Beschermheren | Onder de loep II
Deze week geen introductie van een nieuwe medewerker of een stappenplan voor het kiezen van de juiste certificering. Alhoewel het met dit laatste wel aardig wat van doen heeft. Deze week werpen we namelijk een blik op de actualiteit en hiervoor hoeven we niet eens ver van ons kantoor. Zo kwam het Amsterdamse Ziekenhuis OLVG op een minder dan positieve wijze in het nieuws. In deze tweede versie van ‘onder de loep’ werpen we onze specialistische blik op deze kwestie.
444.000 euro als wake-up call
Het OLVG heeft deze week van de Autoriteit Persoonsgegevens (AP) een boete van 444.000 euro opgelegd gekregen. Niet mals maar wat ons betreft wel terecht gelet op de situatie die daar de afgelopen jaren is ontstaan. Zo stelt het AP dat het Amsterdamse ziekenhuis tussen 2018 en 2020 te weinig maatregelen heeft genomen om haar dossiers te beschermen. Niet eens tegen hackers. Nee, tegen haar eigen personeel. Zo blijkt uit het rapport van het AP dat er onvoldoende controle was op wie welk dossier bekeek. Daarnaast was er ook sprake van een ontoereikende beveiliging van de computersystemen.
Dit is een situatie die voor ons van Beschermheren helaas niet meer uniek te noemen is. Zoals wij ook op onze website stellen is informatie je meest belangrijke asset. Zeker wanneer het om medische informatie draait. Zo stelt ook AP-vicevoorzitter Monique Verdier.
“Je moet er toch niet aan denken dat mensen, die daar helemaal niets te zoeken hebben, zomaar in de aantekeningen van de dokter over jou en jouw ziekte kunnen rondneuzen. Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor de behandeling.”
Aantal incidenten blijft stijgen in kwantiteit en ernst
Dat het verre van uniek is dat blijkt wel als je de spreekwoordelijke krant wat verder openslaat. Zo zien we dat er gister ook een Frans Ziekenhuis werd getroffen door ransomware en werd een waterzuiveringsinstallatie aangevallen via een kwetsbaarheid in TeamViewer. Ook werd eerder deze week bekend dat een slordige 600.000 WordPress websites kwetsbaar zijn door een kritiek beveiligingslek. Dit zijn enkel de meest opvallende berichten van de afgelopen paar dagen. Wellicht hebben deze ‘incidenten’ los van elkaar niets met elkaar te maken. Maar er is wel degelijk een rode draad. Daar wijden we in een latere blog verder op uit. Maar laat vooral even de hoeveelheid aanvallen die nagenoeg dagelijks plaatsvinden bezinken. Een afwachtende houding kan, zoals blijkt, desastreus blijken voor een organisatie.
Wat echter opvallend is in het geval van OLVG, is dat het AP het onderzoek is begonnen na aanleiding van een tip van een bezorgde burger. Het feit dat een doorsnee burger aan de bel bij het AP trekt zegt wel hoe penibel de situatie was (of is) bij het OLVG. Na een uitgebreid onderzoek van het AP werd er geconcludeerd dat het OLVG structureel niet goed omging met de toegang tot de medische dossiers.
Een veel gemaakte fout bij bedrijven is het ‘access to all’ principe. Hierbij heeft zelfs de meest junior stagiair toegang tot nagenoeg alle data. En hoe meer mensen toegang hebben, des te lastiger is het om de controle te houden. Volgens het AP had het ziekenhuis moeten bijhouden en regelmatig moeten controleren wie welk dossier raadpleegt. Dit was echter niet het geval.
Uitrol van directie tot schoonmaakdienst
Om dit goed in te regelen dien je bovenaan de zogenaamde chain of command te beginnen. Ofwel, bij de directie. Zij moeten allereerst het nut en de noodzaak inzien van een duidelijk beleid wat betreft toegang en controle. Veel bedrijven missen echter deze eerste stap en proberen halfslachtig wat regels te implementeren. Dit is wat wij schijnveiligheid noemen. Dat is waarom wij van Beschermheren vaak beginnen met een nulmeting. Wat is de huidige status, welke problemen zijn er en waar willen we naar toe? Dat is ons startpunt. Vervolgens wordt er een plan opgesteld en een beleid gemaakt dat van bovenaf wordt uitgerold in de organisatie. Iedereen dient hierbij betrokken te worden. Pas wanneer iedereen binnen de organisatie op dezelfde lijn zit zullen er structurele veranderingen optreden.
Waar het voor het OLVG een dure fout is, is het voor andere bedrijven een belangrijke les. Informatiebeveiliging is en blijft een combinatie van organisatie, mens en techniek. Wanneer één van deze niet voldoende aandacht krijgt dan zal de rest van de door jou genomen maatregelen ook (veel) minder effectief zijn. Het OLVG had medewerkers (mens) die rapporten inzagen, zonder dat er controle (organisatie) was en de computersystemen ontoereikend beveiligd waren (techniek).
Kies je eigen startpunt
Zoals eerder aangegeven in dit artikel, wij zien dit inmiddels niet meer als een unieke situatie maar als een dagelijks terugkerende gebeurtenis. Ons advies is dan ook om dit voor te zijn en vandaag nog te beginnen met de eerste stappen naar een veiligere werkomgeving. Hoe? Wat dacht u van onze gratis risicoscan. U ontvangt dan van ons een rapport waar u echt wat aan heeft en u duidelijke inzichten geeft in de te nemen vervolgstappen. En dat ook nog eens geheel kosteloos.
Ook geheel kosteloos is het webinar dat wij aanstaande 4 maart organiseren samen met onze partners van Rootsec en Awaretrain. Hierbij zoomen we in op de respectievelijke disciplines (mens, organisatie en techniek) en kijken we ook naar hoe deze elkaar zouden moeten complimenteren. Inschrijven doet u hier.
Meer weten of eens vrijblijvend sparren met een van onze consultants? Neem contact met ons op.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein