Malware, zoals WannaCry of Petya, is de nachtmerrie van iedere bestuurder en CIO in de zorg. Hoe houd je nu alle systemen up and running? Zorg je dat medewerkers realtime hun dossiers kunnen bijwerken, mobiel hun werk kunnen doen en dat tegelijkertijd toch ook hackers buiten de deur worden gehouden? Binnen de zorg wordt nog regelmatig gewerkt met verouderde systemen en beveiligingsmethoden, denk aan Windows 7 in de operatiekamer. Het maakt zorginstellingen kwetsbaar.
Door deze recente incidenten zijn bestuurders in de zorg inmiddels wel wakker, maar hoe richt je nu de organisatie zo in, dat ransomware minder kans krijgt? Riemert Moleman, Uniserver Security Officer, geeft 5 tips om te komen tot een ‘cybercrime nul test’. ‘Voorkomen is uiteraard beter dan genezen. Gebeurt er dan toch iets, dan maakt een goede voorbereiding bij ongeplande downtime echt het verschil.’
‘De cybercrime nul test is bedoeld als een checklist. Breng in beeld wat de huidige stand van zaken is en hoe een en ander geregeld is. Vandaar uit is het mogelijk verder te werken aan een securityplan’, aldus Moleman.
-
Waar staat de data? En is het veilig?
Analyseer het data-ecosysteem. Weet waar alle data is opgeslagen en welke servers of systemen de data ondersteunen. Breng ook in kaart waar de ‘points of entry’ zijn, en zorg dat je ze sluit.
-
Controleer de back-up.
Wanneer was de laatste keer dat u echt bestanden terug heeft gehaald uit de back-up? Deze test is een belangrijk onderdeel van het beveiligen van data.
-
Zijn de ‘end-points’ veilig en gesegmenteerd?
Met een groei aan ‘bring your own device’ en werken op afstand, moet zowel de onsite, als de remote data, evenals de back-ups beveiligd worden.
-
Hoe goed is het netwerk beveiligd?
Het netwerk is de levensader van de data in- en outflow. De juiste segmentatie is daarom essentieel voor de veiligheid om risico’s te managen.
-
Heb je controle over datatoegang?
Een ‘access control list’ (ACL) is een goede manier om de toekenning van toegangsrechten bij te houden. Houd back-up data bijvoorbeeld zuiver door slechts een aantal mensen toegang te geven.
Steeds meer CIO’s in de zorgsector krijgen te maken met ransomware. Toch neemt lang niet iedereen de juiste maatregelen. Investeringen in cloudtechnologie en ICT-security helpen zorginstellingen hun kwaliteit te verbeteren en hiermee hun concurrentiepositie te versterken: er is dus voor zowel de CIO als voor het bestuur winst te behalen.
DRaaS – Disaster Recovery as a Service
Voorkomen is beter dan genezen.
De bewustwording en training van personeel met betrekking tot cybercrime is van essentieel belang. Zorg daarnaast voor een goede voorbereiding voor het geval er zich toch een incident voordoet. Een efficiënte en betaalbare manier om snel een back-up te maken van essentiële bedrijfsdata en cruciale systemen te herstellen is DRaaS: de ‘as a Service’-variant van Disaster Recovery. Dit is een cloudbased service die de organisatie een uitwijkmogelijkheid geeft in geval van calamiteiten. Cruciale systemen zijn vaak al binnen 15 minuten weer beschikbaar.
De 3-2-1 back-up regel
-
Zorg voor tenminste 3 kopieën van de belangrijkste corporate data;
-
Deze kopieën moeten op ten minste 2 verschillende media opgeslagen zijn;
-
Tenminste 1 van deze media moet off-site blijven.
Bij databeveiliging en back-up oplossingen helpt de 3-2-1 back-up regel om opgewassen te zijn tegen welke vorm van een ransomware attack dan ook. Maak dus altijd een goed back-up plan. Dit zorgt ervoor dat de organisatie altijd de regie houdt en gebruikers-, user- en andere data altijd hersteld kunnen worden. Zo wordt ‘Disaster Recovery’ geen paniekvoetbal, maar een zorgvuldig geplande opvolging van herstel-acties.
