Cyber security en de medische sector – boeiend onderzoek

HIMSSCybersecuritysurvey2016-415Je hoeft niet eens te wijzen op de recente cryptoware aanvallen op ziekenhuizen om duidelijk te maken dat de gezondheidszorg een logisch aanvalsdoel is voor cybercriminelen. In de medische sector is gewoon veel data te halen die op de ondergrondse markten veel geld waard is.

Target nummer uno is en blijft daarbij de sector in de VS. Alleen al om de enorme hoeveelheid data die daar verplicht wordt ingevoerd alvorens tot een consult of behandeling over te kunnen gaan is dat voor datagraaiers, bendes gespecialiseerd in ID fraude en CC handelaren the place to be. Logisch dus ook dat in reactie daarop die sector onder permanente druk van overheid, pers en derden staat de IT kant van de business veilig te houden. Waartoe dat leidt is te lezen in het recent verschenen onderzoek van HIMMS (Healthcare Information and Management Systems Society), een non profit club die met +64.000 leden werkt aan verbetering van de sector door verantwoord IT gebruik.

Het door derden uitgevoerde onderzoek (pdf link) heeft de volle breedte van de sector onderzocht, dus van eerste hulp tot afgeleidde dienstverlening (ze noemen het acute care provider of non-acute provider). Dat levert resultaten op die op het eerste gezicht lastig te interpreteren zijn, bij ons is de zorg anders ingericht. Toch zitten er een paar bevindingen in die je als hosting provider of als datacenter aan het denken kunnen zetten. De meest opvallende daarvan lijkt te zijn het item encryptie. In de VS gelden net als in Nederland met NEN regels voor de veilige omgang met en opslag van medische data. Dus op de vraag of data is encrypt verwacht je antwoorden ver boven de 90%. Niet dus! Beide types providers opgeteld komt de score tot 64% encryptie voor data in transit en 58,7% encryptie voor data in rest.

Denk daar eens over na en kijk naar wat je zelf gebruikt aan hardware en software voor je klanten. Grote kans dat data encryptie in enige vorm daar wel deel van uit maakt. En in principe is die storage server of VM echt niet veel anders dan wat een ziekenhuis gebruikt. Dus waar komt dat verschil vandaan? Op basis van het HIMMS onderzoek kun je voorzichtig stellen dat tientallen procenten van de medische instellingen waarschijnlijk in strijd met de geldende HIPAA normen handelen en door het gebrek aan encryptie bepaalde vormen van cybercrime wel erg snel lonend maken.

Je kunt met die kennis natuurlijk ook aan de slag gaan en bij je klanten in de medische sector eens polsen of zij nog behoefte hebben aan de uitleg over de voordelen van data encryptie.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.