Ontdek de aanpak van Clinisys voor cyberbeveiliging
Wanneer een gezondheidszorginstelling op zoek is naar een nieuw laboratoriuminformatiesysteem (LIS), zal de IT-afdeling van de instelling op een bepaald moment de cyberbeveiligingsrisico’s bestuderen.
Cyberbeveiliging is hét onderwerp dat Information Systems Directors (ISD’s) en hun teams achtervolgt.
Onze specialisten, Shay Hassidim, Chief Technology Officer, en Jacques Le Roux, CIO/CISO, bespraken de cyberbeveiligingsstrategie van Clinisys en de strategie die is ontwikkeld voor toekomstige systemen die in de cloud en SaaS worden gehost.
Een omgeving vol bedreigingen
Wat zijn volgens u de grootste zorgen van zorginstellingen op het gebied van cyberbeveiliging?
Jacques Le Roux: De gezondheidszorg is een zeer verleidelijk doelwit geworden voor cybercriminelen: de risico’s van cyberbeveiliging worden nu zeer serieus genomen door zorginstellingen. Cyberbeveiliging en de strategieën die moeten worden ingevoerd om de risico’s van inbraak te beperken, houden CIO’s en hun teams scherp! En hun zorgen zijn terecht, want recente artikelen bevestigen dat 60% van de cyberaanvallen gericht is op de gezondheidszorg.
Shay Hassidim: Dit is het geval in de Verenigde Staten, maar ook elders, en we weten dat in sommige gevallen een medisch dossier nu waardevoller is dan een bankdossier op het dark web. Tegelijkertijd zijn de beveiligingsvaardigheden en technische middelen die je nodig hebt om hackers tegen te gaan erg duur. Ze gaan vaak naar Silicon Valley en Wall Street.
Jacques Le Roux : Bovendien gebruiken veel zorginstellingen nog steeds verouderde IT-tools, en dit kan een aanzienlijk deel van de IT-infrastructuur vertegenwoordigen. IT-systemen die moeilijk te vernieuwen zijn (kosten, infrastructuur, middelen), enorme hoeveelheden patiëntgegevens bevatten met een groot netwerk van onderling verbonden medische apparaten hebben allemaal een grote impact op de veiligheid van een ziekenhuis.
Dit geldt met name in een internationale context, waar de trend is om steeds meer gezondheidsgegevens te integreren en deze steeds transparanter, deelbaarder en toegankelijker te maken. Daarom hebben veel landen wettelijke maatregelen ingevoerd om gegevens en instellingen in de gezondheidszorg te beschermen tegen cyberaanvallen.
Regelnaleving
Wat denkt u dat CIO’s verwachten van HealthTech?
Shay: Het eerste waar ze naar kijken is dat de oplossing voldoet aan een erkende certificering.
Jacques: In Europa en het Verenigd Koninkrijk worden de Data Security and Protection Toolkit (DSPT), Cyber Essentials Plus en ISO27001 certificeringen gebruikt om leveranciers te beoordelen. Dit is de cyberbeveiligingsstrategie die door NHS England naar voren is gebracht: het beveiligen van de toeleveringsketen en ervoor zorgen dat leveranciers voldoen aan de cyberbeveiligingsnormen.
Shay: In de VS ligt de focus nog steeds op het voldoen aan de vereisten van HIPAA en HITECH, hoewel ik zou zeggen dat die aan het verouderen zijn. Leveranciers richten zich steeds meer op nieuwe standaarden zoals HITRUST, dat veel meer cloud gericht is, maar ook uitgebreider is.
Jacques: Hieruit blijkt dat het regelgevingskader voortdurend in ontwikkeling is. In Europa wordt later dit jaar de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2) van kracht en de Britse regering heeft al aangekondigd dat ze van plan is om de Network and Information Systems Regulations 2018 (NIS Regulations) bij te werken. Bij Clinisys evolueren we en gaan we mee met deze veranderingen, terwijl we er altijd aan werken om te voldoen aan de wettelijke vereisten van de landen waarin we actief zijn.
Technische naleving
Moeten er nog andere acties worden ondernomen?
Shay: Het gaat niet alleen om naleving van de regelgeving. CIO’s en technische en beveiligingsafdelingen moeten partners vinden met uitstekende beveiligingsprocedures. De procedures van Clinisys zijn gebaseerd op het FAN-model dat is ontwikkeld door Northrup Grumman en het NIST CSF.
Dit model ziet cyberbeveiliging als lagen van controles die zich uitstrekken van kritieke bedrijfsmiddelen tot gegevens, toepassingen, endpoints, netwerken en publieke of private cloudperimeters, allemaal gecontroleerd door solide procedures en kwaliteitsbewaking. We hebben ook gekozen voor een ‘zero trust‘-benadering.
Deze aanpak is gebaseerd op het principe dat organisaties een gebruiker, een apparaat of een netwerk niet systematisch moeten vertrouwen. De nadruk ligt op sterke authenticatie, machtigingen en controles. Onze klanten zullen dit in actie zien wanneer hun teams rolgebaseerde toegang/gebruikersrechten gebruiken: ze zullen merken dat ze alleen toegang hebben tot de gegevens die ze nodig hebben om hun werk te doen en dat ze niet van het ene netwerksegment naar het andere kunnen gaan. Het doel? De schade beperken die een hacker zou kunnen aanrichten als hij toegang krijgt tot het systeem.
We maken ook gebruik van “real-time” monitoring, waardoor we een beter inzicht krijgen in wat er aan de hand is en de reactietijd aanzienlijk verkorten.
“Verschuiving naar links” en risicobeheer “buiten de muren”
Is het mogelijk om cyberveiligheid vanaf het begin te integreren?
Jacques: Ja, en Clinisys past het “shift left” principe toe in zijn ontwikkelingsmethodes. Dit principe pleit ervoor om veiligheidsmaatregelen zo vroeg mogelijk in het ontwikkelingsproces te integreren.
Als beveiliging een prioriteit is vanaf het moment dat de code wordt gemaakt en een integraal onderdeel is van het ontwerp, kunnen problemen eerder in het proces worden gecorrigeerd en is de applicatie onvermijdelijk veiliger.
Shay: Je moet ook nadenken over bibliotheken van derden en open source. Je moet er zeker van zijn dat de persoon met wie je samenwerkt geen geïsoleerd individu is, maar een solide, serieus bedrijf met goed gevestigde softwareopslagplaatsen. De risicobeheerprocedure voor “derden” van Clinisys identificeert en beoordeelt de risico’s van softwarebibliotheken van derden en streeft ernaar deze te beperken, en zorgt ervoor dat ze geen kwetsbaarheden introduceren of instellingen blootstellen aan potentiële risico’s.
De cyberbeveiligingsstrategie van clinisys
Wat zijn de doelstellingen van Clinisys?
Shay: Met de overstap naar de cloud gaat het steeds meer in de richting van een gedeelde verantwoordelijkheid voor cyberbeveiliging, en cloudproviders beschikken ook over de vaardigheden en middelen waar we het eerder over hadden.
Zodat ze hun systemen kunnen bouwen, bewaken en beschermen met slechts een paar mensen om de gaten op te vullen. In deze omgeving streven we naar wat ik een ‘continue compliance’ operatie noem.
Dit betekent dat we niet wachten om gecontroleerd te worden of slechts één of twee keer per maand testen uitvoeren. We gebruiken tools om onze infrastructuur in realtime, dagelijks te implementeren en te corrigeren. We hebben ook een waarschuwingssysteem dat ons laat weten als we niet compliant zijn. Uit onze vele gesprekken met CIO’s, technisch directeuren en CISO’s blijkt dat dit is waar ze vandaag de dag naar op zoek zijn en we doen er alles aan om hen gerust te stellen.
Bij Clinisys evolueren we en gaan we mee met deze veranderingen, terwijl we er altijd aan werken om te voldoen aan de wettelijke vereisten van de landen waarin we actief zijn.
Een paar woorden over NIS 2 :
NIS2 is een belangrijke stap voorwaarts voor cyberbeveiliging op Europees niveau:
- door het toepassingsgebied van de gedekte entiteiten uit te breiden,
- het aanscherpen van de eisen voor risicomanagement en het melden van incidenten, – het verbeteren van de kwaliteit van risicomanagement.
- door meer samenwerking en het delen van informatie aan te moedigen.
Naleving van de NIS2-standaard vereist van bedrijven een proactieve, wereldwijde aanpak van cyberbeveiliging.