Ransomware: hoe je er tegen te wapenen zonder dat het onwerkbaar wordt?
U mag het eerlijk weten, maar ransomware zie ik als dé grootste directe bedreiging voor een organisatie.
De impact op een organisatie is enorm en het kost heel veel tijd en inzet om eventueel verloren data te herstellen. De oorzaak dat ransomware zoveel schade kan aanrichten komt veelal door de combinatie van een gebruiker met te veel (administrator) rechten en een verouderde windows versie.
De NEN 7510 / ISO 27001 normen zeggen er het volgende over:
10.4.1 Maatregelen tegen kwaadaardige programmatuur ‘Er behoren maatregelen te worden getroffen voor detectie, preventie en herstel om te beschermen tegen virussen en andere kwaadaardige programmatuur en er behoren geschikte maatregelen te worden getroffen om het risicobewustzijn van de gebruikers te vergroten.‘
‘Beveiliging’ en ‘werkbaar blijven’ staan loodrecht tegenover elkaar op dit onderwerp en dat maakt het een van de lastigste onderwerpen om op goede wijze te implementeren in een organisatie. Windows bevat echter sinds enkele jaren de AppLocker functie waarmee het technische deel grotendeels ondervangen kan worden en het ondertussen werkbaar blijft.
Hoe ziet het er dan uit ?
– Windows 2016 met Domein en Applocker beleid.
– Werkstations.
– Minimaal Windows 8.1 Enterprise.
– Of Thin-clients i.c.m Remote Desktop (let dan op met externe apparatuur).
– Gebruikers: rechten goed regelen en administrators hebben geen e-mail account.
Bovenstaande is slechts een deel van de oplossing, zoals wij die onder anderen geïmplementeerd hebben in Tandarts in de Wolken.
De vraag is echter of u als praktijk dit wel allemaal onder uw beheer wilt hebben?
Systeembeheer en security is een vak en geen hobby.
Peter de Jong
directeur Tandarts in de Wolken bv
ervaringsdeskundige NEN & ISO
spreker over privacy en security.
Februari 2018 NT no.2
Verwerkersovereenkomsten en sub-verwerkers
U heeft natuurlijk met al uw verwerkers een verwerkeringsovereenkomst afgesloten en u hebt zich terdege gerealiseerd dat ook u onderdeel van een keten bent als het gaat om het uitwisselen van privacy gevoelige patiëntgegevens.
Uit de template KNMT verwerkersovereenkomst november 2017 komt het volgende artikel:
“6.2 Opdrachtnemer zal aan de door hem ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door de derde. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd”.
Boven u in die uitwisselingsketen staat Vecozo; zij leveren u doormiddel van onder andere de C.O.V. koppeling actuele patiënteninformatie. En boven Vecozo staan dan weer de zorgverzekeraars en de Basisregistratie Personen (BRP). Natuurlijk hebben de zorgverzekeraars en de overheid met de wetgeving in de hand afspraken met Vecozo gemaakt over de doorgifte van patiëntgegevens en u kunt er donder op zeggen dat daarin staat dat Vecozo minimaal dezelfde of strengere verplichtingen aan een sub-verwerkers zal moeten stellen. U raad het misschien al, maar die sub-verwerker bent u.
U krijgt hier vroeg of laat mee te maken. Vecozo heeft al een forse schoonmaak onder software leveranciers en tussenpartijen gehouden. Met als gevolg dat de meeste partijen hun zaakjes niet alleen praktisch, maar ook op papier op orde hebben gebracht. Vecozo zal dus ook bij u gaan toezien op de naleving.
Vecozo heeft al gedreigd partijen uit te sluiten van hun dienstverlening als niet aan hun voorwaarden voldaan wordt.
Wees gewaarschuwd !!!
Peter de Jong
directeur Tandarts in de Wolken bv
ervaringsdeskundige NEN & ISO
spreker over privacy en security.
Januari 2018 NT no.1
Eerste tandarts heeft een boete van de Autoriteit
Bovenstaande kop is op het moment van schrijven gelukkig nog geen werkelijkheid. Toch is het niet zozeer de vraag of er een boete uitgedeeld gaat worden, maar eerder wanneer.
Als ik met klanten in gesprek ben over onderwerpen als privacy, datalekken en beveiliging dan valt op dat zij de relatie en samenhang tussen die onderwerpen onderschatten. Klanten zijn beducht voor een datalek en zijn zich bewust van eventuele boetes, maar tegelijkertijd realiseren ze zich niet, of onvoldoende, dat de procedures om dergelijke datalekken te voorkomen allang in hun praktijk gebruikt zouden moeten zijn.
De ‘KNMT-richtlijn Patiëntendossier (herziening 2014)’ praat al over de NEN 7510 en het privacybelang bij gebruik van een EPD. Als je dan even googelt via ‘is NEN 7510 verplicht’ komt je uit bij de term ‘Goed Beheerd Zorgsysteem’ en als je dat leest bent u weer terug bij de NEN.
Mondzorg is altijd een ondergeschoven kindje geweest in het ICT landschap van de overheid (met uitzondering rondom de invoering van het BSN, maar dat is een ander verhaal). De Mondzorg opereert eigenlijk in een eigen gebied, zonder veel vertakkingen met zorgverleners uit andere disciplines. Dat maakt ook dat ze achterlopen op het gebied van de implementatie van de diverse normen; de noodzaak lijkt gering.
Die noodzaak gaat echter op korte termijn wijzigen; als de mondzorg gebruik wil gaan maken van een LSP dan gaat een NEN 7510 of ISO 27001 een rol spelen.
Vecozo zou ook zomaar binnen een paar jaar kunnen eisen dat een bepaalde norm vereist is om met hen te communiceren. Dat is niet vreemd als je je bedenkt dat Vecozo veel informatie aan een praktijk levert zoals COV. Ook Vecozo wil op termijn zeker weten dat die informatie niet bij partijen komt die daar niets mee van doen hebben.
Informatiebeveiliging in de mondzorg is dus een zaak van iedereen , daar kan ondertussen niemand meer omheen.
Peter de Jong
directeur Tandarts in de Wolken bv
ervaringsdeskundige NEN & ISO
spreker over privacy en security.
10 november 2017 NT no.18
Hansje B. stopt privacylek door vinger in de dijk
Het eerste waar u als praktijk tegenaan zult lopen als u zich verdiept in de wet- en regelgeving rondom privacy en informatiebeveiliging is; ‘waar moet ik in vredesnaam mee beginnen?’ Een reglement? Of toch eerst een handboek IT?
Op het eerste gezicht komt er ontzettend veel op uw organisatie af, zonder dat direct duidelijk is wat nu een logische volgorde is om zaken aan te pakken. Onderstaande stappen maken het iets inzichtelijker.
Stap 1; bewustwording.
Als uw organisatie inziet dat informatiebeveiliging noodzakelijk is, dan is de eerste stap gemaakt. Over de praktische uitvoering zullen we het nog niet hebben, dat wordt meestal vanzelf duidelijk. Het feit dat iedereen in uw organisatie het nut en de noodzaak van informatiebeveiliging inziet, is de belangrijkste stap voorwaarts.
Stap 2; risico’s in kaart brengen.
Als u zich eenmaal bewust bent van de noodzaak, is de volgende stap: het in kaart brengen van de risico’s. De wet- en regelgeving gaat heel ver, maar een aanpak waarbij je van binnen naar buiten werkt kan ook en dat bespaart veel overbodige acties.
Stap 3; Hansje B. in actie.
Uit de risicoanalyse komen de pijnpunten in uw organisatie naar voren, tegelijkertijd zie je dan ook een scheiding ontstaan in het proces. De praktische invulling versus de theoretische beschrijving van de processen. Mijn advies is om dan plan Hansje B. te activeren; welke data is belangrijk en welke data is relatief onbeschermd? Staan er belangrijke gegevens op USB drives? Hoeveel kopieën zijn er eigenlijk? Wie heeft er allemaal een kopie? Als je een kopie op straat zou verliezen, kan iedereen deze dan lezen? Maar ook; wie kan er van binnen en buiten in mijn netwerk? Is er WIFI aangesloten op het praktijknetwerk? Etc.
Peter de Jong
directeur Tandarts in de Wolken bv
ervaringsdeskundige NEN & ISO
spreker over privacy en security.
24 november 2017 NT no.19