NEN 7510-2

1) Maskering door insiders (met inbegrip van maskering door zorgverleners en ondersteunend personeel)

Maskering door insiders bestaat uit het gebruik van systemen door personen die gebruikmaken van accounts die niet hun eigen account zijn. Dit betekent een falen van de beveiligde authenticatie van gebruikers. Vaak vindt maskering door insiders eenvoudigweg plaats omdat dit het voor mensen gemakkelijker maakt om hun werk te doen. Bijvoorbeeld: als een zorgverlener een werkstation na een collega kan gebruiken en verder werkt in een dossier van een al actieve cliënt, is de verleiding groot om het ongemak te vermijden dat de eerste gebruiker moet uitloggen en de tweede gebruiker moet inloggen. Desalniettemin is maskering door insiders ook een bron van ernstige schendingen van de vertrouwelijkheid. Het is in feite zo dat het merendeel van de schendingen van de vertrouwelijkheid wordt gepleegd door mensen binnen de organisatie. Maskering door insiders kan ook worden uitgevoerd met het oogmerk gevallen waar schade is berokkend te verhullen.

2) Maskering door dienstverleners (met inbegrip van ingehuurd onderhoudspersoneel zoals systeemsoftware-engineers, hardwarereparateurs en anderen die wellicht een pro-forma legitieme reden hebben om toegang te maken tot systemen en gegevens)

Maskering door dienstverleners bestaat uit het gebruik door ingehuurd personeel van hun toegangsrecht tot systemen (bijvoorbeeld tijdens het op locatie testen en herstellen van apparatuur waaraan zich een storing heeft voorgedaan) om onbevoegde toegang tot gegevens te krijgen. Als zodanig is dit een schending van – of het onvoldoende goed voorzien in – beveiligde uitbestedingsregelingen. Hoewel dit minder vaak voorkomt dan maskering door insiders, kan maskering door dienstverleners ook een bron zijn van ernstige schendingen van de vertrouwelijkheid van persoonlijke gezondheidsinformatie.

3) Maskering door buitenstaanders (met inbegrip van hackers)

Maskering door buitenstaanders vindt plaats als onbevoegde derden zich toegang verschaffen tot systeemgegevens of middelen, hetzij door zich voor te doen als bevoegde gebruiker of door op frauduleuze wijze een bevoegde gebruiker te worden (bijvoorbeeld via wat wordt aangeduid als ‘social engineering’). Maskering door buitenstaanders vindt niet alleen door hackers plaats, maar ook door journalisten, privédetectives en ‘hacktivisten’ (hackers die namens politieke belangenorganisaties werken of daarmee sympathiseren). Maskering door buitenstaanders betekent een falen van een of meer van de volgende beveiligingsbeheersmaatregelen:

i     identificatie van gebruikers;

ii    authenticatie van gebruikers;

iii  authenticatie van de oorsprong;

iv  toegangscontrole- en -rechtenmanagement.

4) Onbevoegd gebruik van een gezondheidsinformatietoepassing

Het kan verrassend eenvoudig zijn om onbevoegd toegang te krijgen tot een gezondheidsinformatietoepassing (bijvoorbeeld door een cliënt die naar een verlaten werkstation in het kantoor van een arts loopt en het scherm bekijkt). Bevoegde gebruikers kunnen ook onbevoegde handelingen uitvoeren; bijvoorbeeld het met kwade opzet veranderen van gegevens. In Groot-Brittannië trachtte dr. Harold Shipman de beruchte moorden op een groot aantal van zijn cliënten te verbergen door dossiers op zijn computersysteem te wijzigen.

Vanwege het kritische belang van het correct identificeren van cliënten en het daaraan koppelen van het juiste medische dossier verzamelen zorginstellingen gedetailleerde identificerende informatie over de cliënten die worden behandeld. Deze identificerende informatie kan van grote waarde zijn voor mensen die deze zouden willen gebruiken om identiteitsdiefstal te plegen en daarom behoort deze streng beschermd te worden.

In het algemeen betekent onbevoegd gebruik van gezondheidsinformatietoepassingen een falen van een of meer van de volgende beheersmaatregelen:

i     op werkgroepen gebaseerde toegangscontrole (bijv. door een gebruiker toe te laten tot dossiers van cliënten waarmee de gebruiker geen legitieme relatie heeft);

ii    rekenschaps- en auditbeheersing (bijv. door toe te staan dat ongepaste handelingen van gebruikers niet worden opgemerkt);

iii  personeelsbeveiliging (bijv. door niet in toereikende training voor gebruikers te voorzien of duidelijk te maken dat hun toegang tot registraties gecontroleerd en beoordeeld wordt).

5) Het introduceren van schadelijke of verstorende software (met inbegrip van virussen, wormen en andere ‘malware’)

Bij de meeste IT-beveiligingsincidenten zijn er computervirussen in het spel. Het introduceren van schadelijke of verstorende software betekent een falen in de antivirusbescherming of in de beheersing van veranderingen in de software. Hoewel dit meestal binnen de bevoegdheden van netwerksysteembeheerders valt, compliceren de verspreiding van e-mailwormen en virussen, evenals uitbuiting van zwaktes in serversoftware door hackers, gezamenlijk sterk de maatregelen die worden getroffen om schadelijke of verstorende software tegen te gaan.

6) Misbruik van systeemmiddelen

Deze bedreiging betreft ook gebruikers die gezondheidsinformatiesystemen en diensten voor persoonlijke activiteiten gebruiken, gebruikers die niet-werkgerelateerde informatie vanaf internet op computers downloaden die uitsluitend zijn bestemd voor het ondersteunen van gezondheidsinformatiesystemen, gebruikers die databases of andere toepassingen voor niet-werkgerelateerde zaken opzetten of gebruikers die de beschikbaarheid van een gezondheidsinformatiesysteem verlagen door bijvoorbeeld bandbreedte van het netwerk te gebruiken om streaming video of audio voor persoonlijk gebruik te downloaden. Dergelijk misbruik betekent een falen in het handhaven van overeenkomsten voor acceptabel gebruik of in het onderrichten van gebruikers over het belang van het handhaven van de integriteit en beschikbaarheid van gezondheidsinformatiemiddelen.

7) Infiltratie in de communicatie

Infiltratie in elektronische communicatie doet zich voor als een individu (een hacker bijvoorbeeld) de normale stroom van gegevens over een netwerk manipuleert. Het meest voorkomende resultaat hiervan is een denial-of-service-aanval (waarbij servers of netwerkmiddelen offline worden geschakeld), maar andere vormen van infiltratie in de communicatie zijn ook mogelijk (zoals een replay-aanval waarbij een geldig maar verouderd bericht zodanig opnieuw wordt verzonden dat het actueel lijkt te zijn). Infiltratie in de communicatie betekent een falen van beheersmaatregelen om binnendringing op te sporen en/of van beheersmaatregelen voor netwerktoegang, en/of van de risicoanalyse (met name de analyse van kwetsbaarheden) en/of van de systeemarchitectuur (die dusdanig behoort te worden ontworpen dat een verdediging tegen denial-of-serviceaanvallen erin geïntegreerd is).

8) Onderschepping van communicatie

Als een bericht niet is versleuteld tijdens het overdragen ervan, kan de vertrouwelijkheid van de informatie in het bericht worden geschonden als de communicatie onderschept wordt. Dit is eenvoudiger dan het klinkt, aangezien iedereen op een lokaal netwerk eventueel een zogenaamde ‘packet sniffer’ op zijn of haar werkstation kan installeren en daarmee een groot gedeelte van het netwerkverkeer op het lokale netwerk kan monitoren en zo ook e-mails kan lezen terwijl die worden verzonden. Er zijn diverse hackertools gemakkelijk te verkrijgen waarmee men dit proces grotendeels kan automatiseren en vereenvoudigen. Interceptie van communicatie betekent een falen van beveiligde communicatie.

9) Afwijzing

Deze bedreiging omvat gebruikers die ontkennen dat ze een bericht verzonden hebben (afwijzing van de herkomst) en gebruikers die ontkennen dat ze een bericht hebben ontvangen (afwijzing van ontvangst). Ondubbelzinnig vaststellen of persoonlijke gezondheidsinformatie van de ene naar een andere zorgverlener is overgegaan kan een essentieel aspect zijn van onderzoeken naar medische fouten. Afwijzing kan een falen betekenen van het toepassen van beheersmaatregelen zoals digitale handtekeningen op elektronische medische voorschriften (een voorbeeld van afwijzing van de herkomst) of beheersmaatregelen als leesbevestigingen op e-mailberichten (een voorbeeld van afwijzing van ontvangst).

10) Verbindingsfouten (met inbegrip van storingen aan gezondheidsinformatienetwerken)

Alle netwerken vallen wel eens uit. De kwaliteit van dienstverlening is een belangrijke factor bij het verlenen van toegang tot netwerkdiensten in de zorg. Verbindingsfouten kunnen ook het gevolg zijn van het naar een foutieve bestemming leiden van netwerkdiensten (bijvoorbeeld kwaadwillige wijziging van routeringstabellen, waardoor netwerkverkeer wordt omgeleid). Verbindingsfouten kunnen het mogelijk maken dat vertrouwelijke informatie openbaar wordt gemaakt doordat gebruikers gedwongen worden berichten via een minder goed beveiligd mechanisme, zoals via fax of internet, te verzenden.

11) Inbedden van kwaadaardige code

Deze bedreiging omvat e-mailvirussen en vijandige mobile code. Hoewel dit geenszins is voorbehouden aan gezondheidsinformatiesystemen, vergroot het toenemende gebruik van draadloze en mobiele technologieën door zorgverleners de kans dat deze bedreiging schade aanricht. Het inbedden van kwaadaardige code betekent een falen met betrekking tot het doeltreffend toepassen van beheersmaatregelen in de vorm van antivirussoftware of beheersmaatregelen om binnendringing te voorkomen.

12) Per ongeluk foutief routeren

Deze bedreiging omvat de mogelijkheid dat informatie die via een netwerk wordt verzonden, op een foutief adres wordt afgeleverd. Per ongeluk foutief routeren zou een falen kunnen betekenen in de voorlichting van gebruikers of een falende handhaving van de integriteit van adreslijsten van zorgverleners (of beide).

13) Technisch falen van de host, de opslagfaciliteit of de netwerkinfrastructuur

Deze bedreigingen omvatten het falen van hardware, het falen van netwerken of falen in faciliteiten voor gegevensopslag. Een dergelijk falen betekent meestal een falen van een of meer beheersmaatregelen voor het managen van de bedrijfsvoering, zoals genoemd in hoofdstuk 10 van ISO/IEC 27002. Hoewel dit geenszins uniek is voor gezondheidsinformatiesystemen, kan het wegvallen van de beschikbaarheid van dergelijke systemen levensbedreigende gevolgen hebben voor cliënten.

14) Falen van ondersteuningssystemen in de omgeving (waaronder stroomuitval en verstoringen van diensten als gevolg van door mensen veroorzaakte rampen of natuurrampen)

Gezondheidsinformatiesystemen kunnen een kritische noodzaak zijn tijdens natuurrampen en andere gebeurtenissen die levensbedreigend kunnen zijn voor grote aantallen mensen. Deze rampen kunnen ook een enorme schade aanrichten aan ondersteuningssystemen in de omgeving die nodig zijn om de bedrijfsvoering in stand te houden. Een goede beoordeling van de bedreigingen en risico's voor gezondheidsinformatie omvat een beoordeling van hoe kritisch dergelijke systemen zijn indien er zich een natuurramp voordoet, en hoe robuust ze functioneren binnen dergelijke rampscenario's.

15) Systeem- of netwerksoftwarefalen

Denial-of-serviceaanvallen worden grotendeels mogelijk gemaakt door zwakheden in, of foutieve configuratie van, (netwerk)besturingssysteemsoftware. Het falen van systeem- of netwerksoftware betekent een falen in de beheersmaatregelen voor het controleren van de integriteit van software, het testen van systemen of het onderhoud van software.

16) Falen van toepassingssoftware (bijv. van een gezondheidsinformatietoepassing)

Falen in toepassingssoftware kan worden uitgebuit in een denial-of-serviceaanval en kan ook worden gebruikt om de vertrouwelijkheid van beschermde gegevens te compromitteren. Het falen van toepassingssoftware betekent een falen in het testen van software, beheersmaatregelen voor veranderingen aan software of het controleren van de integriteit van software.

17) Bedieningsfouten

Bedieningsfouten maken slechts een klein, maar belangrijk percentage uit van onbedoelde openbaarmakingen van vertrouwelijke informatie en een groot aandeel van de onbedoelde vernietiging van gegevens. Fouten door bedieners betekenen een falen in een of meer van de volgende elementen:

i       bedrijfsvoeringsbeheersmaatregelen;

ii     personeelsbeveiliging (met inbegrip van doeltreffende training); en

iii    rampenherstel (met inbegrip van gegevensback-ups en herstel).

18) Onderhoudsfouten

Onderhoudsfouten zijn fouten die worden gemaakt door personen die verantwoordelijk zijn voor het onderhoud van systeemhardware en -software. Onderhoudsfouten kunnen zowel worden gemaakt door eigen personeelsleden als door werknemers van derden die zijn ingehuurd om onderhoudstaken te verrichten. Dergelijke fouten kunnen op hun beurt de vertrouwelijkheid van beschermde gegevens weer in gevaar brengen. Het foutief configureren van software tijdens het installeren ervan is een veelvoorkomende oorzaak van kwetsbaarheden die hackers later kunnen uitbuiten. Onderhoudsfouten betekenen een falen in beheersmaatregelen voor hardwareonderhoud, softwareonderhoud of veranderingen aan software, of een combinatie daarvan.

19) Gebruikersfouten

Fouten door gebruikers kunnen er bijvoorbeeld toe leiden dat vertrouwelijke informatie naar de verkeerde ontvanger wordt gestuurd. Gebruikersfouten kunnen een falen betekenen van de:

i      gebruikersbeheersmaatregelen (waaronder met het oog op beveiliging ontworpen gebruikersinterfaces); of

ii     personeelsbeveiliging (met inbegrip van training).

20) Personeelstekort

De dreiging van een personeelstekort omvat de mogelijkheid dat sleutelpersoneel afwezig is en moeilijk te vervangen is. In welke mate een organisatie kwetsbaar is voor deze bedreiging, is afhankelijk van de mate waarin een personeelstekort de bedrijfsprocessen zou aantasten. In de zorg kan een epidemie, waardoor de vraag naar tijdige toegang tot gezondheidsinformatie sterk kan toenemen, leiden tot een personeelstekort dat de beschikbaarheid van dergelijke systemen in gevaar kan brengen. Een dergelijk falen betekent een falen in het bedrijfscontinuïteitsmanagement (zie hoofdstuk 14 van ISO/IEC 27002).

21) Diefstal door insiders (waaronder diefstal van uitrusting of gegevens)

Insiders hebben meestal meer toegang tot vertrouwelijke informatie dan buitenstaanders en bevinden zich daarom in een gunstige positie om de informatie te stelen om die te verkopen of aan anderen te openbaren. Hoewel dit betrekkelijk zelden voorkomt, neemt de bedreiging van diefstal van persoonlijke gezondheidsinformatie door insiders toe naarmate de betrokkene beroemder is (bijv. een beroemdheid of een staatshoofd) en neemt dit af naarmate de potentiële sancties zwaarder worden (bijv. een arts die haar beroep niet meer mag uitoefenen). Diefstal door insiders betekent een falen van een van de vele mogelijke beheersmaatregelen, waaronder beheersmaatregelen gericht op uitdraaien op papier, documenten of media; fysieke beveiliging; of fysieke bescherming van apparatuur.

22) Diefstal door buitenstaanders (waaronder diefstal van uitrusting of gegevens)

Diefstal van gegevens en uitrusting door buitenstaanders is een ernstig probleem in bepaalde ziekenhuizen. Diefstal kan leiden tot schendingen van de vertrouwelijkheid, hetzij omdat vertrouwelijke gegevens aanwezig zijn op een server of laptop die gestolen wordt of omdat de gegevens zelf het doel van de diefstal zijn. Diefstal door buitenstaanders betekent een mogelijk falen in een van de vele mogelijke beheersmaatregelen, waaronder beheersmaatregelen voor het gebruik van mobiele computerapparatuur, beveiligd mediatransport, het afhandelen van incidenten, controles op naleving of fysieke bescherming tegen diefstal.

23) Opzettelijke beschadiging door insiders

Opzettelijke beschadiging door insiders omvat vandalisme en andere gevallen waarbij er fysieke schade wordt toegebracht aan IT-systemen of de ondersteunende omgeving ervan door mensen aan wie toegang is verleend. De gebruikers van gezondheidsinformatiesystemen zijn meestal toegewijde zorgverleners en opzettelijke beschadiging is een zeldzaamheid. Opzettelijke beschadiging door insiders betekent een falen van de beveiliging van de personele middelen (zie hoofdstuk 8 van ISO/IEC 27002).

24) Opzettelijke beschadiging door buitenstaanders

De bedreiging van opzettelijke beschadiging door buitenstaanders omvat vandalisme en andere gevallen waarbij er fysieke schade wordt toegebracht aan IT-systemen of de ondersteunende omgeving ervan door mensen aan wie geen toegang is verleend tot dergelijke systemen. Hoewel een dergelijk falen in de meeste bedrijfstakken betekent dat fysieke beveiligingsbeheersmaatregelen niet doeltreffend zijn toegepast, leidt het feit dat cliënten en hun vrienden, kennissen en familieleden toegang hebben tot operationele zones in ziekenhuizen, klinieken en zorginstellingen ertoe dat dergelijke bedreigingen veel moeilijker te voorkomen zijn dan in de meeste andere bedrijfsomgevingen. De beveiligingsbeheersmaatregelen in hoofdstuk 9 van ISO/IEC 27002 behoren zorgvuldig te worden geselecteerd en toegepast om dergelijke bedreigingen te minimaliseren.

25) Terrorisme

De bedreiging van terrorisme omvat daden van extremistische groeperingen die het werk van organisaties in de zorg willen schaden of verstoren of de werking van gezondheidsinformatiesystemen willen verstoren. Hoewel dergelijke grootschalige aanvallen zich nog niet hebben voorgedaan, is het nodig dat planners rekening houden met de dreiging van terrorisme, met name bij het ontwerpen van grootschalige gezondheidsinformatiesystemen, aangezien een aanval op dergelijke systemen de doeltreffendheid van aanslagen met biologische wapens en andere aanslagen die een gezondheidsgerelateerde crisis kunnen veroorzaken zou kunnen verhogen.