Cyberbeveiliging in de gezondheidszorg: beveiligingssystemen gezond houden

23.03.2022

Met moderne medische apparatuur die de levens van patiënten redt en nieuwe systemen die de manier waarop we informatie opslaan en delen stroomlijnen, wordt de moderne wereld steeds digitaler. Het mes van de digitale innovatie snijdt echter wel aan twee kanten; het stelt ons ook bloot en maakt ons kwetsbaar voor cyberaanvallen. Hacks die zich richten op zorgorganisaties zijn in opkomst, en het ziet er niet naar uit dat zij zich laten tegenhouden.

Van misleidende website en blinde vlekken in versleuteling tot phishing-aanvallen en ransomware, het beschermen van zorggegevens is een ware uitdaging. Maar als cyberaanvallen de potentie hebben miljarden euro's te kosten, de efficiëntie van ziekenhuizen aan te tasten en – uiteindelijk – de veiligheid van patiënten in gevaar te brengen, hoe beschermen we dan de reputatie van een ziekenhuis en zorgen we dat patiënten veilig zijn?

Algemene chirurgie, Keel, neus en oor, Gastro-enterologie, Urologie, Gynaecologie, Pulmonologie
  • Informatie delen:

Met de COVID-19-pandemie die de hele wereld in zijn greep hield, was het met name voor de gezondheidszorg een zwaar jaar. Digitale innovaties die bescherming van de volksgezondheid tegen COVID-19 ondersteunen, zijn omarmd en met een geweldig effect ingezet. Ze hielpen bij alles: van snelle casus-identificatie en de communicatie met het publiek tot het vertragen van besmetting binnen de bevolking 1 . En zelfs in een pandemievrije wereld hebben digitale innovaties de gezondheidszorg gerevolutioneerd door gegevensintegratie, betrokkenheid van patiënten en klinische zorg te ondersteunen – en zullen dat in de toekomst blijven doen.

In lijn met de toename van digitale technologie, wordt de dreiging van ransomware en andere cyberaanvallen echter ook steeds groter. Bovendien heeft de COVID-19-pandemie de perfecte omgeving gecreëerd voor opportunistische hackers. Zorgorganisaties zien een steeds grotere toename van cyberaanvallen als gevolg daarvan 2 . Het is zelfs zo dat het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) tijdens de COVID-19-pandemie een stijging in cyberaanvallen op ziekenhuizen en zorgnetwerken van 47% heeft waargenomen 3 .

De uitdagingen en gevolgen van cyberaanvallen
De gezondheidszorg is een van de meest aangevallen sectoren als het gaat om cybermisdaad. In tegenstelling tot vele andere sectoren gaan de gevolgen van cyberaanvallen echter veel verder dan financiële verliezen alleen. Zij bedreigen namelijk de veiligheid, efficiëntie, reputatie en economie van ziekenhuisorganisaties door de privacy van patiënten, klinische resultaten en de financiële middelen te ondermijnen (afbeelding 1). In de gezondheidszorg is een verstoorde verlening van diensten (bijv. toegang tot patiëntdossiers) niet alleen een ongemak, maar ook een hele grote bedreiging voor het vermogen om zorg te leveren aan patiënten en maakt deze patiënten kwetsbaar voor frauduleuze activiteiten. Het proberen te beheersen van de dreiging van cyberaanvallen en tegelijkertijd hoge zorgstandaarden in stand houden is een enorme taak voor de ziekenhuisorganisaties. Daarnaast worden de gevolgen voor alle betrokkenen steeds schadelijker nu de aanvallen almaar geraffineerder worden.

In 2019 hebben onderzoekers bijvoorbeeld laten zien hoe een aanvaller gebruik kon maken van artificiële intelligentie (AI) om bewijs van medische aandoeningen toe te voegen aan of verwijderen van medische 3D-scans 4 . Het zorgelijke is dat de auteurs van de paper suggereren dat een dergelijke aanval kan worden ingezet om de patiëntveiligheid in gevaar te brengen, en zelfs om moorden te plegen. Hoewel dit specifieke type aanval nog niet is gemeld, gaf een waarschuwing in 2018 van de Amerikaanse Food and Drug Administration (FDA) een overzicht van de kwetsbaarheden bij een bepaald type implanteerbare hartapparaten die ervoor zorgen dat de functionaliteit op afstand kan worden gemanipuleerd 5 .

Een van de meer recente, grootschalige cyberdreigingen was de WannaCry ransomware-aanval in 2017 op de Nationale Gezondheidsdienst (NHS) in het Verenigd Koninkrijk. Deze aanval resulteerde in de annulering van bijna 20.000 afspraken, de sluiting van spoedafdelingen en het omleiden van ambulances met spoed naar verder gelegen ziekenhuizen6. Hoewel lastig te beoordelen is wat de volledige impact is geweest van dit incident, zijn de enorme verstoringen in de patiëntenzorg onmiskenbaar en lopen de geschatte kosten op tot minstens £92 miljoen 6 .

Afbeelding 1. Mogelijke uitdagingen en gevolgen van cyberaanvallen op ziekenhuisorganisaties

Cyberaanvallen kunnen enorme financiële gevolgen hebben. Hackers kunnen rechtstreeks losgeld eisen en toegang tot ziekenhuizen blokkeren tot het losgeld is betaald. Bescherming van digitale gegevens is van essentieel belang, en ziekenhuizen kunnen ook miljoenen mislopen door verloren inkomsten als gevolg van aanzienlijke boetes in overeenstemming met de AVG-beveiligingsregels van de EU. Vanuit het oogpunt van patiënten kunnen identiteitsfraude of gesaboteerde persoonlijke en medische gegevens ernstige invloed hebben op hun persoonlijke leven, waaronder bijvoorbeeld bij verzekeringsaanvragen en sollicitaties. Het beschermen van gegevens is daarom cruciaal bij het beschermen van de reputatie van een ziekenhuis.

Van misleidende websites en blinde vlekken in versleuteling tot phishing-aanvallen en ransomware, de uitdagingen voor de beveiliging van digitale gegevens zijn eindeloos en wordt een steeds grotere zorg nu de wereld steeds digitaler wordt. Heel veel moderne medische apparatuur, waaronder patiëntbewakingsapparaten, infusiepompen en CT-scanners, zijn verbonden met het netwerk. Met meer verbonden technologie, maar ook het verplaatsen van informatie naar virtuele en cloud-systemen, komen er weer nieuwe kwetsbaarheden bij.

Hoe houden complexe ziekenhuisorganisaties hun gegevens en patiënten veilig in onze moderne, steeds digitalere wereld?

Ziekenhuis IT-infrastructuur van hoge kwaliteit
Het inperken van de cybercrime-dreiging is afhankelijk van een IT-infrastructuur van hoge kwaliteit. Dit omvat alles van hardwareplatforms en software-applicaties tot verbonden apparaten, besturingssystemen, netwerkverbindingen en telecommunicatiemiddelen. Het is echter niet genoeg om gewoonweg IT-beveiligingssystemen van hoge kwaliteit te integreren. Ze moeten voortdurend bewaakt en bijgewerkt worden. Daarnaast kunnen verbonden apparaten ook fungeren als zwakke punten in de beveiligingsketen waardoor malware zich kan verspreiden. Geavanceerde versleutelingssoftware kan helpen bij het beveiligen van de communicatie tussen verbonden apparaten en applicaties en diensten.

Aanbieders van medische oplossingen, zoals Olympus, bieden niet alleen kwaliteitshardware en -software gekoppeld met de meest recente beveiligingsfuncties, zij bieden ook geautomatiseerde beveiligingspatches, virusupdates en dagelijkse rapporten via Windows Server Update services om een toekomstbestendige bescherming te garanderen. Daarnaast is een onverenigbaarheid tussen een Windows-beveiligingspatch en Olympus zeer ongebruikelijk. Maar om die verenigbaarheid te garanderen voert Olympus maandelijks tests uit bij de Windows-beveiligingsupdates. Voor het merendeel van de communicatie tussen applicaties en diensten maakt Olympus ook gebruik van een Windows Communication Foundation (WCF)-kader. Dit gecertificeerde beveiligingskader is er om er zeker van te zijn dat alleen geauthenticeerde apparaten toegang hebben tot het systeem. Daarnaast zijn al deze communicatiekanalen versleuteld met SHA-2.

Het toenemende gevaar dat cyberaanvallen vormen, is deels het gevolg van aanhoudend gebruik van verouderde software. Hoewel automatische updates en verenigbaarheidstests bedrijven kunnen helpen bovenop beveiliging te zitten, is het van essentieel belang dat leveranciers na de verkoop blijven samenwerken met ziekenhuisorganisaties. Olympus biedt voortdurend tests en architectuurbeoordelingen om er zeker van te zijn dat producten en systemen veilig blijven en werkt er tegelijkertijd voortdurend aan om op proactieve wijze risico's te identificeren.

Privacybewuste gegevensuitwisseling en -opslag in de gezondheidszorg
Terwijl de hoeveelheid elektronische informatie gegenereerd door zorgprocessen (operaties, chirurgische apparatuur, medische hulpmiddelen, draagbare apparaten, etc.) toeneemt en patiëntgegevens steeds digitaler worden, is er een toenemende behoefte aan veilige gegevensopslag. Om samenwerking en patiëntenzorg te ondersteunen, moeten gegevens wel eenvoudig toegankelijk zijn voor de juiste mensen. Een van de grootste uitdagingen voor ziekenhuisorganisaties is dan ook het zorgvuldig in evenwicht houden van gemakkelijke toegang en privacybewuste gegevensuitwisseling en -opslag.

Het eenvoudig en veilig delen van zorggegevens is afhankelijk van het kiezen van het juiste contentmanagementsysteem. Bovendien kan het juiste platform de efficiëntie verbeteren, eenvoudig worden geïntegreerd in bestaande systemen en extra functies bieden, zoals sterke werkstroomhulpmiddelen, een intuïtieve contenteditor en cyberbeveiliging op het niveau van de gezondheidszorg.

VaultStream van Olympus stelt gebruikers in staat full HD klinische beelden en video's op te slaan, te beheren, te bewerken en te delen tussen afdelingen. Het centraliseren van uw opslag via een ziekenhuisbrede beheeroplossing voor medische content verbetert de bescherming van uw opgeslagen media, aangezien het eenvoudiger wordt om alles te beheren en de beveiliging up-to-date te houden. Bovendien biedt VaultStream IT-beveiliging van ziekenhuiskwaliteit die naleving van de AVG ondersteunt door te voldoen aan de hoogste normen voor informatiebeveiliging en privacy.

Dit omvat slimme (of ‘smart’) systeemintegratietechnologie, die overal in de communicatie van het opnameapparaat (nCare) en VaultStream gegevensintegretiteit garandeert. Daarnaast hervat de overdracht na een stroomonderbreking of netwerkcrash automatisch vanaf het storingsmoment als eenmaal opnieuw verbinding is gemaakt. Clinici kunnen erop vertrouwen dat alle procedurevideo's overal en altijd beschikbaar zijn door de automatische functie voor video-opname op de achtergrond die in de innovatieve EasyPost-videoproductiefuncties is geïntegreerd.

Invulling geven aan wie, wanneer en hoe gebruikers toegang hebben tot gegevens is een integraal onderdeel van beveiligingsbeheer. Toegangscontrole zorgt ervoor dat gebruikers geverifieerd worden door middel van authenticatiebeheer en zorgt ervoor dat alleen de juiste en geautoriseerde personen toegang hebben tot zorggegevens. Wanneer de inloggegevens van een gebruik worden doorgestuurd naar de VaultStream-server voor authenticatie, worden ze doorgestuurd via een versleuteld kanaal om zo te garanderen dat ze veilig blijven. Daarnaast kan toegangscontrole worden beheerd via op maat gemaakte rolspecifieke toegang gekoppeld aan individuele gebruikersaccounts.

Ziekenhuiswerkstromen stroomlijnen
Slechte software-integratie kan een hele reeks aan kwetsbaarheden opleveren waarvan hackers gebruik kunnen maken. Het efficiënt integreren van software zou daarom een prioriteit moeten zijn voor ziekenhuisorganisaties bij het aanpakken van cyberbeveiligingskwesties. Dit om ervoor te zorgen dat alle componenten in harmonie samenwerken bij het behouden, of mogelijk verbeteren van de productiviteit en functionaliteit. De complexiteit van ziekenhuisorganisaties, wettelijke eisen en gestandaardiseerde informatieformats kan integratie van nieuwe software echter lastig maken. ENDOBASE van Olympus is een softwareplatform dat de volledige endoscopie-workflow stroomlijnt en ondersteunt, waarmee de IT-infrastructuur en beveiliging beheersbaarder worden. Bovendien is ENDOBASE ontworpen om te worden geïntegreerd in bestaande systemen, zoals het ziekenhuisinformatiesysteem (ZIS) of het beeldenarchief (PACS of Vendor Neutral Archive). Daarnaast is ENDOBASE ontworpen om veilig te worden uitgevoerd op een werkelijke of virtuele server, waarmee beveiligingsonderhoud en back-ups worden vereenvoudigd.

VaultStream maakt ook integratie met de ZIS-, PACS- en VNA-systemen mogelijk. Het beheren van procedurebeelden en -video's gekoppeld aan patiëntgegevens in één centrale bibliotheek helpt clinici snelle en geïnformeerde beslissingen te nemen en verbetert de opslagefficiëntie door alleen relevante opnamen op te slaan in het ZIS/PACS.

Bruikbaarheid van zorgapparatuur en -software
Hoewel nieuwe software vaak beschikt over indrukwekkende beveiligingsfuncties, moet de software ook nog eenvoudig zijn in het gebruik. Niet alleen helpt een bruikbaar systeem zorgprofessionals effectief te werken met software, het beperkt ook onbedoelde fouten die anders de veiligheid in het gedrang zouden kunnen brengen tot een minimum.

Bruikbaarheid staat of valt met een goed ontworpen interface. Hytrack van Olympus kan worden gebruikt als eenvoudig te gebruiken interface voor ENDOBASE of andere documentatiesystemen die niet van Olympus zijn. Zorgprofessionals kunnen op elk moment veilig en beschermd de reprocessingstatus van hun endoscopen bekijken door middel van een intuïtieve app-based interface met touchbediening. Op hun beurt kunnen ziekenhuisorganisaties profiteren van dat er minder tijd hoeft te worden besteed aan administratie en een optimale inzetbaarheid van apparatuur, waarbij wordt voldaan aan de voorschriften van de AVG.

VaultStream beschikt ook over een eenvoudig te gebruiken interface en over een hele reeks functies die de administratie verbeteren en vereenvoudigen. Met VaultStream EasyView, bijvoorbeeld, kunnen clinici eenvoudig zoeken naar procedures, beelden en video's, stills vastleggen, labels toevoegen en nieuwe en eerdere opnames naast elkaar met elkaar vergelijken. Het beschikt ook over een simpele en toch krachtige videobewerkingsapplicatie (EasyCut) die clinici helpt hoogwaardige presentaties te maken voor onderwijsdoeleinden, professionele bijeenkomsten, chirurgische documentatie en voor samenwerkingen met collega's.

Overzicht

Digitale en verbonden technologieën zijn in opkomst, en niet zonder goede reden. Bij het steeds meer en groter werken met een verbonden gezondheidszorgsysteem moet echter een zorgvuldig evenwicht worden bewaard met actuele beveiliging, privacy en naleving van voorschriften voor gegevensbescherming. Bij Olympus staat beveiliging centraal bij het productontwerp en worden beveiligingsmechanismen in alle apparaten en software geïntegreerd. We werken na de verkoop samen met onze klanten om ervoor te zorgen dat de beveiliging voortdurend op een hoog niveau blijft en beschermen daarmee de reputatie van ziekenhuizen, we beschermen financiën en we helpen te zorgen voor optimale en ononderbroken patiëntenzorg.

Referenties

  1. 1.Digital technologies in the public-health response to COVID-19. Budd, J. et al. Nature Medicine vol. 26 1183–1192 (2020).
  2. 2.U.S. Department of Health and Human Services - Office for Civil Rights U.S. Department of Health and Human Services - Office for Civil Rights
  3. 3.Serious cyberattacks in Europe have doubled in the past year - CNN. Nick Paton Walsh CNN
  4. 4.CT-GAN: Malicious Tampering of 3D Medical Imagery using Deep Learning Mirsky, Y., Mahler, T., Shelef, I. & Elovici Proc. 28th USENIX Secur. Symp. 461–478 (2019).
  5. 5.Security Bulletins - Conexus Telemetry and Monitoring Accessories | Medtronic. Medtronic Medtronic
  6. 6.Healthcare Challenges in the Era of Cybersecurity Tully, J., Selzer, J., Phillips, J. P., O’Connor, P. & Dameff, C. Heal. Secur. 18, 228–231 (2020).