De rol van een CISO in healthcare

Kurt Gielen is IT-manager in het Ziekenhuis Oost-Limburg en combineert dat met de rol van CISO. Dat is eigenlijk niet ideaal. Een CISO staat idealiter buiten het hele IT-gebeuren en bekijkt het vanop een afstand zodat hij IT kan challengen. Die spanning zorgt voor grote vooruitgang. Vandaar dat de twee functies in het ideale geval gescheiden zijn.

‘Binnen de rol van CISO probeer ik het bewustzijn over cybersecurity te vergroten. Door toegenomen informatisering en digitalisering én door recente incidenten is de aandacht voor cybersecurity toegenomen. In veel grote ondernemingen groeit het besef dat een CISO wel degelijk een belangrijke rol heeft. Maar in healthcare is er helaas nog werk aan de winkel om directies en raden van bestuur te overtuigen van het belang van cybersecurity’, aldus Gielen. ‘Chief Information Security Officer is een rol die in healthcare voorlopig weinig voorkomt.’

Word je als CISO in een ziekenhuis met specifieke uitdagingen geconfronteerd?

‘Een ziekenhuis is een complexe omgeving. Een groot ziekenhuis zoals het onze is een stad in het klein. We doen van alles: logistiek, transport, IT, voeding, zorg... We gaan met heel vertrouwelijke informatie en data om en zijn tegelijk publiek toegankelijk. Iedereen wandelt hier zomaar binnen en buiten. Bovendien hebben we een atypisch werknemersveld. Artsen staan als zelfstandigen vaak niet op de payroll en ze voelen zich minder onderworpen aan corporate policies. Maar ze spelen tegelijk wel een cruciale rol in de werking en financiering van ons ziekenhuis. Daarnaast hebben we tamelijk veel medewerkers die hier maar kort werken zoals stagiairs en studenten.’

Jouw team heeft geen eenvoudige opdracht?

‘Voor de opdracht die we moeten vervullen moeten we heel secuur met onze budgetten omgaan en selectief zijn in wat we wel en niet doen. Binnen het ZOL werken we met een IT-team  van een kleine 50 medewerkers die op een behoorlijk hoog operationeel en technisch niveau opereren en doeltreffend werken. Dat klinkt goed, maar op een totaal van 5.000 medewerkers is dat toch redelijk weinig. Ons team moet instaan voor de fysieke installaties van een netwerk van 4.000 pc’s op vier campussen. We onderhouden honderden servers in 5 verschillende datacenters en zorgen ervoor dat honderden applicaties blijven draaien.’

‘We werken zoals gezegd met heel kritische data, vaak de meest intieme gegevens die een mens kan hebben. En die moet je beschermen met een budget dat behoorlijk spartaans is, in een sector die op het vlak van cybersecurity vrij immatuur is.’

Healthcare staat nog niet ver genoeg op het vlak van cybersecurity?

‘Security komt door de beperkte middelen helaas niet altijd op de eerste plaats. In Nederland zou de IT-afdeling van een vergelijkbaar ziekenhuis uit 300 mensen bestaan. In kleinere regionale ziekenhuizen in ons land bestaat de IT-dienst uit hooguit vijf mensen. Zo is het natuurlijk moeilijk om een consistent beleid uit te werken. Dat de rol van CISO in veel ziekenhuizen nog niet bestaat, helpt natuurlijk ook niet.’

‘Ik merk ook dat elk ziekenhuis zijn eigen beleid voert. We doen allemaal dezelfde oefeningen, we vinden het wiel telkens opnieuw uit en dat zorgt voor veel overhead. Om in de sector draagvlak te creëren moeten we één en ander op gang trekken buiten de grenzen van ons eigen ziekenhuis. We proberen dat bijvoorbeeld te doen onder de paraplu van de Cyber Security Coalition waarin we een healthcare specifieke focusgroep hebben met een aantal werkgroepen rond specifieke thema's. Daar proberen we alignering over de sector na te streven alsook een forum te zoeken waar we van elkaar kunnen leren.’

In welke mate houdt een ziekenhuis rekening met een mogelijke cyberaanval?

‘We houden daar heel actief rekening mee en investeren relatief veel ressources en tijd in het voorkomen ervan. Sinds Covid zijn ziekenhuizen vaak slachtoffer van ransomware. Ze lijken een gemakkelijk slachtoffer en de impact van een cyberaanval is groot, omdat het om mensenlevens gaat. Bovendien werken ziekenhuizen met heel kritische gegevens en zijn ze erg gedigitaliseerd. Elk proces heeft bij ons een digitale component en dat maakt dat cybercriminelen veel potentiële toegangen hebben.’

‘Een cyberaanval wordt nog te vaak gezien als iets eenmaligs. Het leidt nog niet naar een structureel beleid. Wij proberen wel de juiste beschermingstechnieken op punt te zetten en we zorgen dat we er klaar voor zijn. Maar als sector zijn we nog te reactief. We werken ook heel vaak met zogenaamde legacy systemen, toestellen die nog werken met software van 20 jaar geleden. Het gaat dan om medisch gecertifieerd materiaal waaraan we niets mogen veranderen.’

‘Gelukkig groeit het besef dat we snel stappen moeten nemen. We zijn er contentieuzer mee bezig dan de gemiddelde KMO. Maar als we naar concrete maatregelen of implementatie kijken, zitten we bv. nog niet op de niveau van de banken, terwijl we nochtans met even gevoelige data omgaan.

Welke evolutie baart je het meest zorgen op het vlak van cybersecurity?

‘Enerzijds de complexiteit van alles. Je moet je tegen alle mogelijke aanvallen verdedigen, zorgen dat alles goed dicht zit, terwijl een aanvaller maar één opening nodig heeft om zijn ding te doen. De oplossingen worden steeds geavanceerder, maar helaas ook steeds duurder. En het blijft iets heel ontastbaar. Wanneer heb je voldoende maatregelen genomen? En zijn dat ook de juiste maatregelen? Dat is heel moeilijk te kwantificeren en vergt veel expertise die in onze sector nog onvoldoende aanwezig is. Als er ooit een succesvolle aanval plaatsvindt, kunnen we alleen maar zeggen dat we naar de geldende praktijken het maximale hebben nagestreefd, maar desondanks moeten we vaststellen dat het niet volstond.’

‘En verder verontrust het gemak me waarmee de aanvallen as a service kunnen aangekocht worden. Iedereen kan op het internet aanvalspakketten kopen aan heel lage prijzen. Cybercrime is een enorme business en je komt er al bij al vrij straffeloos mee weg.’