Wat vandaag veilig lijkt, is morgen misschien niet meer zo. Iedere dag komen er namelijk ongeveer 70 nieuwe softwarekwetsbaarheden aan het licht. Voor de medische sector is het cruciaal om hun beveiliging op orde te hebben, want medische data zijn vanwege de gevoeligheid goud waard voor cybercriminelen. Maar hoe zorg je voor een optimale beveiliging? Arno van der Heijden, Cybersecurity Solutions Consultant bij Philips, legt dit beeldend uit: “Vertrouw niet op je slotgracht, maar zie je cyberbeveiliging als een ui met verschillende lagen.”

Tijdens het recente Congres Data & Security in de Zorg sprak Arno over het cruciale belang van cybersecurity in de medische sector. Als onderdeel van een team bij Philips dat verantwoordelijk is voor het vaststellen van beveiligingsbeleid, werkt hij dagelijks aan cybersecurity-uitdagingen. Het team zoekt ook steeds vaker de samenwerking op met zorginstellingen. Wat is de grootste uitdaging die hij in het werkveld ziet? “Klanten moeten beseffen dat cyberveiligheid van medische systemen óók gaat over patiëntveiligheid, niet alleen over het beveiligen van hun IT-omgeving. Het is een proces van continue samenwerking om het ziekenhuis draaiende te houden, zodat de zorgverlening niet in gevaar komt.”

Kritieke kwetsbaarheden

Het gevaar van beveiligingslekken wordt elke dag duidelijker. Om zijn boodschap kracht bij te zetten, deelt Arno indrukwekkende cijfers. Ongeveer 90 procent van de gezondheidszorginstellingen wereldwijd heeft in de afgelopen drie jaar minstens één beveiligingslek gemeld (Becker’s Health IT). Bovendien heeft ongeveer 53 procent van de aangesloten medische apparaten bekende kritieke kwetsbaarheden, gemiddeld 6,2 kwetsbaarheden per apparaat (FBI). Opvallend is ook dat een vijfde van de medische apparaten die in Europa in gebruik zijn, meer dan 10 jaar oud is (Cocir). Het risico op kwetsbaarheden neemt met de tijd toe, waardoor het duidelijk is dat actie noodzakelijk is.

Kritieke systemen

Daarnaast treedt volgend jaar waarschijnlijk de nationale cyberbeveiligingswet (NIS2) in werking, waardoor actie nodig is. Deze nieuwe wet is bedoeld om de kritieke infrastructuren van landen te beschermen. De wet verplicht ziekenhuizen hun beveiliging op orde te hebben, met persoonlijke aansprakelijkheid en boetes tot 10 miljoen euro bij nalatigheid. Het is dus voor zorginstellingen van groot belang om hun beveiliging serieus te nemen. En voor ieder ziekenhuis kan die beveiliging anders zijn, vanwege andere netwerkomgevingen en apparaten, met andere risico’s. Goed risicomanagement is maatwerk per ziekenhuis.

Slotgracht

Arno ziet vaak dat ziekenhuizen hun IT-omgeving segmenteren. “Vergelijk het met een soort slotgracht”, zegt hij. Dat is volgens hem een prima aanpak, maar geen gedegen oplossing om verouderede securitymaatregelen in een medisch systeem te compenseren. Arno: “We dienen bij voorkeur de securitymaatregelen in een medisch systeem in een topconditie te houden. De werking van het systeem blijft daardoor gewaarborgd, zelfs wanneer het netwerk van het ziekenhuis is platgelegd door een aanvaller. Wanneer een aanvaller het ziekenhuisnetwerk platlegt, inclusief de werking van de medische systemen, kan dit verstrekkende gevolgen hebben voor de patiënt.”

Om goede beveiliging nog duidelijker uit te leggen, gebruikt hij het voorbeeld van een ui. Elke laag van een ui stelt een beveiligingslaag voor. Hoe meer lagen de ui heeft, hoe sterker de beveiliging is. Denk bijvoorbeeld aan een firewall, malwarebescherming, encryptie en fysieke beveiliging. “Ieder medisch apparaat heeft zijn eigen ‘ui’, waardoor het steeds moeilijker wordt voor aanvallers om binnen te komen”, zegt Arno. “Als je een ui pelt, ga je huilen. Dat willen we ook bereiken bij aanvallers”, voegt hij toe met een knipoog.

Leed patiënten voorkomen

Dagelijks werkt Arno met klanten aan het optimaliseren van hun beveiliging. Bewustwording speelt daarin een sleutelrol, omdat veel klinische gebruikers niet volledig begrijpen hoe hacks werken of wat de gevaren zijn. “Een datalek gebeurt niet in één dag of week; vaak zitten aanvallers al langer in het netwerk voordat ze geïdentificeerd worden. Het is cruciaal om te begrijpen hoe ze werken, zodat je kunt handelen om je goed te beschermen. Want vroeg of laat word je slachtoffer van een aanval, maar je kunt de schade beperken door snel te reageren. Zo kun je het leed voor patiënten voorkomen. Door nu in actie te komen, kunnen we niet alleen systemen beschermen, maar vooral ook levens.”

What seems secure today may not be tomorrow. Every day, around 70 new software vulnerabilities are discovered. For the medical sector, having strong security is crucial because medical data is a goldmine for cybercriminals. But how do you ensure optimal protection? Arno van der Heijden, Cybersecurity Solutions Consultant at Philips, explains: “Don’t rely on a moat around your systems; think of cybersecurity as an onion with multiple layers.”

At the recent Data & Security in Healthcare conference, Arno presented the critical importance of cybersecurity in the medical field. As part of a Philips team responsible for setting security policies, he increasingly collaborates with healthcare institutions. What is the biggest challenge Arno sees in healthcare IT today? “Clients need to realize that securing medical systems is also about patient safety, not just protecting their IT environment. It’s an ongoing process of collaboration to keep hospitals running smoothly, ensuring that patient care isn’t at risk.”

Critical Vulnerabilities

The threat of security breaches is becoming clearer by the day. To emphasize his point, Arno shared some striking statistics. Around 90% of healthcare institutions worldwide have reported at least one security breach in the last three years (Becker’s Health IT). Additionally, approximately 53% of connected medical devices have known critical vulnerabilities—an average of 62 vulnerabilities per device (FBI). Another alarming fact is that one-fifth of medical devices in use in Europe are more than 10 years old (Cocir). As devices age, the risk of vulnerabilities increases, making it evident that action is urgently needed.

Critical Systems

In addition, the National Cybersecurity Act (NIS2) is likely to take effect next year, requiring action. This directive sets strict security standards for European critical infrastructure, which includes healthcare. It requires hospitals to have adequate security measures in place, with personal liability and fines of up to 10 million euros for negligence. It’s clear that healthcare institutions need to take cybersecurity seriously. However, different network environments and medical device fleets pose unique risks and require unique mitigations. Effective risk management requires a customized approach for each hospital.

The Moat Strategy

Arno often sees hospitals segmenting their IT environments. “It’s like building a moat around your systems,” he says. While this is a sound approach, it doesn’t compensate for outdated security measures in medical systems themselves. “We should ideally keep the security measures of a medical system in top condition. This ensures that the system remains functional, even if an attacker takes down the hospital’s network. If both the network and medical systems are compromised, the consequences for patients can be severe,” Arno explains.

To make the concept of good security even clearer, he uses the analogy of an onion. Each layer of an onion represents a security layer. The more layers, the stronger the protection. Think of a firewall, malware protection, encryption, and physical security. “Every medical device has its own ‘onion,’ making it increasingly difficult for attackers to break in,” says Arno. “If you peel an onion, you start to cry—and that’s exactly what we want attackers to do,” he adds with a wink.

Preventing Harm to Patients

Arno works daily with clients to optimize their security measures. Awareness plays a key role in this, as many clinical users don’t fully understand how hacks work or what the dangers are. “A data breach doesn’t happen overnight; attackers are often inside the network for some time before they are detected. It’s crucial to understand how they operate so you can act quickly to protect yourself. Sooner or later, you will be targeted by an attack, but you can minimize the damage by responding swiftly. In this way, you can prevent harm to patients. By taking action now, we can protect not just systems, but more importantly, lives.”