De reis naar informatieveiligheid: Webinar door IVGZ, Z-CERT en NEN

Cyberweerbaarheid is essentieel voor het veilig houden van de zorg. Maar waar begin je als je wilt werken aan cyberweerbaarheid? Wat heb je nodig aan middelen, kennis, vaardigheden? Welke hulpmiddelen zijn beschikbaar? IVGZ, NEN en Z-Cert zien alle drie vragen over het verbeteren van de informatieveiligheid op zich afkomen. Daarom hebben deze organisaties de handen ineen geslagen en delen ze hun gedachtengoed, methodieken en tools in een webinar.

Reismetafoor

In het webinar vergelijken Rozie, Brouwer en Gouwens het werken aan cyberweerbaarheid met een reis, of een expeditie. De persoon die binnen de zorgorganisatie wat dit betreft de kar trekt, dopen zij Sjaak. ‘Degene die de Sjaak is, stelt zich dus vragen als: “Waar start ik de reis naar informatieveiligheid en privacy, wie heeft er een routekaart? En wat is het weerbericht, wat zijn actuele dreigingen?’, aldus Rozie.

Vertrekpunt: NEN 7510

Een logisch startpunt bij het werken aan cyberweerbaarheid is voor velen de Nederlandse norm voor informatiebeveiliging in de zorg: NEN 7510. Gouwens: ‘Vaak is er al iets voorgevallen als organisaties met de norm aan de slag gaan, zoals ongemelde datalekken. De norm helpt vervolgens om samenhang en structuur aan te brengen.’

Bestuurders willen graag aan de norm voldoen, ziet Gouwens. ‘Maar dat gaat niet van de ene op de andere dag, omdat NEN 7510 alomvattend is. Daarom is het belangrijk eerst te inventariseren wat er op de organisatie afkomt. En welke onderdelen het meest prioriteit hebben, gezien de beperkte tijd, middelen en capaciteit.’

Bij het gaan voldoen aan de norm, kan het Stappenplan Implementatie NEN 7510 behulpzaam zijn (zie figuur 1, en deze NEN-pagina).

Overigens verwacht de IGJ niet van zorgorganisaties dat ze per direct voldoen aan alle eisen uit de NEN 7510 zegt Gouwens. ‘De inspectie wil vooral lerende organisaties zien.’

Technische weerbaarheid en routines

De NEN 7510 kan worden gebruikt om risico’s te detecteren, stelt Brouwer. Die risico’s kun je deels afdekken met technische maatregelen, zoals bijvoorbeeld IAM (identiteits- en toegangsbeheer) en MFA (multifactor-authenticatie). Dergelijke maatregelen zijn preventief: ze voorkomen incidenten of maken de kans erop kleiner. Als de technische weerbaarheid niet op orde is, leidt dat onherroepelijk tot meer cybersecurity-incidenten, zo maakt Brouwer duidelijk.

Doet zich toch een incident voor, dan komt het aan op de veerkracht en routines binnen de zorgorganisatie. Is het bijvoorbeeld duidelijk wat de procedures zijn om incidenten af te handelen, en wie daarbij wat doet? (Zie figuur 2.)

Bij de NEN 7510 gaat overigens het niet alleen om eisen en maatregelen, maar ook om de naleving daarvan, benadrukt Gouwens. Hij geeft een voorbeeld: ‘Medewerkers moeten hun scherm vergrendelen als ze van hun bureau weggaan. Die afspraak komt uit de NEN 7510. Maar om naleving te bereiken, moet je aan de slag met het gedrag van medewerkers.’

Wegwijzer voor gedragsverandering

Daarnaast zijn er ook ‘zaken zijn die enkel verbeterd of voorkomen kunnen worden door te sleutelen aan gedrag’, stelt Rozie. Als voorbeeld noemt ze phishing. ‘Dankzij kunstmatige intelligentie worden phishing-berichten steeds mooier. Daarmee groeit ook de verleiding om erop te klikken. Zoiets kun je enkel voorkomen door te werken aan gedrag.’

De basis voor informatieveilig gedrag in de zorg is de Wegwijzer (zie figuur 3), die bestaat uit zes stappen: 1) voorbereiding; 2) doelgedrag bepalen; 3) gedragsfactoren onderzoeken; 4) interventies kiezen; 5) interventies uitvoeren; 6) verankeren en rapporteren. Rozie: ‘De derde stap is de allerbelangrijkste. Je gaat dan collega’s bevragen, hun gedrag onderzoeken. Stel, ze melden datalekken vaak niet. Hoe komt dat? Weten ze misschien niet wat een datalek is? Of wat persoonsgegevens zijn? Op basis van de uitkomsten van de gesprekken met collega’s kies je vervolgens een interventie. Als je zo heel gericht te werk gaat, vergroot dat de kans op goede resultaten.’

De interventie kan ook zijn dat je ‘teruggaat’ naar de techniek of naar het proces, zegt Rozie. Zo kan het nodig zijn om eerst afspraken in beleid vast te leggen, voordat je medewerkers op gedrag kunt aanspreken.

Mensen, processen, techniek

Idealiter pakt Sjaak drie verschillende gebieden integraal en tegelijkertijd aan: techniek, mensen/gedrag en processen, stelt Brouwer. Aan de hand van een ‘bierviltjesmodel’ (zie figuur 4), gebaseerd op de cyber capabilities maturity matrix, legt hij uit dat organisaties zichzelf voor elk gebied kunnen inschalen op een niveau van 1 tot en met 4, waarbij 4 het hoogst is. ‘Ze kunnen dit model gebruiken in hun reis naar cyberweerbaarheid door zich vragen te stellen als: hebben we mensen die getraind zijn in crisissituaties? Hebben we processen om cyberincidenten routinematig af te handelen?’

Hij licht toe dat je eerst vaststelt op welke niveaus de organisatie acteert. En dat je vervolgens afspreekt wat de gewenste niveaus zijn, en hoe je daar komt. ‘Het tempo daarbij bepaal je zelf. Zo helpt dit model je om de reis voorspelbaarder te maken.’

Om aan de NEN 7510 te voldoen, is het noodzakelijk om op alle niveaus een 3 of 4 te scoren.

Lakmoesproef en conversation starter

Het ‘bierviltjesmodel is niet alleen een lakmoesproef, maar ook een conversation starter. Brouwer: ‘Uit ervaring weten we dat CISO’s en bestuurders de niveaus waarop de organisatie functioneert vaak niet hetzelfde inschatten. Dat is een mooi vertrekpunt voor een intern risicogesprek.’

Dan is het wel belangrijk dat je als Sjaak dat gesprek durft aan te gaan. ‘Dit vraagt om de nodige skills’, zegt Rozie. ‘Welke dat zijn en hoe je deze ontwikkelt, staat te lezen in het Competentiekompas van IVGZ.’

Goedgevulde toolkit

Brouwer concludeert dat Sjaak ‘best een goedgevulde toolkit heeft om de reis naar meer cyberveiligheid mee aan te vangen’. Die reis zal er voor iedere organisatie anders uitzien. ‘Organisaties verschillen immers qua patiënten/cliënten, omvang, taken, medewerkers’, zegt Rozie. ‘Bovendien veranderen elke dag context, risico’s, technieken én verwachtingen van de stakeholders.’

Wáár de reis start, is van ondergeschikt belang, want cyberweerbaarheid is een kwestie van samenspel tussen kennis, normen en gedrag. Het vertrekpunt kan dus zijn: techniek, processen, gedrag. Of toch de NEN 7510, zo stellen Brouwer, Gouwens en Rozie.

Uiteindelijk gaat het om de beweging van een algemene norm naar organisatie-specifieke normen, zo vat Rozie samen. ‘De NEN 7510 is geen afvinklijst of een afstempelkaart, maar een instrument dat je als Sjaak kunt gebruiken om te werken aan cyberweerbaarheid. Daarvoor moet je contact zoeken met anderen binnen je organisatie. Samen gaan jullie op weg naar blijvende cyberweerbaarheid.’

Reisgenoten op het groeipad naar cyberweerbaarheid

Informatieveilig gedrag in de zorg (IVGZ): mensen, cultuur, gedrag.
Stichting Koninklijk Nederlands Normalisatie Instituut (NEN): kompas en kaart; de richting, de standaard, het kader.
Expertisecentrum voor cybersecurity in de zorg (Z-CERT): weerbericht en wegenwacht; de waarschuwing én de hulp als je vastzit.

Het webinar is nu terug te zien op YouTube!

Wil je het volledige webinar met NEN, Z-CERT en IVGZ terugkijken? Dat kan! Kijk het webinar terug op YouTube.