Crisis Toolbox

Samenvatting van het symposium ‘Digitale verstoring’

Medische gegevens van cliënten zijn door een grote storing onbereikbaar. Of deze vertrouwelijke gegevens worden juist door hackers openbaar gemaakt. Een schrikbeeld voor zorginstellingen. Maar samen met onder meer nieuwe pandemieën, extreem geweld en overstromingen wordt digitale verstoring in Nederland als een flink risico beschouwd. Daarom besteedden zorginstellingen uit de regio op 16 juni tijdens een symposium van GHOR ZHZ aandacht aan oorzaken, gevolgen en oplossingen rondom dit onderwerp. Bij deze de gehele samenvatting van het symposium.

Het symposium maakt deel uit van een gezamenlijk traject van de GHOR Zuid-Holland Zuid, GHOR Rotterdam-Rijnmond, GHOR Zeeland en Traumacentrum Zuidwest-Nederland over digitale weerbaarheid van de zorg in Zuidwest Nederland. Doel is om het bewustzijn te vergroten en eind 2022 in de hele regio beter voorbereid te zijn. Later in het jaar volgen verschillende handreikingen waar zorginstellingen intern mee aan de slag kunnen om zich voor te bereiden. Ook worden nog activiteiten gehouden waarbij zorginstellingen aan de hand van concrete scenario’s met elkaar de effecten van digitale verstoringen beleven en hun samenwerking versterken.

Zorgcontinuïteit in het geding

Zo’n zeventig bestuurders, crisisfunctionarissen, IT-medewerkers en andere vertegenwoordigers uit de zorgsector kregen bij de start in het Van der Valk Hotel in Dordrecht de resultaten gepresenteerd van een nulmeting van begin 2022 naar digitale weerbaarheid binnen de zorg van Zuid-West Nederland. Dit wordt gedefinieerd als het vermogen om risico’s te reduceren van incidenten die beschikbaarheid, integriteit en vertrouwelijkheid van digitale systemen en informatieschade waardoor de zorgcontinuïteit in het geding komt. Dit kan het geval zijn bij verstoringen of uitval van IT, maar ook door cyberincidenten als een hack of een datalek. Met maatregelen moeten zulke incidenten worden voorkomen of snel worden ontdekt om schade te beperken of herstel eenvoudiger te maken, zo lichtte trainer en adviseur Jeroen Oosschot van Trimension (trainings- en adviesbureau in crisismanagement) toe.

Rot geschrokken

Bij de nulmeting is digitale weerbaarheid verdeeld in de zeven indicatoren: risicomanagement, beveiligingsbewustzijn, crisismanagement, ambitie voor digitale weerbaarheid, dagelijkse organisatie, netwerk en opleiden, trainen en oefenen. De respondenten lieten weten een goed beeld te hebben van de belangrijkste risico’s en zich bewust te zijn van beveiligingsmogelijkheden. Maar tegelijkertijd is crisismanagement vaak niet verwerkt in crisisplannen en is er geen ambitie of visie voor het onderwerp opgesteld, waardoor concreet handelingsperspectief ontbreekt. Over het algemeen is digitale weerbaarheid in de dagelijkse organisatie wel goed ondergebracht, maar voor kleinere verpleeg-, verzorgingshuizen en thuiszorginstellingen met minder geld en medewerkers is dit lastig.
Bijna alle respondenten gaven aan met leveranciers al te zorgen voor veilige informatieoverdracht, maar samen met andere zorgketenpartners meer te willen doen aan digitale weerbaarheid. Partners zijn immers afhankelijk van elkaar. Opleiden, trainen en oefenen op het gebied van digitale weerbaarheid gebeurt over het algemeen nog te beperkt. Behoefte daaraan is er wel, zowel intern als met andere zorgketenpartners. Het gaat er dan vooral om goed zicht te krijgen op de precieze impact van digitale verstoring op de zorgcontinuïteit. Enkele respondenten lieten naar aanleiding van de vragen van de nulmeting weten zich rot te zijn geschrokken, maar zich daardoor wel bewust te worden van de noodzaak om actie te ondernemen.

Beveiligingsstrategieën

Security specialist Oscar Koeroo van het ministerie van VWS illustreerde digitale gevaren aan de hand van praktijkvoorbeelden van beveiligingslekken die soms grote gevolgen hebben. Zoals scholieren die het systeem van hun school aanvallen. Operatiekamers met tal van kwetsbare computersystemen. Pacemakers en auto’s waarvan de besturing overgenomen kan worden. Maar ook omvangrijke aanvallen op de spoorwegen van Oekraïne om de troepenopbouw te hinderen. Daarbij was als bijeffect te zien dat digitale problemen zich als een pandemie over de hele wereld hebben verspreid.

Zijn tips: breng in beeld welke mensen, systemen, kennis en beveiliging beschikbaar zijn en werp daarmee zoveel mogelijk drempels op om aanvallers en criminelen buiten je territorium te houden. Moet alles bijvoorbeeld gekoppeld worden aan internet of is een stand alone oplossing veiliger? Segmenteer het netwerk slim en handig om de beste combinatie te kunnen maken van integratie en separatie. Voer naast gebruikersnaam en wachtwoord als extra barrière tweefactor authenticatie in. Dat schrikt af en zorgt ervoor dat kwaadwillende hun aandacht verleggen naar de buren. Bespreek met je leveranciers met welke beveiligingsstrategieën zij kunnen helpen. Elke drempel kan het verschil maken, dus deel goede en slechte voorbeelden om ervan te leren en draag kennis over in begrijpelijke taal in plaats van vaktaal.

Cybercriminaliteit

Tijdens het tweede deel van de bijeenkomst volgden de deelnemers twee van de drie aangeboden workshops om zich concreet voor te bereiden op digitale verstoringen. Information Security & Privacy Officer Mitchell Sudmeijer van Stichting Z-CERT (expertisecentrum voor cybersecurity in de zorg) dook in de wereld van cybercriminaliteit, mogelijke gevolgen voor de zorgsector en de rol die Z-CERT kan spelen. De specialisten van deze non-profitorganisatie delen hun kennis en informatie over concrete dreigingen met zorginstellingen. De organisatie treedt daarnaast vooral op als klankbord om te helpen in situaties waarin het mis dreigt te gaan. Naast academische ziekenhuizen, jeugdzorg, GGD en geestelijke gezondheidsinstellingen kunnen steeds meer instellingen hier gebruik van maken.
Sudmeijer noemde meerdere voorbeelden van risico’s, zoals de storing bij 112 in 2019. In Amerika werd een waterzuiveringssysteem gehackt waarbij omvangrijke gezondheidsschade dreigde. Na een digitale aanval belandden in Finland vertrouwelijke, persoonlijke gegevens van 36.000 mensen die gebruik maakten van psychologische bijstand op straat. Na een aanval op de Ierse publieke gezondheidsdienst HSE in 2021 konden tientallen ziekenhuizen niet bij hun data. Behandelingen werden stilgelegd. Operaties uitgesteld. Medicijnverstrekking werd een chaos. Sudmeijer: “Vele claims, enorme financiële schade maar vooral enorm veel menselijk leed waren het gevolg. De schade was zo groot dat vier maanden hersteltijd nodig was, waarbij voor herstelwerkzaamheden ook militaire hulp noodzakelijk was.”
De les, of eigenlijk een bevestiging van wat we allemaal wel weten: alles wat aan internet is gekoppeld, is kwetsbaar. Vaak zitten achter zulke aanvallen professionele criminele organisaties. Organisaties die zich met verschillende specialisten of groepen met gerichte specialisaties onder meer richten op het infecteren van systemen en onderhandelen over de prijs voor een oplossing voor de organisaties die zij treffen. Daarbij sta je als organisatie voor de lastige keuze tussen terughalen van je gegevens of instandhouding van het criminele systeem door aan hun eisen tegemoet te komen. Tips: breng gaten in je beveiliging in beeld en dicht deze zoveel mogelijk om risico’s tot een aanvaardbaar niveau terug te brengen.

Digitale continuïteit en weerbaarheid

Onderzoeker en adviseur Jessica Overweg van Agentschap Telecom (een overheidsorganisatie die toezicht houdt op de digitale infrastructuur in Nederland) ging in op de vraag hoe je als zorginstelling zelf aan de slag kunt om voorbereid te zijn op uitval van ICT.

Dit werd besproken aan de hand van vijf stappen:

  • Wees bewust.
  • Ken afhankelijkheden.
  • Onderzoek risico’s.
  • Neem maatregelen.
  • Blijf alert.

Samenvatting

Met de tools in dit vijfstappenplan kunnen zorginstellingen aan het werk om bewustwording over de afhankelijkheid van ICT te verhogen, digitale kwetsbaarheden te onderzoeken en digitale continuïteit en weerbaarheid in de zorginstelling te borgen (zie voor meer informatie de website van Agentschap Telecom). Verschillende tools kwamen aan de orde. Zoals manieren om als zorginstelling zelf digitale kwetsbaarheden te inventariseren. In de workshop gingen deelnemers gezamenlijk aan de slag met een casus over uitval van het Elektronisch Patiëntendossier (EPD) en uitval van de personenalarmering. Wat is de impact op de zorgcontinuïteit als bijvoorbeeld het EPD een dag lang niet beschikbaar is? En wat kun je doen om de impact te beperken, bijvoorbeeld als je niet bij medicijnenoverzichten kunt? De deelnemers kwamen hiervoor met verschillende oplossingen, zoals contact opnemen met de apotheek voor een recent medicijnoverzicht. Een simpele oplossing die heel effectief kan zijn. Eén van de deelnemers formuleerde het als ‘gewoon je boerenverstand gebruiken’.

De belangrijkste boodschap: de vraag is niet óf jouw zorginstelling geraakt wordt door een digitale verstoring, maar wanneer dit gebeurt. En als dit gebeurt: wat doe je dan? Daarvoor is het essentieel om inzicht te hebben in de impact van digitale verstoringen op de zorgcontinuïteit. Wat kunnen we dan doen om de impact te beperken? Dit hoeven niet altijd (dure) technische oplossingen te zijn. Het kan ook een simpele organisatorische maatregel zijn, zoals het voorbeeld van de apotheek laat zien.

Crisistafel

Jeroen Oosschot van Trimension bekeek aan de hand van een realistische casus aan de ‘crisistafel’ de impact van verstoringen op de zorgorganisaties van de deelnemers aan deze workshop. Wat komt er bijvoorbeeld allemaal op je organisatie af tijdens een digitale verstoring? Hoe verloopt de alarmering en opschaling en wat is de impact op de zorgcontinuïteit?

Onder de titel ‘What the hack?!’ ging de casus in op meldingen bij de IT-afdeling van de fictieve zorginstelling Het Valkennest over trage systemen en het vermoeden dat er werd gesjoemeld met patiëntgegevens. De crisistafel is een interactieve vorm om zo’n scenario levendig te doorlopen. Poppetjes, speelgoedwagentjes en lijntjes op de crisistafel brengen in beeld wie er betrokken zijn, hoe de lijnen lopen en wie wat doet. Op die manier worden onderlinge samenwerking, taakverdeling en verwachtingen inzichtelijk voor de deelnemers die zich om de tafel hebben verzameld, waaronder vertegenwoordigers van het crisisteam, zorgmanagers, IT-functionarissen en informatiemanagers.

Opmerkingen die te horen waren rond de crisistafel:

  • Ga niet gelijk rennen, vorm je eerst een beeld van de situatie. Kijk in het systeem om te zien of je hier iets uit kunt afleiden.
  • Check de feiten.
  • Breng betrokkenen op de hoogte.
  • Zet de crisisorganisatie stand-by.
  • Breng in beeld waar de zorg rekening mee moet gaan houden.
  • Besteed aandacht aan externe communicatie.
  • Bekijk wat je als organisatie zelf kunt en waarbij je hulp nodig hebt.

Oosschot: “De crisistafel helpt op die manier scherp te stellen. Middelen om hier als organisatie zelf laagdrempelig mee aan de slag te gaan, stellen we voor de zomer digitaal beschikbaar. Kijk als organisatie of je dit eens een uurtje zelf kunt toepassen met de belangrijkste betrokkenen, zoals leden van het crisisteam en vertegenwoordigers van zowel IT als uit de zorghoek.”

Samenvatting

‘Leerzaam, interessant en nuttig’ waren kwalificaties die na afloop onder de deelnemers te horen waren. Zoals een deelneemster stelde: “Dit symposium is boeiend en draagt enorm bij aan bewustwording van risico’s. Het is mooi dat uiteenlopende organisaties aanwezig zijn, dat we het onderwerp uit verschillende invalshoeken benaderen en dat we met elkaar mee kunnen denken. Er komt heel wat op ons af en dat maakt het ook lastig. Want het is niet het enige urgente dossier, terwijl corona nog steeds een grote impact heeft op de capaciteit in de zorg.”

Gerelateerde artikelen

GHOR Zuid-Holland Zuid
Prof. Kohnstammlaan 10
3312 KL  Dordrecht

GHOR in beweging