Vooralsnog zorgt de oorlog tussen Rusland en Oekraïne niet voor een verhoogde dreiging van cyberaanvallen op de zorg. Dat geeft Z-CERT aan, het Computer Emergency Response Team voor de zorgsector. Maar het is altijd slim om goed voorbereid te zijn op welke ramp dan ook, of het nu om een cyberaanval gaat, een pandemie of een brand. De zorg moet 24/7 doorgaan. En dan is het belangrijk dat de ICT-infrastructuur weer snel functioneert na een ramp. In deze blog lees je meer over hoe je je als zorginstelling kunt voorbereiden op een digitale oorlog en wat Hands on ICT voor je kan betekenen in onzekere tijden.
Onmisbaar in de zorg: een disaster recovery plan. Het plan richt zich op kritische ICT-systemen en dat je die weer in de lucht krijgt, inclusief je toegang tot benodigde data, na een gebeurtenis die daar een negatieve impact op heeft gehad. Disaster recovery is dus anders dan bedrijfscontinuïteit, een concept dat zich bezighoudt met het hervatten van de werkzaamheden door zorgmedewerkers. Bij disaster recovery staat voornamelijk de ICT-infrastructuur centraal. Maar het soepel kunnen herstellen na een ramp vraagt wel om een goede voorbereiding.
Het disaster recovery plan omvat de volgende punten:
Hier zullen we wat dieper op in gaan.
Wat zijn de potentiële risico's die impact kunnen hebben op de ICT-infrastructuur van jouw zorginstelling? Denk aan een ransomware-aanval, waardoor je niet meer bij je bestanden kunt. Risico's kunnen ook locatiespecifiek zijn: misschien ligt jouw zorginstelling net achter een dijk, wat als deze doorbreekt bij hoogwater? Breng ook in kaart wat de meest kritische systemen zijn voor het verlenen van zorg.
In deze stap bekijk je wat voor impact de risico's hebben op de zorgwerkzaamheden. Een datalek zorgt voor imagoschade en als medische apparatuur niet meer werkt, dan heeft dat gevolgen voor de zorg van patiënten. Een ramp kan uiteenlopende consequenties hebben, bijvoorbeeld op het gebied van veiligheid, financiën, naleving van wetgeving en het borgen van kwaliteit.
Met het vaststellen van je RPO en RTO zorg je voor kwantitatieve doelstellingen van je disaster recovery plan. De RPO is de maximale periode waarin data verloren kan gaan tussen de gebeurtenis en de laatste back-up. De RTO bepaalt na hoeveel tijd je systemen weer moeten werken na een ramp.
Essentieel in een disaster recovery plan is het maken van back-ups. Stel vast hoe vaak je back-ups maakt van welke data, hoeveel kopieën je maakt en waar je die opslaat. Een goede richtlijn voor een solide back-upstrategie is de 3-2-1-1-0-regel: maak drie kopieën van je data, bewaar deze op twee verschillende media, waarvan je er één offsite bewaart en één offline. De nul staat voor een golden copy, waarvan je zeker weet dat deze niet is gecompromitteerd.
We kunnen het niet vaak genoeg zeggen: hoe goed een disaster recovery plan eruitziet op papier, in de praktijk loop je altijd tegen obstakels aan. Daarom is het cruciaal om regelmatig (een deel van) je disaster recovery plan te testen. Ook als er weer nieuwe dreigingen of risico's ontstaan, is het slim om je plan te herzien. Zo ben je er klaar voor om snel te herstellen na een rampscenario.
We krijgen regelmatig de vraag van klanten of wij hen kunnen ondersteunen bij het voorbereiden op een ramp. En de laatste tijd worden steeds meer zorgen geuit over wat de gevolgen van een digitale oorlog kunnen zijn voor hun zorginstelling. Bij Hands on ICT houdt ons blue team de ontwikkelingen nauwlettend in de gaten. Als we eventuele kwetsbaarheden in de ICT-infrastructuur ontdekken, dan zorgen we dat die gelijk worden gepatcht. Op die manier proberen we onze klanten veilig te houden.
Maar het begint dus allemaal met een goede voorbereiding. Zoals het vastleggen van verschillende maatregelen in je disaster recovery plan, zodat iedereen weet welke procedures er gevolgd moeten worden en wie waarvoor verantwoordelijk is.
Wil je meer lezen over hoe je veilig én efficiënt kunt werken in de zorgsector door de juiste inzet van ICT? Download dan onze whitepaper 'Digitalisering in de zorg'.
