Cybersecurity ervaringen van  zorginstellingen in de VS

Een van de redenen waarom zorginstellingen kunnen worden gemotiveerd om informatiebeveiliging als een bedrijfsprioriteit te verheffen, is de alom tegenwoordigheid van aanvallen op de veiligheid. Feit is dat 80 procent van de zorginstellingen in 2016 toe gaf, dat hun organisatie een recent “significante security incident” had meegemaakt. Dit is de uitslag van een onderzoek dat gepubliceerd is in de 2016 HIMSS Cybersecurity Survey onder Ececutives (43%) en Non-executives (57%) bij zorginstellingen in de VS.

Recente belangrijke veiligheid incidenten

Gezien de gevoeligheid van dit onderwerp, is het begrijpelijk dat de respondenten terughoudend geweest kunnen zijn om deze informatie hier vrijwillig met de onderzoekers te delen. De feitelijke aanvallen kunnen daarom ook nog zijn ondervertegenwoordigd.

Cybersecurity ervaringen van zorginstellingen in de VS

Terwijl de zorginstellingen in het algemeen een goed begrip hebben van hun kwetsbaarheid, waren ze minder positief over hun vermogen hun IT-infrastructuur tegen cybersecurity aanvallen te beschermen.

In feite gaf 80 procent van de zorginstellingen in 2016 toe dat hun organisatie een recente “significante security incident” heeft ervaren.

Afgezien van de feitelijke ervaring met dit meest belangrijke security incident, hadden de respondenten de neiging om drie specifieke drijfveren te noemen, die het afgelopen jaar richtinggevend zijn geweest voor hun inspanningen in de informatiebeveiliging.
Dit zijn reacties op phishing-aanvallen, virus- / malware incidenten en het proactief aanpakken van de resultaten van een risicobeoordeling. Met het stijgen van deze aanvallen zoals te zien in het onderstaande diagram, is het geen verrassing dat de aanbieders gemotiveerd zijn om hun informatiebeveiliging te verbeteren.

pro-active-motivators, Cybersecurity ervaringen van zorginstellingen in de VS

De bevindingen van de 2016 Cybersecurity studie geven duidelijk aan dat de zorginstellingen tamelijk uniform zijn in het verhogen van informatiebeveiliging als een bedrijfsprioriteit. Deze bezorgdheid is met name afkomstig van een zorginstellingen die het meest gebruik maken van antivirus / malware en firewall tools waarmee ze hun informatie beveiligingsbehoeften aan pakken. Zij zien namelijk wat er op hen af komt.

Het gebruik van single sign-on technologie daarentegen ondervangt niet de noodzaak voor security awareness training voor de eindgebruiker en tot een goede wachtwoord hygiëne en security tips (zoals geen schouder surfen en geen post-its met de SSO-inlog gegevens op de PC).

Conclusie

Cybersecurity aanvallen hebben het potentieel om desastreuze gevolgen te hebben voor zorginstellingen en de samenleving als geheel. Het is absoluut noodzakelijk dat zorginstellingen  de noodzaak erkennen cybersecurity aan te pakken en dienovereenkomstig te handelen. Gelukkig bewijst deze studie de aanname dat zorginstellingen de maatregelen nemen om cybersecurity problemen aan te pakken. Er moet echter meer voortgang worden gemaakt, zodat de bedreigingen echt een stap voor kunnen blijven. Het geven van voorlichting middels training van gebruikers over de gevaren die hen bedreigen, en het verhogen van het risicobewustzijn is daar een belangrijke factor in.

Uit  andere onderzoeken blijkt namelijk dat de mens nog altijd een van de zwakste schakels in de IT-security keten is.