Cyber in zorginstellingen: een slecht beheerst risico Ir. Eric Luiijf
2 Cyber in zorginstellingen Cyber Technologie: Informatietechnologie (IT) en Operationele Technologie (OT) Eigenschap cyber verstopt zich bijna onzichtbaar in functies bijv. parkeersysteem, lift, MRI apparaat, infuuspomp, pacemaker verantwoordelijken zien alleen de functie niet het cyberrisico noch de noodzaak om de functies veilig te houden
3 Cyber in zorginstellingen Cyberrisico voor zorginstellingen Ernstige risico door technische storing, menselijke fout, afhankelijkheid stroomvoorziening kwaadwillenden: hackers, malware (incl. ransomware) uit te buiten kwetsbaarheden in IT & OT (te late) reactie op cyberincidenten
4 Cyber in zorginstellingen Cyberrisico voor zorginstellingen (2) Uitval essentiële functies met risico voor patiënten en cliënten Chaotische crisisbeheersing waardoor reputatieschade externe druk door pers ongeruste cliënten en familieleden continu achter de feiten aan lopen Hoge boetes door toezichthouders nieuwe NL/EU-wetgevingen (AVG, NIB, meldplicht cyberincidenten)
5 Cyber in zorginstellingen Waar zit cyber in zorginstellingen? 1. Functioneren van het gebouw 2. Ondersteunende datadiensten voor intramurale, poliklinische en ambulante zorg 3. Cliëntgegevens 4. Medische technologie & andere apparatuur operatiekamers & intramurale zorg 5. Medische systemen in ambulante zorg (in)directe verantwoordelijkheid 6. Ambulancezorg
6 Cyber in zorginstellingen 1. Functioneren van het gebouw Functionaliteit gebouw steeds meer afhankelijk van IT en OT gebouwbewakingssystemen (security & safety); HVAC; energiesystemen telefonie parkeersysteem, liften, hydroforen, robotwasstraat bedden, publiek netwerk voor cliënten en bezoekers (WiFi) Wie is verantwoordelijk voor de cybersecurity en het cyberonderhoud (patches)? vaak onbeheerst risico! niet alle essentiële gebouwfuncties hebben noodstroom uitbesteed onderhoud
7 Cyber in zorginstellingen 2. Ondersteunende datadiensten Data-intensieve dienstverlening risico uitval balie, keuken, verpleegposten, poliklinieken ransomware steeds groter risico dilemma: betaal je de crimineel of begin je opnieuw? 3.6 M$ in Bitcoins of 10 M$ voor wissen en herinstalleren 6.000 werkstations; 6 weken plat? Externe afsprakensysteem, aanmeldschermen cliënten hacker paradise
8 Cyber in zorginstellingen 3. Cliëntgegevens Nieuwe wet- en regelgeving bij inbreuken per 25.05 (EU) Algemene Verordening Gegevensbescherming verantwoordingsplicht goed geregeld meldplicht zonder onredelijke vertraging binnen uiterlijk 72 uur na kennisname [de Wbp gaf meer speling voor crisismanagement] overtreding AVG: boete max. 20 M ; overtreding regels max. 10 M plus schadevergoeding aan gedupeerde cliënten daarnaast meldplicht bij Inspectie GJ NEN 7510, 7512 en 7513: handvatten voor veilige cyber en incidentmanagement
9 Cyber in zorginstellingen 4. Medische technologie operatiekamers & intramurale zorg Diagnostiek, bewaking, invasieve systemen e.a. steeds meer IT en OT functionele apparatuur niemand denkt na over cyberrisico generen en bevatten persoonsgevoelige informatie ingebedde verouderde IT (bijv. Win/XP, Win 2000) ongewijzigde fabriekswachtwoorden maar wel aan het netwerk (50% instellingen!) In VS 68.000 medische apparaten (2014) rechtstreeks aan het Internet 21 anesthesieapparaten, 67 nucleaire bestralers, 133 infuuspompen, 97 MRIs MRI scanners gemiddeld 11.4 jaar in gebruik met cyber uit 2006!
10 Cyber in zorginstellingen 4. Medische technologie operatiekamers & intramurale zorg (2) Gehackt/malware in patiëntbewaking, labanalyse, röntgen, MRI, defibrillatoren, katheter labapparatuur, pacemaker programmeerstations, elektronische apotheek WiFi koppelingen infuus- en medicijnpompen oude apparatuur op veilingsites speelgoed voor hackers! 325.000 infuus- en medicijnpompen hadden software-update nodig Convenant Veilige toepassing Medische Technologie geeft eerste aanzet, maar is zwak m.b.t. cybersecurity in gebruiksfase Concept NIST 1800-8 standaard biedt handvatten
11 Cyber in zorginstellingen 4. Medische technologie operatiekamers & intramurale zorg (3) Hightech in zorginstelling, bijv. robots besparing kosten, preciezer, functioneel draadloos verbonden autonome software: wie zorgt voor de cybersecurity? inbreuken op communicatie, malware, hacking fabriekswachtwoord
12 Cyber in zorginstellingen 5. Medische systemen in ambulante zorg Patiënten met pacemakers, insulinepompen en medicijnpompen draadloos te bedienen en te programmeren hackers spelen met aansturing van pacemakers en insulinepompen Leverancier verantwoordelijk voor postmarket cyberkwetsbaarheden verontruste patiënten gaan bellen na bericht in pers Bent u voorbereid? Wat is uw plan-b als er niet snel een fabrikantoplossing is? Trend: 24/7 patiëntmonitoring, infuusvestje etc. op afstand; heeft u grip op de cybersecurity daarvan?
13 Cyber in zorginstellingen 6. Ambulancezorg Medische apparatuur in ambulances en communicatie heeft ook cyberzorg nodig! cyberongeluk: afgesloten zuurstoftoevoer
# Cyber in zorginstellingen EU netwerk- en informatiebeveiligingsrichtlijn (NIB) Stelt eisen aan Aanbieders van Essentiële Dienst (AED) per 09.05 waaronder aangewezen zorginstellingen uiterlijk 09.11 aangewezen Meldplicht cyberincidenten sanctie max. 5 M onverwijld bij J&V/NCSC die mag het publiek informeren --- sneller dan uzelf dacht! onverwijld bij VWS/IGJ onverwijld bij Autoriteit Persoonsgegevens (indien privacy)
15 Cyber in zorginstellingen Enkele handvatten NEN 7510:2017 Business Continuity Management en crisiscommunicatie Middelenbeheer conform Convenant Medische Technologie Amerikaanse standaarden voor medische apparatuur Overweeg Coordinated Vulnerability Disclosure beleid Neem deel aan Z-CERT
16 Cyber in zorginstellingen Samenvatting Cyber zit diep in allerlei processen van zorginstellingen Het risico van verstoring en gevolgen daarvan is groot Nieuwe wet- en regelgevingen met serieuze boetebedragen Niet alle cyberrisico wordt nu beheerst! loop eens door uw instelling en laat u verrassen door onverwachte cybertoepassingen Zijn die wel cyberveilig?
17 Cyber in zorginstellingen Bedankt voor uw aandacht luiijfconsultancy@ziggo.nl