Het ict-veiligheidsbeleid in ziekenhuizen en andere zorginstellingen is ondermaats. Met vaak simpele en nauwelijks meer kostende maatregelen kan de ict-veiligheid op de werkvloer al worden verhoogd tot een relatief (zij het minimaal) aanvaardbaar niveau.

'Cyberwar' al verloren?

Dat zegt directeur Erik Remmelzwaal van het ict-veiligheidsbedrijf DearBytes, dat veel klanten heeft in die sector. “Als je ziet hoe er met security wordt omgegaan op de werkvloer, vraag ik me af hoe we ooit die zogeheten cyberwar tegen criminelen en buitenlandse indringers moeten winnen.”

Een van de zaken die Remmelzwaal momenteel onderzoekt bij een van de Nederlandse ziekenhuizen is de installatie van een BitTorrent-client op een hartbewakingssysteem. Remmelzwaal wil niet zeggen welk ziekenhuis dat is en hij wijst erop dat “verder onderzoek moet uitwijzen of die constatering echt 100 procent juist is”. Daarbij zegt hij wel dat dit een duidelijk voorbeeld is hoe er op de werkvloer anders wordt omgegaan met ict-beveiliging dan in de beleidsdossiers in de directiekamer staat aangegeven.

Zorg is niet gericht op beveiliging

“De zorg richt zich op het verlenen van zorg, niet op het dichttimmeren van de beveiliging. Dat is ook moeilijk in een 24-uurs dienstverlenend bedrijf. Maar je kan zo veel mogelijk beleid formuleren op papier, de werkvloer gaat er duidelijk anders mee om.” Remmelzwaal zegt te begrijpen dat ziekenhuizen onder druk staan van bezuinigingen, maar vindt dat er zonder grote investeringen al veel is te winnen. Zo zou alle apparatuur onder toezicht moeten komen van de ict-afdeling en moeten standaard beveiligingsmaatregelen worden genomen.

Over dat laatste punt heeft Remmelzwaal nog onlangs weer een misser meegemaakt. Hij verhaalt over een andere klant, een productiebedrijf in dit geval, waarbij duidelijk was omschreven hoe de virusscanners op de pc’s moesten worden ingesteld. “Na een grote uitbraak van een virus namen wij binnen dat bedrijf een kijkje. De meeste virusscanners stonden ondanks dat beveiligingsbeleid zodanig ingesteld dat nog geen 10 procent van de computer was beveiligd.”

Makkelijk schade toebrengen

De genoemde incidenten doen Remmelzwaal vrezen dat het niet makkelijk wordt de toenemende problemen op ict-beveiligingsgebied het hoofd te bieden. “Ik vraag me af of mensen zich wel beseffen wat het betekent dat een computer geïnfecteerd is met een virus en daarmee onder volledige controle staat van de virusschrijver.”

Hij wijst op de veranderende bedoelingen van virusschrijvers: in plaats van de pc te verstoren, heeft de aanvaller een geheimere agenda: stilletjes en onmerkbaar data te stelen. “Maar als er nu wel sprake zijn van cyberwar en een aanvallende natie zou met hetzelfde gemak als een virusschrijver dat heeft, een stuk malware op Nederlandse pc’s kunnen laten terecht komen, dan kan daarmee makkelijk heel veel schade worden toegebracht.”

Audit moet naar de werkvloer

Veel organisaties hebben nog geen officiële en onafhankelijke audit van de ict-beveiliging. Er waar dat er wel is, is er te weinig controle van het papieren beleid op de daadwerkelijke uitvoering ervan op de werkvloer. “We kunnen allerlei high-level organen, bevoegdheden voor inspectie en weet ik het wat niet meer inzetten om een beetje controle te krijgen over wat zich afspeelt. Maar als we niet eens in staat zijn om een ‘simpele’ virusinfectie, die niet eens per sé op ons gericht is, te voorkomen dan is het gewoon dweilen met de kraan open.”