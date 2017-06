Uit een rondvraag van de NOS onder vijfentwintig ziekenhuizen, blijkt dat zeker vijftien ziekenhuizen de afgelopen drie jaar te maken hadden met ransomware-aanvallen. In één Nederlands ziekenhuis waren maar liefst 75 computers geïnfecteerd. Hoewel de ziekenhuizen weinig problemen hebben ondervonden, wordt hiermee wel de ernst en de omvang van de dreiging duidelijk. Dat ransomware ook ernstige gevolgen kan hebben werd immers nog duidelijk tijdens de WannaCry ransomware-aanval die vorige maand ongeveer 300.000 systemen in 150 landen trof. Het is tijd voor een nieuw beveiligingsparadigma in de gezondheidszorg.

De WannaCry-aanval kwam voor het eerst op de radar toen 48 Engelse en Schotse ziekenhuizen geïnfecteerd bleken te zijn. Maar liefst 70.000 apparaten, zoals computers, MRI-scanners, koelkasten voor bloedopslag en apparatuur in de OK, werden getroffen door de aanval. Hoewel de opmars van WannaCry inmiddels een halt is toegeroepen, kunnen we met zekerheid stellen dat deze aanval niet de laatste zal zijn en dat ook Nederland aan gevaar blootstaat, zoals uit het onderzoek van de NOS blijkt. Ziekenhuizen die hun IT-omgeving op een ouderwetse manier blijven beveiligen, gaan hier mogelijk verstrekkende gevolgen van ondervinden.

Automatiseren & selfservice

Het Pavlov-effect dat meestal volgt op grootschalige aanvallen als WannaCry, is het dichtmetselen van de IT-omgeving en het beperken van de toegangsrechten. Het is een begrijpelijke reflex, maar je lost er helaas niets mee op. Mensen moeten namelijk wel in staat blijven om hun werk goed te doen en maak je ze het moeilijk om productief te zijn door alles op slot te zetten, dan gaan ze manieren verzinnen om de beveiliging te omzeilen, met alle gevolgen van dien.

Deze klassieke manier van IT beveiligen, zorgt voor irritatie bij de gebruikers en een hoge werkdruk voor de IT-afdeling. Het handmatig toewijzen van de rechten en machtigingen is immers een kostbare en tijdrovende klus, die bij iedere in- en uitdiensttreding terugkeert. Daar komt nog bij dat menselijke tussenkomst de kans op fouten aanzienlijk vergroot, waardoor de beveiliging gevaar loopt. Een gevolg van de handmatige processen is bijvoorbeeld dat mensen na verloop van tijd vaak meer toegangsrechten krijgen dan ze nodig hebben. Wanneer iemand eenmaal een verhoogd privilege is toegewezen, dan houdt hij het meestal ook. Dat kan zelfs voortduren tot maanden nadat iemand uit dienst is getreden. En dat zorgt voor ernstige blootstelling aan risico's.

De juiste soort automatisering maakt het veel eenvoudiger voor IT-beheerders om gebruikers snel en makkelijk precies de rechten te geven die ze op dat moment nodig hebben. Met automatisering kan IT een uiterste houdbaarheidsdatum aan privileges meegeven, zodat ze niet eeuwig blijven bestaan. Deze toegangsautomatisering kan bovendien rekening houden met de context waarbinnen het personeel zijn werk uitvoert. Een context die gedefinieerd wordt aan de hand van allerlei verschillende variabelen, zoals de rol van de werknemer, de fysieke locatie van de werknemer, het type apparaat, de gebruikerslogin, de tijd van de dag en nog veel meer.

Van beveiligen naar veiligheid

De aard van de dreiging is bovendien voortdurend aan verandering onderhevig: twintig jaar geleden waren computervirussen het grootste probleem, vijf jaar geleden waren het wormen, nu is het ransomware. Over drie jaar is er waarschijnlijk weer een nieuwe klasse dreigingen die op de voorgrond zal treden. Dit kun je alleen bestrijden door een overkoepelende strategie die IT als dienst ziet.

IT is van oudsher controlerend en voorschrijvend, maar dat is nu geen optie meer. IT moet zich meer gaan opstellen als dienstverlener, die de medewerkers met behulp van automatisering snel en makkelijk voorziet van de middelen die ze nodig hebben. IT mag de medewerkers niet meer in de weg staan, met trage goedkeuringstrajecten en logge processen, maar moet er juist voor zorgen dat de weg vrij is voor een soepele en flexibele organisatie die snel kan reageren en die optimaal gebruik kan maken van de beschikbare technologieën.

Naast het bieden van verregaande automatisering en selfservice kunnen we de veiligheid nog verder verhogen door 'whitelisting'. Whitelisting is het gebruik van een lijst waar alleen bewezen betrouwbare software op staat ('whitelisting'). Iedere keer dat een gebruiker software wil gebruiken of installeren, wordt gecontroleerd of deze nog steeds op de whitelist staat. Staat software (dus misschien malware) niet op de lijst, dan kan het niet gebruikt worden. De combinatie van automatisering van het rechtenbeleid met whitelisting, is een omvattende beveiligingsoplossing, die ransomware-aanvallen zoals WannaCry misschien nooit helemaal kan voorkomen, maar die in ieder geval het risico aanzienlijk kan verminderen, zonder medisch personeel te belemmeren in hun werkzaamheden.