‘De afgelopen jaren was er veel aandacht voor het beheersen van kosten, en dat heeft er soms toe geleid dat er te weinig aandacht was voor ict.’ Dat zei voorzitter Yvonne van Rooy van de Nederlandse Vereniging van Ziekenhuizen naar aanleiding van de ransomware-aanvallen bij ziekenhuizen.
Het is natuurlijk altijd goed om meer aandacht aan ict te besteden. Maar het is een illusie te denken dat je kwaadwillenden voor 100 procent buiten de deur houdt. WannaCry, Petya, NotPetya en hun navolgers zijn facts of life. Deal with it!
Ransomware-aanvallen zijn niet nieuw. Wel nieuw zijn de schaalgrootte van de aanvallen en de impact ervan. Een deel van de Rotterdamse haven ging ruim een week plat, banken, energiebedrijven en postbedrijven werden getroffen, kerncentrales kregen aanvallen te verduren en zelfs ziekenhuizen waren niet veilig. De zakelijke en maatschappelijke gevolgen worden steeds meer voelbaar.
Kwetsbare punten in een veilige omgeving
De beveiligingsbedrijven wijzen op het belang van goede beveiligingssoftware en de noodzaak om de laatste updates (met name van Windows) te installeren. Ziekenhuizen en andere zorginstellingen zijn een kwetsbaar doelwit. Het blijkt dat daar nog relatief vaak verouderde software in gebruik is, zoals Windows XP. Dat heeft mogelijk te maken met de verminderde aandacht voor ict, zoals Yvonne van Rooy opperde. Maar het ligt ook vaak aan de leveranciers. Veel medische apparatuur draait nog op Windows XP. In het NOS Journaal meldde een ziekenhuis dat het 75 van dat soort apparaten heeft staan, die op zich prima werken. Zo lang de leverancier die niet updatet – en ze staan in verbinding met internet – zijn dat kwetsbare punten in een verder moderne ict-omgeving van het ziekenhuis.
Technologie, beleid en gezond verstand
Het gaat niet om wat er gebeurt, maar om wat je er vervolgens mee doet. Om nog even bij dat ziekenhuis in de NOS-reportage te blijven. Dat krijgt via de mail per dag gemiddeld 85 virussen binnen. Die worden succesvol afgeweerd. Er zijn bij het ziekenhuis volgens de bestuurder geen grote problemen geweest met virussen of hacks.
Digitale veiligheid is een kwestie van technologie, beleid en gezond verstand. Doe wat je technologisch kan, zorg ervoor dat medewerkers weten hoe ze risico’s voorkomen (en monitor en handhaaf het naleven van de regels) en schiet vooral niet in de paniekmodus als er wel een keer iets gebeurt. Wees voorbereid en zorg dat er een plan klaar ligt.
Weg met internet!
Alle verbindingen met internet afsluiten, dat is een redelijk waterdichte methode om gevrijwaard te blijven van hacks. Hoewel medewerkers natuurlijk prima in staat zijn om besmette USB-stickjes in te pluggen. Maar dat is geen reële optie. Dus zul je moeten incalculeren dat je een hack of besmetting met ransomware nooit kunt voorkomen. Het is een fact of life in de digitale wereld.
Marcel Lucker, Winvision