Opinie

Lekkende software ondermijnt de zorg

Cyberveiligheid Technologie helpt de zorg, maar maak deze eerst veilig, in plaats van achteraf te repareren, vraagt na de zoveelste crisis.
Datacentrum met servers
Datacentrum met servers Foto iStock

Sluipenderwijs heeft mijn leven als bestuurder een metamorfose ondergaan. Dat merkte ik tijdens de recente ‘Citrix-crisis’, waarbij ik me in een oorlog waande met ongrijpbare digitale vijanden. Citrix, een beursgenoteerd Amerikaans bedrijf, levert software om digitale verbindingen te beveiligen. Maar die bevatte een serieus lek, waar hackers slim op ingespeeld hebben.

Nederland, waar veel Citrix-servers draaien – van Schiphol tot gemeenten en ziekenhuizen – bleek extra kwetsbaar. Op advies van de AIVD hebben veel bedrijven hun Citrix-servers uitgeschakeld en na het repareren van het veiligheidslek weer opnieuw opgebouwd. Ook de Sint Maartenskliniek, waar ik werk, gebruikt Citrix. Zodat wij talloze testen hebben gedaan, reparaties uitgevoerd en omwegen gebouwd om een ramp te voorkomen.

Een brand, een overstroming, uitval van de stroom: voor alle bekende en zichtbare incidentele bedreigingen oefenen we regelmatig. Fysieke beveiliging is allang een onderdeel van de zorg geworden, zoals voor de Spoedeisende Hulp. Daar zijn kogelvrij glas en echte beveiligers nodig, en wordt goed gelet op enkelingen die zichtbaar en herkenbaar zijn. De laatste tijd is hier een onzichtbare en onophoudelijke stroom van virtuele aanvallen bijgekomen, van intimidaties en verkapte bedreigingen, waartegen we ons vooralsnog slechts provisorisch kunnen wapenen.

Neem de niet van echt te onderscheiden phishing-mails die na opening een heel ziekenhuis kunnen platleggen. Internetfraude vereist 24/7 alertheid van iedereen.

We hebben alle zeilen moeten bijzetten in de Citrixcrisis om een ramp te voorkomen

Bij Citrix gaat het om een gat in een systeem om op afstand te kunnen werken. Maar ook, en dat is minder bekend, om andere bedrijven in staat te stellen via Citrix onze ziekenhuissystemen te laten monitoren en onderhouden. Beide zaken zijn cruciaal.

In mijn ogen zijn ziekenhuizen langzaam maar zeker virtuele forten geworden. Forten waar legers ICT-deskundigen de zorg permanent verdedigen. Wie die aanvallers zijn? Criminele organisaties, geheime diensten van andere landen, maar ook verveelde hobbyisten van een jaar of 17 jaar op een zolderkamer in een willekeurig land.

Dubbele wallen

Wij op onze beurt richten dubbele beschermingswallen in, een ‘interne’ en ‘externe firewall’. Een indringer moet na de externe firewall ook een tweede linie door voordat hij bij kritische systemen kan komen. We doen ook aan geo-blocking; wie vanuit een geblokkeerd land probeert binnen te dringen wordt teruggestuurd.

Er staat zoveel op het spel, dat er inmiddels nationale organisaties bestaan als het Nationaal Cyber Security Centre (NSCS) en het Computer Emergency Response Team voor de Zorg (Z Cert). Zij zoeken naar zwakke plekken in digitale systemen en publiceren die gegevens.

Lees ook: Na de hack zou de Citrix-crisis aan Lochem voorbij gaan. Fout gedacht

Software patch

Gelukkig erkennen de meeste bedrijven die ICT-systemen verkopen het belang van digitale veiligheid. Als ze een kwetsbaarheid in hun systemen ontdekken, publiceren ze die meestal direct en bieden meestal tegelijkertijd een reparatie – een software patch – voor de zwakke plek. Ik ervaar dit als een constante race.

Wat kunnen wij zelf doen om dit schimmengevecht te beëindigen? Bijvoorbeeld door het inhuren van ‘goede hackers’, digitale superdeskundigen van bedrijven als Fox IT, die als ouderwetse huurlingen of dure digi-spionnen onze verdedigingslinies op de proef stellen in ‘penetratietesten’, zodat we de zwakke plekken kunnen aanpakken, zoals middeleeuwse kasteelheren de muren van hun vesting.

Het verschil met eerdere oorlogen is dat via internet alles met iedereen is verbonden. Dat is op zichzelf prima; nieuwe technologie biedt kansen voor echte verbeteringen in de zorg. Maar helaas staat veiligheid daarbij niet altijd voorop. En omdat alle ‘kastelen’ met elkaar zijn verbonden is het effect van een aanval des te groter.

Deze nieuwe wereld vol onbekende gevaren vraagt van mijn collega’s en mij steeds meer alertheid en aandacht. We zoeken naar nieuwe mogelijkheden om iedereen op te voeden in cyberveiligheid. Maar oorlogsretoriek staat veraf van de zorg. Daarom verwacht ik van de ICT-industrie dat zij veiligheid op de eerste plaats zet. Zodat nieuwe digitale producten pas verkocht mogen worden als de veiligheid ervan voor honderd procent kan worden gegarandeerd.

Achterdeurtjes en gaten in systemen maken het lastig goede zorg te garanderen. Ons leven wordt niet makkelijker als er steeds nieuwe oplossingen worden nabezorgd voor datalekken (soms verstopt in de updates) van een door ons gekocht systeem. Dus, producenten: zorg voor tijdige veiligheid. Kom niet achteraf met aanpassingen die telkens onnodige crises veroorzaken. En laat ons samen optrekken in deze wereldomspannende vraag van de cyberveiligheid.

Reageren

Reageren op dit artikel kan alleen met een abonnement. Heeft u al een abonnement, log dan hieronder in.