied- geen winstoogmerk.
     
  8. Samenwerken aan cyber-bewustzijn

    Z-CERT werkt in samenwerking met een aantal brancheorganisaties aan het vergroten van de weerbaarheid van de zorg op het gebied van informatiebeveiliging. Hoe vergroot je het bewustzijn onder medewerkers om veilig met digitale informatie om te gaan? Er is een Actieplan opgesteld om zorginstellingen te ondersteunen en ervaringen uit te wisselen. Zo organiseert Z-CERT bijeenkomsten voor bestuurders en CISO’s, worden campagnes en informatieproducten gedeeld die het bewustzijn onder medewerkers moeten vergroten en komt er een crisisgame om een groot incident op het gebied van cybersecurity te oefenen.
     
  9. Dreigingsbeeld

    Z-CERT publiceert jaarlijks een dreigingsbeeld voor de zorg. Dit dreigingsbeeld bevat een overzicht van de belangrijkste risico’s en dreigingen op het gebeid van informatiebeveiliging in de zorg. Ook worden aanbevelingen gedaan hoe je je het beste hier tegen kunt wapenen.
     
  10. Samen sta je sterk

    De deelnemers aan Z-CERT vormen een actief netwerk om gezamenlijk uitdagingen als ransomware, phishing, datalekken of hacken aan te pakken. Door informatie snel uit te wisselen, kunnen incidenten worden voorkomen (een incident bij de één, is een waarschuwing voor de ander).

    Zorgverleningsorganisaties hebben meestal niet de expertise en capaciteit om dit ieder voor zich op te pakken; de kracht van Z-CERT is de gezamenlijke aanpak: alleen samen sta je sterk tegen digitale risico’s en dreigingen.

Hoe kan ik mijn organisatie aanmelden als deelnemer?

Neem contact op met Z-CERT via [email protected] of 033 737 06 09. We sturen u dan meer informatie en maken een afspraak voor een intakegesprek.
Meer weten? Kijk op www.z-cert.nl.