Samenvatting
Op papier zien de vitale functies van je ziekenhuis er stabiel uit.
Beleid gedocumenteerd. Audits gehaald. Dashboards groen. Je kunt morgen een geruststellende presentatie geven aan de Raad van Bestuur. De meeste zorgbestuurders kunnen dat.
Eerder dit jaar kwamen CISOs, IT-directeuren en auditors uit heel Nederland bijeen voor een besloten Hack the Hospital-rondetafel. Off the record. Geen slides, geen pr-filter. En wat er op tafel kwam, ging niet over phishing, tooling of budget.
Het ging over structurele kwetsbaarheid.
Twee dingen kwamen steeds terug: grote delen van de ziekenhuisomgeving zijn onvoldoende in beel: OT-systemen, leveranciersverbindingen, legacy-infrastructuur waar niemand zicht op heeft. En de mechanismen die zekerheid móeten bieden, zoals audits, certificeringen, complianceframeworks, meten de verkeerde dingen.
Dat staat niet in een compliancerapport. Maar het komt wel naar boven op het moment dat er iets misgaat. Dit blog geeft je de taal en het kader om die kwetsbaarheid bespreekbaar te maken: intern, in de boardroom, en richting je leveranciers.
De systemen waar niemand naar kijkt
Vraag een ziekenhuis-CISO wat hij beschermt en het antwoord is voorspelbaar: laptops, servers, cloud, patiëntendata.
Vraag wat hem het meeste zorgen baart, en het antwoord verandert.
Klimaatregelingssystemen. Laboratoriumautomatisering. Beeldvormingsapparatuur die draait op besturingssystemen van vóór de iPhone. Infuuspompen die verbonden zijn met hetzelfde netwerk als alles wat er verder op staat.
Deze systemen houden patiënten in leven. Ze kunnen ook niet worden gepatcht, draaien geen endpoint-agents, en produceren in veel gevallen geen logs die actief worden gemonitord.
Tijdens de rondetafel zeiden meerdere deelnemers hetzelfde, elk op hun eigen manier: ze hebben geen volledig zicht op hun OT-omgeving. Niet omdat ze het niet geprobeerd hebben. Maar omdat deze systemen zijn gebouwd om dertig jaar mee te gaan, niet om gemonitord, gesegmenteerd en continu geverifieerd te worden.
En omdat OT nauwelijks een prominente plek heeft in auditframeworks, wordt de blinde vlek nooit formeel benoemd. Hij blijft gewoon bestaan.
Een aanvaller die zich stilletjes door OT-infrastructuur beweegt, heeft de tijd aan zijn kant. In de meeste Nederlandse ziekenhuizen zou dat vandaag niet worden opgemerkt totdat er iets stopt met werken.
De toegang die niemand kan intrekken
Dit was het moment in de zaal dat zichtbaar ongemak opriep.
Leveranciers van medische apparatuur hebben netwerktoegang nodig voor onderhoud en support. Dat is legitiem. Wat minder comfortabel is, is wat daarna gebeurt.
Zodra het contract is getekend en het systeem ingebed is in klinische workflows, verdwijnt de mogelijkheid om die toegang te beperken feitelijk. Securityteams beschreven dezelfde cyclus die zich steeds herhaalt:
- Poging om toegang te beperken.
- Weerstand vanuit de leverancier.
- Waarschuwing dat beschikbaarheid niet gegarandeerd kan worden als de toegang wordt ingeperkt.
In een ziekenhuis is “beschikbaarheid kan niet worden gegarandeerd” geen onderhandelingspositie. Het is een klinische dreiging.
Dus blijft de toegang bestaan. Breder dan wenselijk. Permanent waar het tijdelijk zou moeten zijn. Verbonden met systemen die er niets mee te maken hebben.
Dit is geen falen van je SOC. Dit is een inkoopprobleem dat een beveiligingsprobleem is geworden, en het is ontstaan voordat je securityteam er iets over te zeggen had.
Leveranciersafhankelijkheid in de zorg is niet toevallig. Het is structureel. En structureel risico verdwijnt niet omdat het gedocumenteerd staat in een risicoregister.
Audit ≠ Weerbaarheid
Wat een audit bevestigt: je controls zijn gedocumenteerd, je rollen zijn gedefinieerd, je governancestructuur bestaat op papier.
Wat een audit niet bevestigt: of je ransomware kunt indammen die zich om 2 uur ’s nachts op een zaterdag verspreidt door je OT-omgeving.
Elke CISO in die zaal begreep dit. De meesten hadden verhalen die het illustreerden. De audit slaagt. Het certificaat wordt verlengd. En ergens in het gebouw staat een verouderd beeldvormingssysteem op een flat netwerksegment dat al vier jaar niemand heeft aangeraakt, omdat aanraken betekent: risico op klinische downtime.
Compliance meet documentatie.
Weerbaarheid meet overleving.
Dat is niet hetzelfde. Ze als equivalent behandelen is een van de duurste vergissingen in de zorgbeveiliging.
Waarom beschikbaarheid elke beslissing beïnvloedt
In de meeste sectoren begint de CIA-triade bij vertrouwelijkheid. In de zorg begint het bij beschikbaarheid, en alles volgt daaruit.
Als laboratoriumsystemen uitvallen, worden operaties uitgesteld. Als beeldvorming wegvalt, werken clinici zonder diagnostische ondersteuning. Als klimaatsystemen uitvallen, sluiten operatiekamers.
Downtime in een ziekenhuis is geen financiële ongemak. Het is vertraagde zorg. In het ergste geval is het schade aan patiënten.
Elke beveiligingsbeslissing wordt genomen in die context. Patchvensters krimpen omdat systemen niet offline mogen tijdens zorguren. Leverancierstoegang blijft breder dan wenselijk omdat beperking beschikbaarheid in gevaar brengt. Segmentatie wordt voorzichtig ingevoerd omdat de afhankelijkheden tussen systemen slecht in kaart zijn gebracht.
Elke beslissing is op zichzelf verdedigbaar.
Samen creëren ze een risicoprofiel dat in geen enkel kwartaalrapport staat, totdat iets het zichtbaar maakt.
De vraag die je bestuur niet stelt, maar wel zou moeten stellen
“Zijn we compliant?” is de verkeerde vraag.
De juiste vraag is: als we op dit moment onder aanval staan, hoe ver kunnen ze dan komen?
Hoeveel systemen kan een aanvaller bereiken via één gecompromitteerde leveranciersinlog? Hoe snel kun je OT van IT isoleren als er iets begint te verspreiden? Hoe lang duurt het voordat je het überhaupt weet?
Legacy-systemen verdwijnen niet. Leveranciersafhankelijkheden verdwijnen niet. Audits worden gewoon doorgezet.
De vraag is dus niet perfectie. De vraag is inperking. En inperking vereist dat je impliciet vertrouwen beperkt: in leverancierstoegang, in platte netwerkarchitecturen, in de aanname dat wat altijd verbonden was, verbonden mag blijven.
Waar Zero Trust echt toe doet
Zero Trust wordt veel besproken als framework. In de zorg is het nuttiger om het te zien als discipline voor één specifiek probleem: beperken hoe ver verstoring zich verspreidt.
Niet het elimineren van risico. Niet het van de ene op de andere dag vervangen van legacy-systemen. Niet het in één inkooptraject oplossen van leveranciersafhankelijkheden.
Maar wel: wie heeft toegang tot wat, onder welke voorwaarden, hoe lang. En kun je die vraag beantwoorden voor elk systeem in het gebouw, inclusief de systemen die nooit op iemands radar stonden?
In een ziekenhuis zit het verschil tussen een beheersbaar incident en een crisis die de zorgverlening raakt vaak in de blast radius. Zero Trust is de methodiek om die radius kleiner te maken.
De CISOs in die zaal zochten geen perfecte omgeving. Ze zochten een omgeving waarin een inbreuk niet escaleert.
Dat is een haalbaar doel. Maar het vereist dat je beschikbaarheid en beveiliging behandelt als aanvullend, niet als concurrerend, en dat je governancestructuren bouwt die risico adresseren voordat het vast zit in een contract.
Hoe overleef ik… een datalek
Een datalek raakt altijd dieper dan je denkt: klanten verliezen vertrouwen, kosten lopen op en je organisatie verliest grip op de situatie. Deze whitepaper laat zien hoe Zero Trust die impact drastisch kan verkleinen, zodat jij sneller herstelt, beter voorbereid bent en de controle houdt wanneer het echt spannend wordt.
FAQ
Omdat audits documentatie en governance meten. Ze testen niet of je een actieve aanval kunt indammen in je OT-omgeving. Compliance en weerbaarheid vereisen andere standaarden, en momenteel worden de meeste zorginstellingen alleen formeel getoetst op één van beide.
OT (operationele technologie) omvat klimaatbeheersing, laboratoriumautomatisering, beeldvormingsapparatuur, infuuspompen en gebouwbeheersystemen. Deze systemen ondersteunen directe patiëntenzorg, zijn vaak niet te monitoren met standaardtools, en creëren significante blinde vlekken die aanvallers kunnen benutten.
Omdat leveranciers van medische apparatuur netwerktoegang als contractuele voorwaarde stellen voor support. Zodra klinische systemen daarvan afhankelijk zijn, wordt beperking een klinische beslissing, niet alleen een beveiligingskeuze. Het probleem zit al ingebakken in het inkoopproces voordat security er enige invloed op heeft.
Dat je aan alle compliancevereisten kunt voldoen en toch niet in staat bent ransomware in te dammen die zich door je omgeving verspreidt. Audits verifiëren documentatie. Weerbaarheid wordt gemeten door hoe snel je schade kunt beperken op het moment dat er iets misgaat.
Door te focussen op het beperken van de blast radius: identiteitsgebaseerde toegangscontroles, tijdgebonden leverancierssessies, OT/IT-segmentatie, en governance die impliciet vertrouwen als risico behandelt, niet als standaard. Het doel is geen perfecte omgeving. Het doel is een omgeving waarin een inbreuk niet escaleert tot een zorgnoodgeval.
