Cybersecurity voor de zorg

Ziekenhuizen, GGZ, VVT en huisartsenpraktijken zijn steeds vaker doelwit van gerichte aanvallen. Tegelijkertijd moet de zorg gewoon doorgaan: SEH, OK, beeldvorming, lab. Uitval is geen optie.

NEN 7510 / 7512 / 7513NIS2 & CyberbeveiligingswetEPD, medische apparatuur & leveranciers

> De cybersecurity-uitdaging in de zorg

De zorgsector combineert alles wat aanvallers interessant vinden: gevoelige medische gegevens, kritieke processen en complexe ketens met leveranciers en cloud-diensten.

Ziekenhuizen zijn een van de meest aangevallen sectoren in Europa; ransomware legt regelmatig OK’s, SEH’s en beeldvorming plat. [bron: ENISA, World Economic Forum]
Nederlandse zorginstellingen melden jaarlijks tientallen ernstige datalekken en incidenten aan IGJ en AP. [bron: Z-CERT, IGJ]
Legacy-systemen, medische apparatuur en leverancierskoppelingen maken patchen en segmentatie complex. [bron: NEN / ENISA]

Concreet: waar gaat het mis in de praktijk?

EPD- of portaalaccounts die worden misbruikt via phishing of zwakke wachtwoorden.
VPN-toegang voor leveranciers die nooit is ingeperkt of uitgeschakeld.
Medische apparatuur in hetzelfde netwerksegment als kantoor-IT.
Onvoldoende logging en monitoring, waardoor aanvallen pas laat worden ontdekt.
Uitbestede IT zonder duidelijke afspraken over patchbeleid, logging en incidentrespons.

> Wet- en regelgeving voor zorginstellingen

Zorgorganisaties moeten tegelijkertijd voldoen aan NEN-normen, Europese regelgeving en eisen van toezichthouders en zorgverzekeraars.

NIS2 / Cyberbeveiligingswet

Grote zorginstellingen vallen onder NIS2 (in Nederland de Cyberbeveiligingswet). Dat betekent o.a.:

Risicogebaseerde maatregelen voor netwerk- en informatiesystemen.
Verplichte meldingen van significante incidenten binnen strikte termijnen.
Bestuurlijke verantwoordelijkheid voor cybersecurity (raad van bestuur / directie).

Sectornormen: NEN 7510 en aanpalende normen

NEN 7510 is de basisnorm voor informatiebeveiliging in de zorg. Vaak aangevuld met:

NEN 7512 / 7513 voor logging, uitwisseling en vastlegging.
ISO 27001/27002 als raamwerk voor informatiebeveiligingsmanagement.
DigiD-vereisten voor systemen met publieke identificatie/authenticatie.

> Hoe Neo Security zorgorganisaties helpt

We beginnen niet met een generieke scan, maar met jullie realiteit: type zorginstelling, kritieke systemen, leveranciers, medische apparatuur, EPD/EVS en cloud.

NEN 7510 / NIS2 gap-analyse

Analyse van huidige maatregelen, beleid en logging.
Overzicht van risico’s per proces (bijv. SEH, OK, lab, beeldvorming).
Roadmap richting aantoonbare compliance.

Meer over governance & compliance: NIS2 / Cyberbeveiligingswet en compliance & governance.

Gerichte pentests op zorgsystemen

EPD/ HIS / LIS / PACS en patiëntportalen.
VPN’s, externe toegang (ZIS, thuismonitoring).
API’s richting leveranciers en zorgverzekeraars.

Meer over onze pentests: pentest-aanpak.

OT & medische apparatuur (OT/IoMT-security)

Segmentatie en hardening van medische netwerken.
Risicoanalyse van verbonden apparatuur (infusiepompen, monitors, scanners).
Non-disruptive testen die de zorgprocessen niet onderbreken.
We werken graag samen met leveranciers en R&D-teams om healthcare-apparatuur veilig te testen.

Meer over OT/ICS: OT security assessment.

Incident Response & tabletop-oefeningen

Ransomware- en datalek-scenario’s specifiek voor zorgorganisaties.
Oefenen met crisisteam (CIO, CISO, medisch manager, communicatie).
Heldere draaiboeken voor IGJ-meldingen, Autoriteit Persoonsgegevens en patiëntencommunicatie.

Meer over response: incident response en tabletop-oefeningen.

Security awareness voor zorgprofessionals

Praktische trainingen voor artsen, verpleegkundigen en balies.
Focus op phishing, medicatie- en identiteitsfraude, gebruik van mobiele apparatuur.
Afgestemd op de werkdruk en realiteit op de vloer.

Meer over awareness: security awareness training en phishing tests.

> Waarom Neo Security voor de zorg?

Je kunt cybersecurity in de zorg overlaten aan een generiek adviesbureau – of aan een team dat zelf aan de knoppen heeft gestaan.

We komen uit de praktijk.
Opgegroeid tussen patchkasten, datacenters en hybride omgevingen. We kennen de beperkingen van EPD’s, leveranciers en legacy zelf.
Feiten boven angst.
Geen FUD-presentaties, maar bevindingen met duidelijke prioritering: wat moet nu, wat kan later, wat is nice-to-have.
Combinatie offense + governance.
We koppelen pentests en red teaming aan NEN 7510/NIS2- en ISO 27001-kaders, zodat findings direct vertaalbaar zijn naar beleid, controls en audits.
Sectorfocus op vitale omgevingen.
We werken vooral voor organisaties waar uitval geen optie is: zorg, industrie, energie, overheid. De zorg hoort daar absoluut bij.

> Klaar voor een nuchtere blik op uw digitale zorgomgeving?

We beginnen meestal met een korte verkenning: welke systemen zijn kritiek, waar zit de grootste druk (EPD, medische apparatuur, leveranciers) en welke verplichtingen gelden al (NEN 7510, NIS2, contractueel)? Van daaruit bepalen we samen of een gap-analyse, pentest of tabletop-oefening de beste eerste stap is.

Plan een verkenningssessie Bekijk onze pentestaanpak

Onze aanvalskracht, uw sterkste verdediging. Ook aan het bed van de patiënt.

Bronnen & achtergrond

> loading…