Gezondheidsorganisaties hebben een allesomvattend framework nodig om slimme, goed onderbouwde beslissingen te kunnen nemen over het budget voor cybersecurity, om de beveiliging te verbeteren en te versterken, en om de bedrijfsmiddelen te beschermen die rechtstreeks in verband staan met de strategie en doelstellingen van het bedrijf.
Dit zijn de belangrijkste stappen voor organisaties:
- Maak het voor aanvallers lastiger om hun doel te bereiken
- Detecteer aanvallen voordat belangrijke bedrijfsmiddelen worden beïnvloed
- Reageer snel en effectief op aanvallen
- Informeer medewerkers om meer bewustzijn te creëren, de beveiliging te verbeteren en te onderhouden, en beter opgewassen te zijn tegen phishingaanvallen
Actieve verdediging is het belangrijkste concept. Er moet proactief worden gezocht naar dreigingen en deze moeten worden geanalyseerd en geneutraliseerd voordat ze essentiële bedrijfsmiddelen kunnen bereiken of beschadigen. Organisaties moeten hiervoor een goed inzicht hebben in hun risicospectrum, zowel op de lange termijn als bij elke stap van het gegevensverzamelingstraject.
Weet wat uw gegevens waard zijn en begin bij de onderdelen met het hoogste risico
Als u uw budget voor cybersecurity zo goed mogelijk wilt besteden, is het belangrijk om de waarde van uw informatiemiddelen vast te stellen. Voer daarnaast minimaal één keer per jaar en voor elk onderdeel van de toeleveringsketen een evaluatie uit. De kosten die beveiligingslekken met zich meebrengen, zijn verre van verwaarloosbaar. Een gegevenslek kan uw volledige bedrijf stilleggen en een ransomware dreiging kan uw gegevens ontoegankelijk maken, waardoor u uw dagelijkse werkzaamheden niet kunt uitvoeren.
Toch hoeft niet alles even streng te worden bewaakt. Hoe hoger de waarde, hoe krachtiger de beveiliging moet zijn voor die betreffende transactiepunten.
Het risico groeit naarmate u meer gegevens verzamelt. De waarde van gezondheidsgegevens kan gaandeweg toenemen. In tegenstelling tot creditcards, pincodes en wachtwoorden veranderen gezondheidsgegevens niet en het is daarom waardevoller om deze gegevens te verzamelen (afzonderlijke dossiers en gegevenssets van meerdere personen). De gegevens uit de laatste fase van een klinische studie zijn bijvoorbeeld waardevoller dan die uit een eerdere fase en moeten daarom strenger worden beveiligd.
Mensen weerbaarder maken tegen cyberaanvallen
Beveiliging moet vanaf nu centraal staan en de basis vormen voor alle operationele modellen en zorgprocessen.
Beveiligingsexperts hebben vaak moeite om betrokkenen (zoals artsen en andere gezondheidsprofessionals) ervan te overtuigen dat ze hun workflow moeten aanpassen om risico's te beperken.
In sommige gevallen is deze terughoudendheid terecht. Veel artsen gebruiken bijvoorbeeld liever geen tweestapsverificatie omdat deze werkwijze voor vertraging zorgt tijdens de behandeling van patiënten met urgente klachten. In andere gevallen hoeft alleen iedereen in de keten te worden geïnformeerd over de mogelijk ernstige gevolgen van een beveiligingslek en moet het belang van zorgvuldigheid in de dagelijkse zorgtaken worden benadrukt.
Beveiliging moet vanaf nu centraal staan en de basis vormen voor alle operationele modellen en zorgprocessen.
Hier volgen enkele belangrijke stappen waarmee elke organisatie de cybersecurity voor zijn medewerkers kan verbeteren:
- Leer medewerkers dat ze alert moeten zijn op spearphishing-aanvallen. Hierbij worden overtuigende e-mails verzonden die afkomstig lijken van vertrouwde personen of organisaties, terwijl het in werkelijkheid frauduleuze berichten betreft
- Medewerkers zien cybersecurity vaak als iets vervelends dat waar mogelijk moet worden vermeden. Laat zien dat cybersecurity essentieel is voor het bereiken van de bedrijfsdoelen
- Vergroot het algemene bewustzijn van alle actieve stakeholders binnen uw bedrijf. Richt u hierbij op alle niveaus en elk onderdeel van de toeleveringsketen
- Zorg ervoor dat de informatieverstrekking en beveiligingsmaatregelen gebruikers niet te veel afschrikken
Effectief communiceren en reageren
Voorkomen is beter dan genezen. Dat geldt ook voor effectieve cybersecurity: bescherm uw bedrijfsmiddelen door proactief en preventief te handelen.
Stel direct een crisisbeheersplan op en wees klaar om dit plan in uitvoering te brengen als er zich een beveiligingsincident voordoet. Beschrijf in dit plan in elk geval het volgende:
- Hoe u klanten informeert en omgaat met de verantwoordelijkheid van uw organisatie ten aanzien van personen die worden geschaad door een aanval. Leg ook vast hoe u in verschillende situaties reageert, afhankelijk van wat er tijdens het beveiligingslek verloren is gegaan of is verstoord.
- Hoe u stakeholders informeert, waaronder anderen in de toeleveringsketen, aandeelhouders, medewerkers en iedereen met een gevestigd belang in uw organisatie.
- Wat de woordvoerder moet vertellen en of er verschillende reacties nodig zijn, afhankelijk van de ernst van een incident.
- Hoe u de overheid bij het incident betrekt, bijvoorbeeld door bepaalde functionarissen te informeren. Zeker als de aanval te herleiden is tot een ander land, en politieke en marktgevoelige zaken een rol spelen, kan dit van groot belang zijn.
Hoe u omgaat met ransomware dreigingen. Werk voor verschillende dreigingsniveaus verschillende strategieën uit. Beschrijf de diverse niveaus op basis van aspecten als direct financieel verlies, reputatieschade of juridische gevolgen met bijbehorend financieel verlies.
Samenvatting
In een zorgbranche die snel verandert, hebben organisaties proactieve en preventieve cybersecurity strategieën nodig om gewilde klantgegevens goed te beschermen.