Hoe Nedap Ons^® werkt aan een veilige digitale zorgomgeving

Dat roept vragen op. Hoe veilig zijn cliëntgegevens? Welke maatregelen worden genomen om gegevens te beschermen? En kun je eigenlijk wel garanderen dat systemen volledig veilig zijn?

Het korte antwoord is nee, 100% veiligheid bestaat niet. Riccardo ten Cate, werkzaam als Security Engineer bij Nedap vertelt hoe hij en zijn team continu investeren in het versterken van de digitale weerbaarheid van Nedap Ons® maar ook van Caren.

Veiligheid is een continu proces

Nedap heeft een gespecialiseerd securityteam dat zich richt op het beschermen van onze systemen binnen de zorg en de gegevens die daarin worden verwerkt. Riccardo stond aan het begin en bouwde het team mede uit tot een volwassen team dat over de juiste set aan hacker-vaardigheden beschikt. Daarmee weten ze hoe aanvallers te werk gaan, welke kwetsbaarheden zij proberen te misbruiken en hoe mogelijke risico’s kunnen ontstaan.

Het voorkomen van hacks gebeurt op verschillende manieren. Dat begint met het continu monitoren van mogelijke kwetsbaarheden. Er worden beveiligingstesten (pentesten) uitgevoerd, nieuwe risico’s gesignaleerd, onderzocht en waar nodig aangepakt. Riccardo: “Een technisch probleem kan al relevant zijn voordat je begrijpt wat de impact is. Op basis van een impactanalyse brengen we in kaart welke impact het probleem kan hebben op de dienstverlening, de continuïteit van zorg of de veiligheid van gegevens. Zo bepalen we welke prioriteit het hoort te krijgen en hoe snel er mitigerende maatregelen moeten worden genomen.”

Het securityteam vertaalt technische bevindingen naar concrete risico’s en verbeterpunten. Vervolgens werken zij in een adviserende rol nauw samen met de ontwikkelteams om ervoor te zorgen dat maatregelen daadwerkelijk worden doorgevoerd. Zo ontstaat een voortdurende samenwerking tussen security en ontwikkeling. Niet alleen om problemen op te lossen, maar vooral om ze voor te zijn.

Een tango tussen risico en impact

Wanneer het over dataveiligheid gaat, denken veel mensen dat elk risico direct opgelost moet worden. In de praktijk werkt dat anders. 

Het securityteam beoordeelt welke systemen het meest kritisch zijn en welke risico’s de grootste impact kunnen hebben. Voor het bepalen van de risicobereidheid gebruikt het securityteam de CIA triad (Confidentiality, Integrity, Availability triade). Op basis van deze drie punten die een waarde toegekend krijgen wordt bepaald wat de risicobereidheid is voor een specifiek onderdeel van het systeem. Aan de hand van de ernst bepaalt het securityteam of en hoeveel maatregelen er getroffen moeten worden. 

Ook wordt er gekeken naar externe risico’s. Bijvoorbeeld door goed in kaart te brengen welke gebruikers interactie hebben met de systemen en welk level van toegang ze hebben en of ze daarmee een risico vormen. Daarnaast wordt geautomatiseerde pentesting toegepast om het externe aanvalsoppervlak van de systemen continu te scannen op kwetsbaarheden. Riccardo: “Op basis van de verschillende metingen die we doen, dansen we als het ware een tango, waarbij we zo goed mogelijk bewegen rondom de risico’s en verwachte impact.”

Meerdere lagen bescherming

Het zijn allemaal maatregelen die worden genomen om een aanval te voorkomen. Toch bestaat er geen enkele maatregel die alles oplost. Riccardo: “Sowieso weet je niet, wat je niet weet. 100% veilig bestaat niet.” Nedap werkt daarom met meerdere beveiligingslagen. Je kunt het vergelijken met een woning. Een slot op de deur helpt, maar daarnaast zijn er misschien ook buitenverlichting, een alarmsysteem en oplettende buren. Als één maatregel tekortschiet, zijn er andere maatregelen die bescherming bieden. Dit principe passen we toe binnen onze software en infrastructuur. Door verschillende controles, monitoring en beveiligingsmaatregelen te combineren, verkleinen we de kans dat een aanval of incident grote gevolgen heeft. 

De snelheid neemt toe

Door automatisering en de opkomst van AI verandert de wereld van het securityteam sneller dan ooit. Niet alleen organisaties zetten deze technologie in, ook kwaadwillenden maken er gebruik van. Kwetsbaarheden kunnen sneller worden opgespoord en misbruikt dan ooit tevoren. 

Voor securityteams brengt dat een grote uitdaging met zich mee. Terwijl ontwikkelteams dankzij AI sneller nieuwe functionaliteiten kunnen bouwen, moeten beveiligingsspecialisten hetzelfde tempo zien bij te houden. 

Volgens Riccardo is dat alleen mogelijk door zelf ook slim gebruik te maken van automatisering. Daarom investeert het securityteam van Nedap in tooling die helpt om kwetsbaarheden sneller te signaleren, risico’s beter te beoordelen en beveiligingstesten efficiënter uit te voeren.  

Openheid en transparantie

Ondanks alle mitigerende maatregelen die worden getroffen kan geen enkele organisatie uitsluiten dat er ooit een incident plaatsvindt. Wat dan telt, is hoe je daarmee omgaat. 

Natuurlijk hebben we meldplicht, maar Nedap vindt openheid en transparantie zelf ook belangrijk. Wanneer zich een incident voordoet, onderzoeken we zorgvuldig wat er is gebeurd, welke impact dat heeft en welke maatregelen nodig zijn. Vervolgens communiceren we daar helder over. Uiteindelijk moet je kunnen vertrouwen op ons. Niet door te beloven dat er nooit iets misgaat, maar door verantwoordelijkheid te nemen en continu te blijven leren en verbeteren.