Procedure & Operatie
Veel verzamelde informatie betreft vertrouwelijke en gevoelige gegevens. Beveiliging daarvan is van het grootste belang. Er zijn diverse soorten informatie, van persoonlijke medische gegevens tot geabstraheerde statische en onderzoeksgegevens. De gradaties van beveiliging lopen daarbij uiteen van encrypted tot geanonimiseerde data en alles daartussenin. Het testen en het labelen hebben tot doel te bezien hoe in de praktijk wordt omgegaan met een beveiligingsinbreuk op de systemen die met gezondheidsinformatie te maken hebben. Daarbij wordt geen oordeel gegeven over de mate van beveiliging , maar over de praktische implicaties daarvan, ingedeeld in een vijftal weerbaarheidsniveaus.
Om inzicht te krijgen in de organisatie en haar context wordt aan het begin van het cybersecuritytestproces een zogenaamde 0-meting afgenomen. Daarbij wordt vastgesteld wat het niveau van de organisatie is op het vlak van cybersecurity en hoe intern de processen daaromtrent zijn ingericht. Bij deze 0-meting wordt ook rekening gehouden met de context van de organisatie, die met name afhangt van het type gegevens dat verwerkt wordt. In de zorg zal het veelal gaan om medische persoonsgegevens. Aan de beveiliging daarvan worden hoge eisen gesteld.
Afhankelijk van de uitkomsten van de 0-meting, wordt vastgesteld in welke bandbreedte de uiteindelijke cybersecuritytest zal worden afgenomen. De resultaten daarvan leiden tot een categorisering in één van de vijf weerbaarheidsniveaus.
Meer achtergrond
Cyberweerbaarheid is van wezenlijk belang voor de continuïteit van organisaties. Dit geldt ook voor de zorgsector: er staan in deze sector immers letterlijk levens op het spel. Helaas is er geen tekort aan recente voorbeelden van cyberincidenten in deze sector:
Grootschalig datalek bij GGD door serieuze kwetsbaarheden in Corona-test systemen
januari, 2021
Ransomware legt Belgisch ziekenhuis voor een groot deel lam
januari, 2021
Hackers zagen documenten over Pfizer-vaccin in bij een hack op het Europees medicijnagentschap EMA
december, 2020
Ransomware-aanval op Duits ziekenhuis leidde mogelijk tot dood patiënten
september, 2020
Brabants ziekenhuis merkte jarenlang datalekken niet op
december, 2020
Hackers wisten binnen te dringen in de systemen van het Medisch Centrum in Leeuwarden
januari, 2020
Het cyber crisis management assessment
Het cyber crisis management assessment bestaat uit twee onderdelen:
Een 0 meting 'quick scan'
een inventarisatie van de weerbaarheid van de organisatie op het gebied van cyber crisis management, op basis van één of meerdere diepte-interviews binnen de organisatie. De 0-meting is gericht op de identificatie van de volwassenheid van de organisatie op het vlak van protocollen, werkwijzen en interne regelingen met betrekking tot cyber crisis management. Daarbij wordt uitdrukkelijk bekeken wat de actuele stand van zaken is binnen een organisatie.
Een cyber crisis simulatie oefening
een realistische praktijkoefening van een dagdeel rondom een cyber incident georganiseerd door het Cyber Experience Center van Capgemini. Hierbij wordt getest in welke mate een organisatie praktisch is voorbereid op, en weerbaar is tegen, een cyberincident. In een realistisch scenario doorloopt het team van IT/cyber security professionals, het crisis management team en/of het verantwoordelijke hoger management (C-niveau) een zich ontwikkelende cybercrisis. Hierbij komen diverse onderwerpen aan bod en zal het team tussentijds te maken krijgen met zich ontwikkelende escalaties. Elke keuze die gemaakt wordt heeft invloed op het verdere verloop en het al dan niet succesvol bedwingen van de crisis.
Op basis van de resultaten van de 0-meting en de crisis simulatie oefening, wordt het Codax label met volwassenheidsniveau van de organisatie toegewezen, inclusief aanbevelingen om het volwassenheidsniveau (verder) te verhogen.
Het Codax label is een sector-gedreven initiatief dat tot stand is gekomen in een samenwerking tussen Ambulance NL en Capgemini’s Cybersecurity Experience Center:
ANL Group
ANL Group staat voor innovatie en kwaliteit in de zorg. ANL Group fungeert als koepelorganisatie binnen diverse zorgterreinen om optimalisatie te stimuleren en kwaliteit te waarborgen.
Capgemini
Capgemini is een wereldleider op het gebied van consulting, technologische diensten en digitale transformatie. In Capgemini’s Cybersecurity Experience Center zijn cybersecurity kennis en crisis management capaciteiten samengebracht. Met state-of-the-art technologische solutions worden onder andere cyber crisisoefeningen georganiseerd.