Veiligheid van zorggegevens in gevaar door insider threats

Insider threats zetten de veiligheid van data in de zorg onder druk. Bij 1.368 onderzochte security incidenten in de zorg in 27 verschillende landen waren in 58% van de gevallen werknemers van getroffen organisaties betrokken.

Dit blijkt uit het 2018 Protected Health Information Data Breach Report van Verizon. De zorg is volgens Verizon de enige sector waarin eigen werknemers de grootste bedreiging opleveren voor de digitale veiligheid van een organisatie. In veel gevallen worden malafide werknemers gemotiveerd door economisch gewin. Zo wordt gestolen informatie gebruikt om belastingfraude te plegen of krediet aan te vragen bij kredietverstrekkers (48%), wordt informatie van bekendheden of familieleden voor de lol of uit nieuwsgierigheid bekeken (31%) of overtreden medewerkers beveiligingsregels met het oog op gebruiksgemak (10%).

Ransomware

Zorgorganisaties zijn net als andere organisaties niet immuun voor malafide software. In 70% van de gevallen waarbij zorgorganisaties werden geconfronteerd met malware ging het om ransomware. Deze trend komt overeen met de toenemende hoeveelheid ransomware waarmee organisaties in andere sectoren te maken hebben.

Naast digitale gegevens blijken geprinte persoonlijke gegevens risico's op te leveren. 27% van de onderzochte incidenten had betrekking op papieren documenten. Denk hierbij aan recepten, factureren, ontslagpapieren en kopieën van zowel identiteitskaarten als verzekeringspasjes. Ook vallen papieren documenten relatief vaak onbedoeld in verkeerde handen. Zo bleek in 20% van de gevallen gevoelige data bij de verkeerde persoon te zijn aangeleverd, werd in 15% van de gevallen gevoelige papieren weggegooid zonder deze te versnipperen en werden papieren documenten in 8% van de vallen kwijtgeraakt.

Data wordt te vaak niet versleuteld

Tot slot wijst het onderzoek uit dat gestolen en verloren laptops vaak tot datalekken leiden. In 21% van de gevallen waarbij een laptop verloren ging, was de gevoelige data die hierop stond opgeslagen niet versleuteld. Verizon stelt dat zorgpersoneel beter moet worden opgeleid om zeker te stellen dat basale beveiligingsmaatregelen worden toegepast.

Verizon heeft een drietal tips op een rijtje gezet om zorgorganisaties te helpen zich te wapenen tegen dit soort dreigingen:

• Versleutel de volledige harde schijf van laptops
• Monitor met regelmatig wie medische dossiers inziet
• Neem preventieve maatregelen om aanvallen met ransomware tegen te gaan

Tips voor de lange termijn

Op de lange termijn zouden zorgorganisaties onder andere zeker moeten stellen dat hun beveiligingsbeleid niet alleen van toepassing is op digitale data, maar ook op papieren gegevens. Ook adviseert Verizon voldoende aandacht te besteden aan de beveiliging van Internet of Things (IoT)-apparaten, die ook in de zorg steeds vaker worden ingezet. Tot slot zouden zorgorganisaties een algemeen incident response plan klaar hebben moeten liggen zodat zij sneller en adequater kunnen reageren op security incidenten. Een dergelijke plan kan volgens het bedrijf een groot verschil maken in de impact van een incident op een organisatie.