Tandarts vult niet alle gaatjes

ICT-dienstverlener Qfast voert IT-security check uit bij praktijken in het hele land

DE MEERN, juli 2017 – Uit een onderzoek van ICT-dienstverlener Qfast blijkt dat de IT-omgevingen bij veel tandartspraktijken vol gaten zitten. Tijdens de frequent uitgevoerde IT security checks komt naar voren dat ofwel tandartsen zelf hun IT-voorzieningen inrichten en onderhouden, ofwel deze werkzaamheden uitbesteden aan partijen in de vrienden- of familiekring.  En daar waar wel bedrijven werden ingehuurd, bleken die externe IT-partners de ICT-omgeving dusdanig complex te hebben ingericht, dat zelfs zij het totaalplaatje niet meer overzien. Dat maakt het inregelen van de veiligheidsmaatregelen moeizaam en zorgt voor gaten in een netwerk. Ook zijn er IT-partijen die het veiligheidsniveau te laag hebben ingericht omdat ze simpelweg geen ervaring hebben met het leveren en onderhouden van een volwaardig bedrijfsnetwerk. Vele tandartspraktijken zijn hun IT-expert dan eigenlijk al jaren ontgroeid. Zo goed als dat tandartsen bezig zijn met een goede verzorging van hun praktijk en het gebit van de cliënten, zo verwaarloosd hebben ze hun IT-omgeving.  De risico’s voor de bedrijfsvoering als gevolg van cyberaanvallen en/of datalekken zijn groot.

Uit de IT-checklists en rapporten is een lijst samengesteld met de grootste tekortkomingen.

 

Tekortkomingen Top 10:

  1. Windows OS update. 90% heeft dit niet op orde.
  2. Antivirus. 85% heeft dit niet op orde.
  3. Remote / Thuiswerken. 76% heeft dit niet op orde.
  4. Back-up. 71% heeft dit niet op orde.
  5. WiFi. 70% heeft dit niet op orde.
  6. Verontreinigde disks. 69% heeft dit niet op orde.
  7. Verouderde applicatie software. 63% heeft dit niet op orde.
  8. Toegangscontrole. 59% heeft dit niet op orde.
  9. Niet gebruikte/relevante/onveilige software. 58% heeft dit niet op orde.
  10. Fysieke systemen. 45% heeft dit niet op orde.

Gevolgen
De meest voor de hand liggende gevolg heeft betrekking op de meldplicht datalek. Na de introductie van 1 januari 2016 is men zich nog steeds onvoldoende bewust dat de aanwezigheid van een oude Windows server 2003 in het bedrijfsnetwerk van een tandartspraktijk direct gemeld moet worden aan de autoriteit persoonsgegevens.
Omdat je niet weet of  een digitale inbreker op visite is geweest en alleen heeft gekeken of alleen nog maar is langs geweest en de server heeft gevlagd om deze later nog eens te bezoeken, is het noodzakelijk een melding te doen aan het loket van het AP en soms ook aan de patiënten. De melding geldt overigens niet alleen voor verouderde systemen maar ook voor nieuwere systemen waarbij o.a. updates zijn uitgeschakeld, of standaard niet automatisch worden doorgevoerd.

Een ander gevolg is het verhoogde risico van ransomware.  Diverse praktijken hebben de gevolgen van die van vorm van malware helaas aan den lijve ondervonden.

Voor iets meer toelichting over de top 3 download een high level summary report hier.