Cyber en de zorgsector: voorbereid zijn op incidenten en crises

29 juni 2017

In de afgelopen maanden is het COT Instituut voor Veiligheids- en Crisismanagement intensief in gesprek met zorginstellingen over cyber en hoe cyber impact kan hebben op de zorgcontinuïteit. Naast verscheidene cyberoefeningen en bestuurlijke workshops, organiseerde zij recent een themabijeenkomst over zorg, cyber en crisismanagement. Na de uitbraak van WannaCry spraken zij meerdere zorginstellingen over hun ervaringen.

In deze bijdrage deelt het COT de belangrijkste opbrengsten van de themabijeenkomst en gesprekken. Een meer uitgewerkte notitie van de themabijeenkomst is op verzoek beschikbaar.

Cyber als incident- of crisistype in de zorg: een ordening
In de gesprekken die het COT voert met zorginstellingen blijkt dat ‘cyber’ een containerbegrip dreigt te worden. Er is behoefte aan ordening en afbakening. Als zij kijken naar de zorginstellingen dan kan ‘cyber’ als incident- en crisistype spelen voor de eigen organisatie (bedrijfs- en zorgcontinuïteit) en/of voor de zorgketen. Het kan impact hebben op de bedrijfsvoering, op het zorgproces, op de reputatie en – in het ergste geval – voor de veiligheid van patiënten/ cliënten. Het kan gaan om een breed scala aan mogelijke verstoringen. Zij onderscheiden vier verschijningsvormen (zie plaatje). Het is van belang om in de gesprekken over cyber eerst met elkaar te verkennen of welke verschijningsvorm we het hebben (of meerdere tegelijk) en welke impact dan van belang is.

IT-security heeft zeker de aandacht
De meeste zorginstellingen hebben voorzieningen getroffen als het gaat om IT-security, privacy en informatiebeveiliging. Ook zijn in de regel risico-inventarisaties uitgevoerd en is aandacht voor mogelijke stroomuitval of uitval van specifieke systemen of toepassingen, zoals het Elektronisch Patiënten Dossier (EPD). Zorginstellingen hebben regelmatig te maken met IT-storingen en met cyberaanvallen. Deze zijn meestal onschuldig of eenvoudig te onderscheppen. Er zijn ook ervaringen met ernstiger situaties zoals uitval van IT, telefonie en/of ransomware. Er zijn ook zorginstellingen die hebben betaald om weer toegang te krijgen tot gegijzelde data. Internationaal zijn er voorbeelden van zorginstellingen die dagen tot weken niet goed konden functioneren vanwege ransomware of (gedeeltelijk) zelf besloten hebben om uit voorzorg bepaalde systemen af te sluiten vanwege aanvallen of niet-integere systemen. In dit laatste geval creëren zorginstellingen hun eigen impact.

Beperkt inzicht in risico’s en impact
De risico’s van cyber hebben de aandacht, maar dit verschilt sterk tussen maar ook binnen zorginstellingen. Binnen cure lijkt er meer aandacht voor te zijn dan binnen de care. Bestuurlijke aandacht is –in het beste geval- er vooral op hoofdlijnen. Beschikbare informatie over cyberdreigingen en ontwikkelingen is bij instellingen beperkt bekend (behalve bij IT-specialisten) en lijkt beperkt te worden benut voor reflectie binnen en tussen zorginstellingen: ‘wat betekent het voor ons?’ Ook is er beperkt inzicht in de financiële gevolgen van een storing of succesvolle cyberaanval: hoe verhouden kosten zich tot de investering in bijvoorbeeld security?

Bijzondere aandacht behoeven de risico’s in de keten: waar is de zorginstelling afhankelijk van anderen en wie zijn afhankelijk van de zorginstelling? In de gesprekken wordt vooral aandacht gevraagd voor de keten: er is behoefte aan inzicht in risico’s en afhankelijkheden. Er is behoefte aan een hulpmiddel om kritieke processen in kaart te brengen, voor de instelling maar ook in de keten. Er zijn voorstelbare en voorspelbare afhankelijkheden en kwetsbaarheden waar in ieder geval zicht op moet zijn en waarvan beschikbaarheid/continuïteit moet worden geborgd. Als dit in beeld is kan worden gekeken naar beschikbare/mogelijke alternatieven bij uitval (van andere systemen tot handwerk).

Nog beperkt aandacht voor gevolgen grootschalig incident of crisis
Crisismanagement krijgt steeds meer een plaats binnen zorginstellingen. Bij veel andere zorginstellingen is er nog geen specifieke aandacht voor de respons op een dreigende crises met een cyber-component. De nadruk ligt nog op (basis)zorgcontinuïteit, primaire IT-security en de security vraagstukken rond (digitale) zorginnovaties. Ook is er aandacht voor privacy aspecten en het voorkomen van datalekken, mede vanwege wettelijke verplichtingen. Wel ziet het COT dat academische ziekenhuizen steeds vaker wel gerichte voorbereidingen treffen voor cybercrises, waaronder crisisoefeningen met een cyberscenario. De conclusie na WannaCry is voor veel zorginstellingen dat zij het ‘op orde’ hebben, juist omdat de effecten beperkt zijn.

Behoefte aan inzicht in ervaringen en leerpunten
Er is weinig informatie beschikbaar over ervaringen van zorginstellingen met verstoringen, uitval van IT en/of cyberaanvallen. Lessen worden vooral mondeling gedeeld tussen professionals, maar er is er weinig overzicht en inzicht in vooral het beperken van de negatieve impact. ‘Hoe is het om enkele dagen zonder een deel van de IT te moeten werken?’. ‘Wat hebben collega’s gedaan toen zij niet meer bij hun data konden?’. Een veel genoemde verklaring voor het beperkte inzicht in ervaringen en lessen, is de ervaren hoge drempel voor het delen van informatie over bijvoorbeeld een cyberaanval. Zorginstellingen delen de informatie niet snel met collega-instellingen. De reden om wel te delen is als andere instellingen gevolgen kunnen ondervinden van de aanval of kwetsbaarheid. Mogelijk dat brancheverenigingen en/of het ministerie van VWS een rol kunnen spelen in het ophalen en delen van ervaringen.

Cyber past in een all hazard benadering van crisismanagement: focus op het bijzondere
Zorginstellingen werken steeds meer vanuit een all hazard benadering: een eenduidige werkwijze voor allerhande type crises. Als deze basis op orde is, kan vervolgens voor specifieke crisistypen vooral focus liggen op de bijzonderheden. Er is bij zorginstellingen behoefte aan inzicht in de bijzonderheden rond cyber en crisismanagement. Voorbeelden hiervan zijn:

• Het vertraagde effect: het kan lang duren voordat er merkbare effecten zijn.
• Ethische vraagstukken bij chantage: wel of niet betalen bij ransomware. En wat als er risico’s zijn voor de veiligheid van patiënten?
• Governance vraagstukken: wat is het mandaat vanuit IT als het gaat om het beperken van een besmetting/aanval. Wie mag welk besluit nemen over afsluiten systemen of instellen alternatieve werkwijzen?
• Er zullen bij uitval/uitzetten van systemen altijd onverwachte effecten optreden vanwege (deels onbekende) koppelingen.
• Bij uitval van systemen moet rekening worden gehouden met personeel dat niet eerder zonder IT heeft gewerkt (geringe ervaring met papieren dossiers).
• De noodzakelijke aansluiting vanuit IT op de crisisorganisatie. Neemt IT bijvoorbeeld deel aan het strategisch crisisteam van de organisatie? En als er een operationeel IT-responsteam aanwezig is (zoals een CERT), hoe is dan de afstemming met de rest van de generieke crisisorganisatie?
• De behoefte aan het snel kunnen aansluiten van specifieke expertise die de eigen organisatie niet heeft.

Ook hoort het COT regelmatig vragen over de mogelijke rol van nationale partners, zoals het ministerie van VWS en/of het Nationaal Cyber Security Centrum (NCSC) en de rol van de GHOR.

Instellingen kunnen zelf, maar ook samen met anderen (bijvoorbeeld in het netwerk acute zorg) aandacht besteden aan de bijzonderheden van dit crisistype. Bestaande scenariokaarten kunnen gericht worden aangevuld en op maat worden uitgewerkt op instellingsniveau. Klik hier voor voorbeelden van scenariokaarten.

Voor meer vragen over cyber en de zorgsector of een meer uitgewerkte notitie van de themabijeenkomst cyber en zorg, kunt u contact opnemen met Abderrahman Kaouass, senior adviseur COT, a.kaouass@cot.nl of 010-4488334.

Door Abderrahman Kaouass en Marco Zannoni