Cyberveerkracht voor de rest van ons: hoe we dit binnen een realistisch budget kunnen realiseren
Cloud Security Podcast EP240 – Google
Presentatoren Anton Chuvakin en Timothy Peacock praten met experts uit de sector over enkele van de meest interessante aspecten van cloudbeveiliging.
Gast: Errol Weiss – onderwerpen: Cloudbeveiliging en -hygiëne | Cloudbeveiligingspraktijken
Hoe is het vergroten van digitale veerkracht cruciaal voor bedrijven? Hoe kunnen leiders de overstap maken van "alleen cybersecurity" naar "digitale veerkracht"?
Hoe kun je zo veerkrachtig mogelijk zijn met de middelen die je hebt? Hoe kun je zo veerkrachtig mogelijk zijn met zo min mogelijk geld?
Hoe kun je jezelf kleiner maken als doelwit?
Kleinere doelmaatregelen passen binnen wat sommigen 'basis' noemen. Maar 'basishygiëne' is voor velen eigenlijk heel moeilijk. Wat zijn jouw drie beste hygiënetips om dit te bereiken die echt werken?
We hebben het over organisaties met een tekort aan middelen, maar sommige organisaties hebben nog veel minder middelen. Wat is uw advies voor organisaties met een extreem tekort aan beveiligingsmiddelen?
Leveranciersbeveiliging beoordelen – wat is vandaag de dag in 2025 het belangrijkste om te overwegen? Hoe voorkom je dat je leverancier je hackt?
Hier vindt u de Google Cloud Security Podcast en de genoemde bronnen. Klik Hier
In 2024 was cybersecurity een grote uitdaging voor de gezondheidszorgsector, met meerdere spraakmakende aanvallen. Eén aanval, waarbij gegevens van een recordaantal van 100 miljoen Amerikanen werden blootgelegd, was een 'mijlpaalgebeurtenis' die benadrukte hoe onderling verbonden de gezondheidszorgsector is, aldus Errol Weiss, Chief Security Officer bij de Centrum voor het delen en analyseren van gezondheidsinformatie.
Lees meer over de andere drie trends in dit artikel van de Adviesraad. Klik Hier
Deskundigen zeggen dat de vorm van AI-regelgeving onder het Trump-bestuur dit jaar onzeker zal zijn, terwijl zorgbedrijven hun cyberdefensie zullen blijven versterken om de toenemende aanvallen het hoofd te bieden.
Cybercriminelen blijven zich richten op de gezondheidszorg
Cybersecurity bleek in 2024 een grote uitdaging voor de gezondheidszorgsector en organisaties nemen dit in de gaten, zeggen experts. Maar het op peil brengen van de cyberbeveiliging van de sector zal tijd kosten — en hackers zullen waarschijnlijk niet stoppen met het targeten van gezondheidszorgbedrijven.
De sector komt uit een jaar met meerdere opvallende aanvallen. Begin 2024 had het hele ecosysteem van de gezondheidszorg moeite om de gevolgen van de cyberaanval op Change Healthcare, een technologiebedrijf en claimsverwerker van de branchegigant UnitedHealth, te beheersen.
De aanval, waarbij gegevens van een recordbrekende 100 miljoen Amerikanen — was een ‘mijlpaal’ die de onderlinge verbondenheid van de sector benadrukte, zei Errol Weiss, hoofd beveiliging bij de Centrum voor het delen en analyseren van gezondheidsinformatie, ofwel Health-ISAC.
"Ik denk dat het moment waarop we wakker werden, was dat leveranciers een single point of failure-impact konden hebben op de levering van gezondheidszorg", aldus Weiss.
Lees het volledige artikel in Healthcare Dive. Klik Hier
Het New York Blood Center (NYBC) meldt dat het te maken heeft gehad met een ransomware-aanval die de werkzaamheden heeft verstoord en het bedrijf heeft gedwongen een aantal operaties te verzetten.
Cyberaanvallen op bloeddonatiecentra hebben geleid tot Centrum voor het delen en analyseren van gezondheidsinformatie (Health-ISAC)) en de American Hospital Association (AHA) om een gezamenlijk dreigingsbulletin waarschuwing voor mogelijke verstoringen in de toeleveringsketen.
"De recente ransomware-aanval op het New York Blood Center (NYBC) dient als een wake-upcall voor organisaties in alle sectoren, met name die in kritieke diensten zoals de gezondheidszorg", aldus Roei Sherman, Field CTO bij Mitiga“Als een van 's werelds grootste onafhankelijke bloedinzamelings- en distributieorganisaties ondermijnt dit incident niet alleen hun operationele capaciteit, maar brengt het ook de volksgezondheid in gevaar.”
Lees het volledige artikel in CPO Magazine. Klik Hier
Initiatief is gericht op het versterken van de veiligheid van EU-lidstatenziekenhuizen en zorgaanbieders
Errol Weiss, hoofd beveiliging van de Gezondheid-ISAC in de VS, zei dat het actieplan van de EU-commissie komt op een moment dat zorginstellingen nog steeds moeite hebben om voldoende financiering te verkrijgen om hun netwerken goed te verdedigen.
"Het probleem is zichtbaar in de EU, de VS en wereldwijd. Zorginstellingen hebben middelen nodig – niet alleen de technologie die nodig is om die netwerken te beschermen, maar ook de ervaren infosec-professionals om die systemen te runnen," zei hij. "Ik ben blij dat de commissie de waarde erkent die ISAC's toevoegen aan de bescherming van organisaties en het verbeteren van de beveiliging door informatie-uitwisseling en samenwerking," zei hij.
Degenen die verantwoordelijk zijn voor de bescherming van hun digitale infrastructuur beseffen dat ze door informatie te delen niet alleen zichzelf beschermen, maar ook de beveiliging van het gehele digitale ecosysteem versterken, aldus Weiss.
In 2023 ging de Health-ISAC een partnerschap aan met de European Health ISAC om de 'wereldwijde kracht' van de Health-ISAC-leden te benutten door de zichtbaarheid van bedreigingen in meer dan 140 landen te combineren met de kracht van de gemeenschap en lokale perspectieven van de European Health ISAC, zei hij.
"We moeten ons verenigen en waakzaam blijven tegen cyberdreigingen", zei hij. "Met Health-ISAC en European Health ISAC die samenwerken in de EU, kunnen we een veiligere gemeenschap creëren waar zorginstellingen profiteren van een beter zicht op bedreigingen en kwetsbaarheden, plus ze profiteren van het delen van best practices en andere belangrijke inzichten die uiteindelijk de veiligheid van patiënten verbeteren."
Lees het volledige artikel in Data Breach Today. Klik Hier
Deskundigen bieden advies voor het beheren van groeiende voorraden, bronnen voor leveranciers
De richtlijnen van de HSCC 'Health Industry Cybersecurity – Managing Legacy Technology Security' (HIC-MaLTS) bieden organisaties best practices die kunnen worden gebruikt om cyberrisico's van verouderde medische technologieën te beheren, aldus Phil Englert, vice-president van de afdeling beveiliging van medische apparaten bij het Health Information Sharing and Analysis Center.
HIC-MaLTS pakt veelvoorkomende uitdagingen op het gebied van cybersecurity in de gezondheidszorg aan. Bijvoorbeeld, "veel verschillende soorten medische apparaten en de diverse locaties waar ze worden gebruikt, hebben unieke risicoprofielen en omvatten diagnostische, therapeutische, draagbare, implanteerbare en software-as-a-medische apparaatfuncties, onder andere, die kunnen worden gebruikt in ziekenhuizen, klinieken en andere niet-klinische en thuiszorgomgevingen," zei hij.
Ook in dit artikel:
vier levenscyclusfasen van medische hulpmiddelen
“System-view”-inventarissen gecombineerd met segmentatie en netwerktoegangscontroles
Modelcontracttaal van HSCC voor Medtech Cybersecurity
Lees hier het artikel in Healthcare Infosecurity. Klik Hier
Lees het volledige artikel in Information Security Buzz. Klik Hier
Sinds 1996 is de Health Insurance Portability and Accountability Act (HIPAA) is de hoeksteen van de privacy van patiënten. De wet stelde normen vast voor hoe zorginstellingen omgaan met en patiëntgegevens delen, en creëerde een kader voor het waarborgen van vertrouwelijkheid.
Maar het gezondheidszorglandschap is drastisch veranderd en daarmee zijn de risico's vermenigvuldigd. Opkomende cyberdreigingen en complexe kwetsbaarheden hebben kritieke hiaten in de bescherming van HIPAA blootgelegd. Als reactie hierop voeren wetgevers nieuwe wetgeving door die erop gericht is om zorginstellingen te versterken tegen de escalerende vloedgolf van cyberaanvallen.
Vorig jaar hebben wetgevers twee wetsvoorstellen ingediend – de Healthcare Cybersecurity Act van 2024 en de Health Infrastructure Security and Accountability Act van 2024 (HISAA) – gericht op het moderniseren van de bescherming van gevoelige gezondheidsgegevens. Hoewel deze maatregelen een belangrijke stap voorwaarts vormen, blijven ze steken in het wetgevingsproces en moeten ze nog wet worden.
En zelfs als ze worden aangenomen, schieten de beperkte reikwijdte en handhavingsmechanismen die in deze wetsvoorstellen worden geschetst mogelijk tekort om de toenemende cyberdreigingen aan te pakken die ons steeds digitaler wordende zorgsysteem teisteren. Zonder een uitgebreidere en agressievere aanpak lopen deze initiatieven het risico om te worden gezien als symbolische gebaren in een strijd die om urgente en beslissende actie vraagt.
Lees verder om een volledig begrip te krijgen van beide wetsvoorstellen, inclusief
Bescherming van niet-traditionele gezondheidsgegevens
De uitdagingen aangaan
Leiderschap versterken
HIPAA-updates in aantocht
Een toekomst van veerkracht
Lesen Sie hier den vollständigen Artikel. Klik Hier
Phil Englert en onze gastheer Chris Blask zijn covoorzitters van een CISA-werkgroep voor het delen van software bill of materials (SBOM). De werkgroep heeft een proces ontwikkeld om ISAC's en vergelijkbare organisaties te helpen de controlearchitectuur te bepalen die nodig is om de distributie van SBOM's onder hun leden te beheren.
Luister hier naar de Inevitability Curve-podcast EP14. Klik Hier
Zorginstellingen van alle soorten en maten moeten zich vanaf 2025 aan strengere normen voor cyberbeveiliging houden met nieuwe voorgestelde regels. Maar niet alle organisaties hebben daar het budget voor.
HIPAA is al sinds het begin de beste, maar nog steeds ontoereikende, regelgeving die cyberbeveiliging voor de gezondheidszorgsector dicteert.
“[Er is] een geschiedenis van het feit dat de focus op de verkeerde plaats lag vanwege de manier waarop HIPAA halverwege de jaren negentig werd opgesteld”, zegt Errol Weiss, chief information security officer (CISO) van het Healthcare Information Sharing and Analysis Center (Health-ISAC). “Destijds was er een grote drang om medische en gezondheidsdossiers over te zetten naar het elektronische medium. En met de komst van de HIPAA-regelgeving ging het allemaal om het beschermen van de privacy van patiënten, maar niet per se om het beveiligen van die dossiers.”
De focus van HIPAA op privacy beperkte de mogelijkheid om meer diverse cybersecuritybedreigingen in de jaren 2010 aan te pakken, met name ransomware. In plaats van het te gebruiken als basis voor het ontwikkelen van een robuuste beveiligingshouding, behandelden organisaties HIPAA meer als een set vakjes om aan te vinken. "Het eindigde budgetten richten op naleving en niet per se op beveiliging. En in de afgelopen vijf of zes jaar hebben we gezien wat er gebeurt in een omgeving die niet goed beveiligd is, niet goed vastligt, niet goed geback-upt is, wanneer ze getroffen worden door ransomware," zegt Weiss.
"Zelfs als ze al alle NIST-controles volgen", schat Pingree van Dispersive, kan de implementatie van de nieuwe HIPAA-beveiligingsregels "voor een kleine dokterspraktijk slechts $ 100,000 kosten, maar voor een grote medische groep kan het vele miljoenen kosten."
Een mogelijke manier waarop organisaties in de gezondheidszorg die onder druk staan, al deze nieuwe regels en de bijbehorende kosten kunnen navigeren, is met een uitbestede, virtuele chief information security officer (vCISO), aldus Weiss. Want "het gaat niet alleen om het kopen van de technologie. Het gaat ook om het werven en behouden van de cybersecurity-expertise die je nodig hebt om te kunnen werken", zegt hij.
"Deze organisaties weten niet waar ze moeten beginnen", vervolgt hij. "De cybersecuritymarkt is erg verwarrend. Er zijn veel spelers. Er zijn veel oplossingen. Dus als je $ 100 te besteden hebt aan cybersecurity, waar geef je dat dan uit? Ze hebben hulp nodig om dat allemaal uit te zoeken. En ik denk dat zoiets als een virtuele CISO kan helpen bij het implementeren van een strategie, en dan virtueel aanwezig kan zijn - om in te checken, om een bron te zijn voor die organisatie als ze vragen hebben en wat hulp nodig hebben. Het lijkt een behoorlijk model voor deze kleine plattelandsziekenhuizen die niet per se een fulltime CISO kunnen rechtvaardigen of inhuren."
Lees het volledige artikel in Dark Reading. Klik Hier
Deskundigen: Nieuwe mandaten kunnen voor veel entiteiten moeilijk en kostbaar zijn
Volgens experts zou een voorgestelde herziening van de federale cybersecurityregelgeving voor de gezondheidszorgsector voor veel organisaties een zware en dure klus kunnen betekenen.
“De kosten om aan deze bepalingen te voldoen zullen enorm zijn”, aldus Errol Weiss, Chief Security Officer van het Health Information Sharing and Analysis Center. "Waar komt het geld vandaan om dit allemaal te betalen? Het kan niet komen van toekomstige besparingen door vermeden boetes voor overtredingen. Financieel krappe zorgaanbieders, met name kleine plattelandsziekenhuizen, hebben niet de middelen om deze nieuwe voorstellen te ondersteunen," zei hij.
Volgens Weiss zal aan dergelijke wettelijke vereisten financiële ondersteuning moeten worden verstrekt, zodat zorgaanbieders de juiste technologie kunnen aanschaffen en, nog belangrijker, ervaren professionals op het gebied van cybersecurity kunnen werven en behouden om hun netwerken adequaat te beschermen.
Lees het volledige artikel in Bank InfoSecurity. Klik Hier
Google werkt samen met Health-ISAC om innovatieve trainingsprogramma's, programma's voor cybersecurity-informatie en andere hulpmiddelen te leveren voor zorgstelsels op het platteland.
Cyberaanvallen op zorginstellingen verstoren hun operationele vermogen en brengen de patiëntenzorg in gevaar. Landelijke zorgsystemen in de VS bedienen 60 miljoen mensen en vormen het hart van talloze gemeenschappen. De veiligheid van iedereen in een gemeenschap wordt bedreigd wanneer cruciale informatiesystemen voor de gezondheidszorg niet beschikbaar zijn vanwege cyberincidenten.
Google zet zich in om kwetsbare zorgsystemen te helpen hun veerkracht tegen cyberaanvallen te versterken. We werken samen met de overheid en de industrie om onze diensten, ondersteuning en technologieën aan te bieden, zodat systemen zich kunnen richten op patiëntenzorg.
Een op maat gemaakt initiatief om de veiligheid te verbeteren
Ontworpen voor plattelandsziekenhuizen
Plattelandsgezondheidssystemen en ziekenhuizen weerspiegelen de uniciteit van de gemeenschappen die ze bedienen, en dat geldt ook voor ons aanbod. Het levert een groeiende set van beveiligde Google-technologie voor toegang en samenwerking, advies- en ondersteuningsdiensten en beveiligingstrainingsbronnen met korting of zonder kosten. De oplossing is aangepast aan de behoeften van elke plattelandsgezondheidsinstelling. De gezondheidsfaciliteit moet zich bevinden in een county of regio die door de Beheer van gezondheidsbronnen en -services (HRSA-richtlijn).
De kracht van samenwerking in de industrie benutten
Effectieve samenwerking om cyberaanvallen te verdedigen en erop te reageren is van vitaal belang voor het beveiligen van de gezondheidszorg. Google is een ambassadeur partner aan het Health Information Sharing and Analysis Center (Health-ISAC). De missie van Health-ISAC is om vertrouwde relaties in de wereldwijde gezondheidszorgsector te versterken om cybersecurity- en fysieke beveiligingsincidenten te helpen voorkomen, detecteren en erop te reageren, zodat leden zich kunnen richten op het verbeteren van de gezondheid en het redden van levens. Google werkt samen met Health-ISAC om innovatieve trainingsprogramma's, cybersecurity intelligence-programma's en andere bronnen voor plattelandsgezondheidssystemen te leveren.
Programma-aanbod
De meeste hiervan worden gratis of met aanzienlijke kortingen aangeboden, waarbij rekening wordt gehouden met de financiële beperkingen waarmee veel landelijke zorgsystemen te maken hebben. Daarnaast bieden we implementatiediensten en ondersteuning aan in aanmerking komende organisaties. Deze aanbiedingen zijn op dit moment alleen beschikbaar in de VS.
Van bankieren tot cybersecurity in de gezondheidszorg
We spraken met Errol Weiss, Chief Security Officer van Health-ISAC, over zijn 25-jarige carrière in de banksector, overheid en gezondheidszorg. Ook identificeerden we de grootste cyberbeveiligingsbedreigingen en trends die van invloed zijn op de gezondheidszorgsector in 2025 en daarna.
Unieke uitdagingen op het gebied van cyberbeveiliging in de gezondheidszorg
Weiss beschreef de unieke uitdagingen waarmee zorginstellingen worden geconfronteerd in vergelijking met financiële diensten. Zorgsystemen beheren vaak complexe infrastructuren, waaronder moderne cloudgebaseerde systemen, verouderde apparaten (zoals MRI-machines met verouderde besturingssystemen) en diverse ecosystemen voor medische apparaten. Deze complexiteit wordt verergerd door een langdurige onderinvestering in cyberbeveiliging, waarbij middelen historisch gezien werden toegewezen aan privacy en naleving (bijv. HIPAA-regelgeving) in plaats van robuuste beveiligingsmaatregelen.
Hij benadrukte dat onderfinanciering en een gebrek aan toegewijde Chief Information Security Officers (CISO's) in de gezondheidszorg het moeilijk maken om deze omgevingen effectief te beschermen. Incidenten zoals ransomware-aanvallen hebben echter geleid tot meer bewustzijn en investeringen in cybersecurity in de gezondheidszorg in het afgelopen decennium.
