zibb.nl home
Informatiebeveiliging
Security officer blijft herhalen: ‘Het is een kwestie van frapper toujours’
12 MRT 2008
Een ziekenhuis blijft altijd kwetsbaar als het gaat om
informatiebeveiliging, weet Jan Willem Schoemaker. “In een ziekenhuis ligt de
focus op mensen beter maken.”
Je hoeft geen negatief mensbeeld te hebben om security officer te zijn in
het grootste ziekenhuis in Nederland. Dat ligt ook helemaal niet in zijn
karakter, verzekert Jan Willem Schoemaker. “Maar je moet wel denken als een dief
als je een dief wilt vangen.”
Schoemaker werkt al zijn hele leven in de informatiebeveiliging. In de
zorgsector is hij echter nog betrekkelijk nieuw. “Ik heb als consultant in
vrijwel alle sectoren gewerkt maar nog nooit in een zorginstelling. Verder dan
de zorgverzekeraars ben ik niet gekomen.”
De zorgsector was dus helemaal nieuw voor u?
“Toch niet helemaal. Ik heb wel mijn roots in dit ziekenhuis. Ik ben er zelfs geboren en mijn moeder heeft er als verpleegkundige gewerkt. Mijn zus doet dat overigens nog. Mijn vroegere buurman heeft hier zelfs gewerkt. Wat ook weer niet zo vreemd is aangezien het Erasmus MC de tweede werkgever in Rotterdam is.”
“Toch niet helemaal. Ik heb wel mijn roots in dit ziekenhuis. Ik ben er zelfs geboren en mijn moeder heeft er als verpleegkundige gewerkt. Mijn zus doet dat overigens nog. Mijn vroegere buurman heeft hier zelfs gewerkt. Wat ook weer niet zo vreemd is aangezien het Erasmus MC de tweede werkgever in Rotterdam is.”
Hoe bent u hier terecht gekomen?
“Het Erasmus MC besloot in 2002 dat het zich serieus moest gaan bezighouden met informatiebeveiliging. Het gebruik van ict nam toe, er werden steeds meer patiëntgegevens uitgewisseld door de opkomst van transmurale zorg en het landelijk patiëntendossier kwam eraan. De raad van bestuur vond dat daar minimaal een fulltime functie op beleidsniveau bij hoorde. Daarom ben ik hier in 2003 als security officer aangetrokken. Als een van de eersten in de zorg.”
“Het Erasmus MC besloot in 2002 dat het zich serieus moest gaan bezighouden met informatiebeveiliging. Het gebruik van ict nam toe, er werden steeds meer patiëntgegevens uitgewisseld door de opkomst van transmurale zorg en het landelijk patiëntendossier kwam eraan. De raad van bestuur vond dat daar minimaal een fulltime functie op beleidsniveau bij hoorde. Daarom ben ik hier in 2003 als security officer aangetrokken. Als een van de eersten in de zorg.”
Heeft u bewust gekozen voor de zorg?
“Ik had in een andere sector kunnen gaan werken, daar ben ik ook voor gevraagd. Maar dan zou het toch neerkomen op weer het zelfde kunstje uitvoeren. In een ziekenhuis als het Erasmus MC ligt het toch allemaal anders. Het is een grote complexe organisatie met naast patiëntenzorg, onderwijs, onderzoek en allerlei ondersteunende diensten. En informatiebeveiliging is hier nog een relatief nieuw onderwerp. Wat dat betreft kan ik hier mijn ei nog goed kwijt.”
“Ik had in een andere sector kunnen gaan werken, daar ben ik ook voor gevraagd. Maar dan zou het toch neerkomen op weer het zelfde kunstje uitvoeren. In een ziekenhuis als het Erasmus MC ligt het toch allemaal anders. Het is een grote complexe organisatie met naast patiëntenzorg, onderwijs, onderzoek en allerlei ondersteunende diensten. En informatiebeveiliging is hier nog een relatief nieuw onderwerp. Wat dat betreft kan ik hier mijn ei nog goed kwijt.”
Wat houdt de functie precies in?
“Ik heb een aantal taken. Allereerst beleidsvorming. Ik heb vorig jaar een nieuwe versie van het informatiebeveiligingsbeleid opgesteld. Er lag al een stuk toen ik hier kwam maar ik wilde niet gelijk de wijsneus uithangen door dat aan te gaan passen. Grootste verschil met de eerdere versie is dat ik NEN 7510 als uitgangspunt heb genomen.
Tweede taak is advisering, gevraagd en ongevraagd. We zijn bij het Erasmus MC bijvoorbeeld bezig met het bouwen van een nieuwe website en, daaraan gekoppeld, het opnieuw inrichten van intranet. Ik ben gevraagd om daarbij naar de beveiligingsaspecten te kijken. Mijn derde taak is coördinatie en implementatie, wat inhoudt dat ik ervoor moet zorgen dat zaken uit het beveiligingsbeleid daadwerkelijk worden uitgevoerd.”
“Ik heb een aantal taken. Allereerst beleidsvorming. Ik heb vorig jaar een nieuwe versie van het informatiebeveiligingsbeleid opgesteld. Er lag al een stuk toen ik hier kwam maar ik wilde niet gelijk de wijsneus uithangen door dat aan te gaan passen. Grootste verschil met de eerdere versie is dat ik NEN 7510 als uitgangspunt heb genomen.
Tweede taak is advisering, gevraagd en ongevraagd. We zijn bij het Erasmus MC bijvoorbeeld bezig met het bouwen van een nieuwe website en, daaraan gekoppeld, het opnieuw inrichten van intranet. Ik ben gevraagd om daarbij naar de beveiligingsaspecten te kijken. Mijn derde taak is coördinatie en implementatie, wat inhoudt dat ik ervoor moet zorgen dat zaken uit het beveiligingsbeleid daadwerkelijk worden uitgevoerd.”
Heeft u veel collega’s bij andere ziekenhuizen?
“Het begint steeds meer te komen, als zijn het er nog niet zo heel veel. Ik werk veel samen met mijn collega’s van de zeven andere universitaire medische centra die zich met informatiebeveiliging bezighouden. Eens in de twee maanden komen we bij elkaar om allerlei zaken op het gebied van informatiebeveiliging te bespreken. Ook hebben we gezamenlijk een monitor ontwikkeld waarmee je kunt nagaan in hoeverre NEN 7510 bij je ziekenhuis is ingevoerd.”
“Het begint steeds meer te komen, als zijn het er nog niet zo heel veel. Ik werk veel samen met mijn collega’s van de zeven andere universitaire medische centra die zich met informatiebeveiliging bezighouden. Eens in de twee maanden komen we bij elkaar om allerlei zaken op het gebied van informatiebeveiliging te bespreken. Ook hebben we gezamenlijk een monitor ontwikkeld waarmee je kunt nagaan in hoeverre NEN 7510 bij je ziekenhuis is ingevoerd.”
En?
“We zitten nu ongeveer op 60 procent.”
“We zitten nu ongeveer op 60 procent.”
Moet dat niet 100 procent zijn?
“Wat mij betreft niet. Ik heb in het informatiebeveiligingsbeleid opgeschreven dat het Erasmus MC aantoonbaar wil voldoen aan NEN 7510. Maar dat wil niet zeggen dat we alle eisen van NEN 7510 overnemen. De norm heeft bijvoorbeeld als criterium dat iedere ziekenhuismedewerker een verklaring ondertekent op het gebied van informatiebeveiliging. Dat vinden we een beetje te veel van het goede omdat dit ook al is geregeld in de cao. Medewerkers moeten al zoveel tekenen, je moet voorkomen dat er een wildgroei aan verklaringen ontstaat.”
“Wat mij betreft niet. Ik heb in het informatiebeveiligingsbeleid opgeschreven dat het Erasmus MC aantoonbaar wil voldoen aan NEN 7510. Maar dat wil niet zeggen dat we alle eisen van NEN 7510 overnemen. De norm heeft bijvoorbeeld als criterium dat iedere ziekenhuismedewerker een verklaring ondertekent op het gebied van informatiebeveiliging. Dat vinden we een beetje te veel van het goede omdat dit ook al is geregeld in de cao. Medewerkers moeten al zoveel tekenen, je moet voorkomen dat er een wildgroei aan verklaringen ontstaat.”
Maar is 60 procent niet te weinig?
“Je kan niet alles tegelijk, je moet prioriteiten stellen. We zijn begonnen met een risicoanalyse. Daaruit bleek dat we op het gebied van continuïteit nog niet zo sterk scoorden. We hebben daarom daar nu vooral op ingezet. Want dat gaat toch om de voortgang van je bedrijfsprocessen en dat kan bij ons soms van levensbelang zijn. Ik ben daar nu ongeveer de helft van mijn tijd aan kwijt. We hebben continuïteitsplannen opgesteld, crisisteams ingesteld die moeten optreden als er calamiteiten zijn en er is ook al geoefend.”
“Je kan niet alles tegelijk, je moet prioriteiten stellen. We zijn begonnen met een risicoanalyse. Daaruit bleek dat we op het gebied van continuïteit nog niet zo sterk scoorden. We hebben daarom daar nu vooral op ingezet. Want dat gaat toch om de voortgang van je bedrijfsprocessen en dat kan bij ons soms van levensbelang zijn. Ik ben daar nu ongeveer de helft van mijn tijd aan kwijt. We hebben continuïteitsplannen opgesteld, crisisteams ingesteld die moeten optreden als er calamiteiten zijn en er is ook al geoefend.”
Maar als in het beleidsplan staat dat het ziekenhuis “aantoonbaar
moet voldoen aan de NEN 7510, moet je dat dan niet
concretiseren?
“We hebben dat niet expliciet gemaakt maar ik denk daarbij aan een score van, uiteindelijk, zo’n 80 à 90 procent.”
“We hebben dat niet expliciet gemaakt maar ik denk daarbij aan een score van, uiteindelijk, zo’n 80 à 90 procent.”
Toen u net was aangesteld, bleek de informatiebeveiliging van het
Erasmus MC niet op orde te zijn. Het lukte Karin Spaink namelijk om in 2005 in
te breken.
“Spaink heeft inderdaad met medeweten van het ziekenhuis onze beveiliging getest. We laten onze informatiebeveiliging wel vaker van buitenaf testen. Spaink maakte echter ook gebruik van wat men noemt social engineering en we wisten dat we op dat vlak kwetsbaar waren.
De door Spaink ingeschakelde beveiligingsexperts hebben eerst gebeld met onze medewerkers en gezegd dat ze van de helpdesk waren en dat ze een enquête wilde afnemen om de tevredenheid te testen. Toen ze eenmaal het vertrouwen van de medewerker hadden gewonnen, hebben ze nog een keer gebeld. Ze zeiden dat er een computerstoring was en dat er een grote kans was dat de medewerker al zijn gegevens zou kwijt raken en of ze hun wachtwoord wilden geven zodat ze dit konden voorkomen. Iedereen bleek toen zijn wachtwoord te hebben gegeven.”
“Spaink heeft inderdaad met medeweten van het ziekenhuis onze beveiliging getest. We laten onze informatiebeveiliging wel vaker van buitenaf testen. Spaink maakte echter ook gebruik van wat men noemt social engineering en we wisten dat we op dat vlak kwetsbaar waren.
De door Spaink ingeschakelde beveiligingsexperts hebben eerst gebeld met onze medewerkers en gezegd dat ze van de helpdesk waren en dat ze een enquête wilde afnemen om de tevredenheid te testen. Toen ze eenmaal het vertrouwen van de medewerker hadden gewonnen, hebben ze nog een keer gebeld. Ze zeiden dat er een computerstoring was en dat er een grote kans was dat de medewerker al zijn gegevens zou kwijt raken en of ze hun wachtwoord wilden geven zodat ze dit konden voorkomen. Iedereen bleek toen zijn wachtwoord te hebben gegeven.”
En toen waren ze binnen?
“Het is ze niet gelukt om van buitenaf toegang te krijgen tot patiëntgegevens. Ze zijn daarom het gebouw binnen gegaan en hebben zich als ziekenhuismedewerker voorgedaan. Op verschillende afdelingen hebben ze vervolgens gevraagd of ze even van de computer gebruik mochten maken om wat gegevens te downloaden. We hebben hier een bedrijfscultuur waarbij je elkaar probeert te helpen en daardoor is ze het uiteindelijk gelukt om, overigens slechts in beperkte mate, patiëntgegevens te downloaden.”
“Het is ze niet gelukt om van buitenaf toegang te krijgen tot patiëntgegevens. Ze zijn daarom het gebouw binnen gegaan en hebben zich als ziekenhuismedewerker voorgedaan. Op verschillende afdelingen hebben ze vervolgens gevraagd of ze even van de computer gebruik mochten maken om wat gegevens te downloaden. We hebben hier een bedrijfscultuur waarbij je elkaar probeert te helpen en daardoor is ze het uiteindelijk gelukt om, overigens slechts in beperkte mate, patiëntgegevens te downloaden.”
Dat was even schrikken?
“Ja, vooral de presentatie door Spaink van de resultaten van haar actie in Paradiso in Amsterdam was erg pijnlijk. De hackers zaten zich daar vrolijk te maken over hoe makkelijk het toch niet was om bij een ziekenhuis in te breken. In een half uur was het ze gelukt om binnen te komen. Maar dat betrof het andere ziekenhuis, dat zich nooit bekend heeft gemaakt. Op dat moment konden wij echter geen weerwoord leveren omdat ook wij hadden afgesproken om onze naam niet vrij te geven om imagoschade te voorkomen. Later hebben we tijdens een congres alsnog bekend gemaakt dat er bij ons is ingebroken, maar dat het een stuk moeizamer was gegaan dan bij het andere ziekenhuis.”
“Ja, vooral de presentatie door Spaink van de resultaten van haar actie in Paradiso in Amsterdam was erg pijnlijk. De hackers zaten zich daar vrolijk te maken over hoe makkelijk het toch niet was om bij een ziekenhuis in te breken. In een half uur was het ze gelukt om binnen te komen. Maar dat betrof het andere ziekenhuis, dat zich nooit bekend heeft gemaakt. Op dat moment konden wij echter geen weerwoord leveren omdat ook wij hadden afgesproken om onze naam niet vrij te geven om imagoschade te voorkomen. Later hebben we tijdens een congres alsnog bekend gemaakt dat er bij ons is ingebroken, maar dat het een stuk moeizamer was gegaan dan bij het andere ziekenhuis.”
Wat is er inmiddels gebeurd om dit soort ‘inbraken’ te
voorkomen?
“Een aantal technische zaken hebben we onmiddellijk aangepast en daarnaast zijn we met een communicatiecampagne begonnen die mensen duidelijk moet maken dat ze bijvoorbeeld niet zomaar hun wachtwoord moeten afgeven. We hebben ook nog een keer zelf tests uitgevoerd, wederom met social engineering. Er is bijvoorbeeld een mailtje rondgestuurd met de mededeling dat de webserver eruit heeft gelegen en dat we het wachtwoord nodig hebben om ervoor te zorgen dat mensen nog steeds van hun webmail gebruik kunnen maken. Ook hebben we op sommige plekken een usb-stick neergelegd zodat mensen die in hun computer zouden stoppen waarna de volledige harde schijf naar een server werd gekopieerd.
“Een aantal technische zaken hebben we onmiddellijk aangepast en daarnaast zijn we met een communicatiecampagne begonnen die mensen duidelijk moet maken dat ze bijvoorbeeld niet zomaar hun wachtwoord moeten afgeven. We hebben ook nog een keer zelf tests uitgevoerd, wederom met social engineering. Er is bijvoorbeeld een mailtje rondgestuurd met de mededeling dat de webserver eruit heeft gelegen en dat we het wachtwoord nodig hebben om ervoor te zorgen dat mensen nog steeds van hun webmail gebruik kunnen maken. Ook hebben we op sommige plekken een usb-stick neergelegd zodat mensen die in hun computer zouden stoppen waarna de volledige harde schijf naar een server werd gekopieerd.
En?
"Daaruit bleek dat we nog steeds kwetsbaar zijn. Maar het helpt dan weer bij de bewustwording als je dat vervolgens terugkoppelt aan de afdeling waar de test is uitgevoerd.”
"Daaruit bleek dat we nog steeds kwetsbaar zijn. Maar het helpt dan weer bij de bewustwording als je dat vervolgens terugkoppelt aan de afdeling waar de test is uitgevoerd.”
Een ziekenhuis blijft altijd kwetsbaar.
“Ja, er werken hier tienduizend mensen. Bij een bank weet iedereen dat ze voorzichtig moeten zijn, beveiliging is daar in de bedrijfscultuur ingebakken. In een ziekenhuis ligt de focus echter veel minder op veiligheid maar op mensen beter maken. Daarom zijn de acht universitaire medische centra nu bezig met een nieuwe campagne om de medewerkers bewust te maken van de noodzaak van informatiebeveiliging. Het is toch een kwestie van frapper toujours.
We hebben ook naar aanleiding van de actie van Spaink een computer emergency respons team, CERT, opgezet. Dit team moet in actie komen als er iets op grote schaal mis gaat, een actie van hackers of een virusaanval. En we hebben ons aangesloten bij vergelijkbaar teams van de instellingen voor hoger onderwijs, het zogeheten SURFnet PACT. Zodat als zich iets voordoet, bijvoorbeeld een nieuw virus, we snel gezamenlijk in actie kunnen komen.”
“Ja, er werken hier tienduizend mensen. Bij een bank weet iedereen dat ze voorzichtig moeten zijn, beveiliging is daar in de bedrijfscultuur ingebakken. In een ziekenhuis ligt de focus echter veel minder op veiligheid maar op mensen beter maken. Daarom zijn de acht universitaire medische centra nu bezig met een nieuwe campagne om de medewerkers bewust te maken van de noodzaak van informatiebeveiliging. Het is toch een kwestie van frapper toujours.
We hebben ook naar aanleiding van de actie van Spaink een computer emergency respons team, CERT, opgezet. Dit team moet in actie komen als er iets op grote schaal mis gaat, een actie van hackers of een virusaanval. En we hebben ons aangesloten bij vergelijkbaar teams van de instellingen voor hoger onderwijs, het zogeheten SURFnet PACT. Zodat als zich iets voordoet, bijvoorbeeld een nieuw virus, we snel gezamenlijk in actie kunnen komen.”
Bij informatiebeveiliging loert altijd het gevaar van bureaucratie,
te veel procedures, te veel protocollen. Hoe kun je dat
voorkomen?
“Door de gulden middenweg te bewandelen. Ik vraag altijd de betrokken verantwoordelijke wat volgens hem of haar de veiligheidseisen zouden moeten zijn. Vervolgens ga je gezamenlijk kijken welke maatregelen daarbij horen. Natuurlijk moet je als zorginstelling aan bestaande wetten en normen houden. Maar daar waar er ruimte is, probeer ik compromissen te sluiten. Zodat ik tevreden ben omdat voldoende aan de veiligheidseisen is voldaan en de betrokken verantwoordelijke tevreden is omdat er geen onwerkbare situatie is ontstaan.”
“Door de gulden middenweg te bewandelen. Ik vraag altijd de betrokken verantwoordelijke wat volgens hem of haar de veiligheidseisen zouden moeten zijn. Vervolgens ga je gezamenlijk kijken welke maatregelen daarbij horen. Natuurlijk moet je als zorginstelling aan bestaande wetten en normen houden. Maar daar waar er ruimte is, probeer ik compromissen te sluiten. Zodat ik tevreden ben omdat voldoende aan de veiligheidseisen is voldaan en de betrokken verantwoordelijke tevreden is omdat er geen onwerkbare situatie is ontstaan.”
Het Erasmus MC is bezig met het ontwikkelen van een eigen
elektronisch patiëntendossier. Ook daar is informatiebeveiliging natuurlijk een
item?
“Belangrijk aandachtspunt daarbij is, net zoals bij het landelijk EPD, de autorisaties: wie heeft toegang tot het dossier. En net zoals bij het landelijk EPD neigen wij naar een verschuiving van autorisatie vooraf naar controle achteraf. Omdat autorisatie vooraf moeilijk te beheren is.”
“Belangrijk aandachtspunt daarbij is, net zoals bij het landelijk EPD, de autorisaties: wie heeft toegang tot het dossier. En net zoals bij het landelijk EPD neigen wij naar een verschuiving van autorisatie vooraf naar controle achteraf. Omdat autorisatie vooraf moeilijk te beheren is.”
Hoe voorkom je dan als een bekende Rotterdammer, bijvoorbeeld Lee
Towers, hier wordt opgenomen, iedereen gaat kijken wat hij
mankeert?
“Die krijgt dan een VIP-status waardoor de toegang veel strikter is geregeld.”
“Die krijgt dan een VIP-status waardoor de toegang veel strikter is geregeld.”
Dossiers van een onbekende Rotterdammers mag iedereen
inzien?
“Niet iedereen maar de toegang wordt wel ruimer. Voorheen moest bijvoorbeeld voor een verpleegkundige die inviel op een andere afdeling, opnieuw de toegang geregeld worden tot de dossiers van de patiënten op die afdeling. We gaan nu de toegang koppelen aan bepaalde rollen, zoals stafarts of nurse-practitioner. Daarnaast gaan we onderscheid maken tussen inzien en registratie, waarbij registratie aan strikte voorwaarden is verbonden. Bovendien hebben we voor de omgang met patiëntgegevens een gedragscode ontwikkeld. Maar het blijft een lastig probleem. En als het al een moeilijk vraagstuk is voor het Erasmus MC, waar je met honderdduizenden patiënten te maken hebt, dan is het helemaal ingewikkeld voor het landelijk EPD waarbij het gaat om zestien miljoen patiënten.”
“Niet iedereen maar de toegang wordt wel ruimer. Voorheen moest bijvoorbeeld voor een verpleegkundige die inviel op een andere afdeling, opnieuw de toegang geregeld worden tot de dossiers van de patiënten op die afdeling. We gaan nu de toegang koppelen aan bepaalde rollen, zoals stafarts of nurse-practitioner. Daarnaast gaan we onderscheid maken tussen inzien en registratie, waarbij registratie aan strikte voorwaarden is verbonden. Bovendien hebben we voor de omgang met patiëntgegevens een gedragscode ontwikkeld. Maar het blijft een lastig probleem. En als het al een moeilijk vraagstuk is voor het Erasmus MC, waar je met honderdduizenden patiënten te maken hebt, dan is het helemaal ingewikkeld voor het landelijk EPD waarbij het gaat om zestien miljoen patiënten.”
Wie is Jan Willem Schoemaker?
Jan Willem Schoemaker (46) is een geboren en getogen Rotterdammer. Twintig jaar geleden studeerde hij af als econoom aan de Erasmus Universiteit in Rotterdam, met als specialisatie economische modellen. Maar daar was geen brood in te verdienen, aldus Schoemaker. Dus belandde hij in de adviseurswereld: eerst bij een Rotterdams bedrijf gespecialiseerd in computerbeveiliging en later bij KPMG. “Ik vond het leuk om thuis met computers te stoeien.”
Na ruim vijftien jaar als adviseur gewerkt te hebben, wilde Schoemaker een wat rustiger baan. Hij was inmiddels getrouwd, had kleine kinderen. “Bij een consultancybaan is het toch altijd vroeg weg, laat thuis en na het eten de laptop weer open.” Hij zocht daarom een vaste baan binnen een organisatie, liefst in de regio Rotterdam. En zo kwam hij vier jaar geleden terecht in het Erasmus MC. “Ik doe hier hetzelfde als voorheen, maar dan binnen één organisatie.”
Jan Willem Schoemaker (46) is een geboren en getogen Rotterdammer. Twintig jaar geleden studeerde hij af als econoom aan de Erasmus Universiteit in Rotterdam, met als specialisatie economische modellen. Maar daar was geen brood in te verdienen, aldus Schoemaker. Dus belandde hij in de adviseurswereld: eerst bij een Rotterdams bedrijf gespecialiseerd in computerbeveiliging en later bij KPMG. “Ik vond het leuk om thuis met computers te stoeien.”
Na ruim vijftien jaar als adviseur gewerkt te hebben, wilde Schoemaker een wat rustiger baan. Hij was inmiddels getrouwd, had kleine kinderen. “Bij een consultancybaan is het toch altijd vroeg weg, laat thuis en na het eten de laptop weer open.” Hij zocht daarom een vaste baan binnen een organisatie, liefst in de regio Rotterdam. En zo kwam hij vier jaar geleden terecht in het Erasmus MC. “Ik doe hier hetzelfde als voorheen, maar dan binnen één organisatie.”
Tip een collega
Print
