Op vrijdag 29 oktober jl. vond als onderdeel van de Europese maand van de Cybersecurity een webinar plaats met als onderwerp “Cybersecurity in pharma”.

In deze webinar legde Hans de Raad, eigenaar van OpenNovations en bestuurslid van DARQA, uit wat cybersecurity is.

Aan de hand van enkele ENISA en ETSI richtlijnen neemt Hans ons mee in de wereld van cybersecurity, die niet alleen draait om de fysieke, logische en operationele veiligheid van IT maar waarin je ook zoiets als de plaatsing van een raam in een ruimte moet meenemen om te zorgen dat je niet onverwacht informatie deelt doordat je projectiescherm de verkeerde kant op staat.

Toegang en authorisatie voor het eigen personeel regelen op IT-gebied is niet zo moeilijk maar op het moment dat informatie in de Cloud komt, zal je daarover ook afspraken moeten maken waarbij je er voor moet zorgen dat informatie wel gedeeld kan worden zonder de vertrouwelijkheid daarvan te schenden.

Beveiliging van gegevens die worden genereerd is zoiets waarvan je je van begin af aan moet afvragen hoe je dat gaat inrichten, zeker als die gegevens via een netwerk worden gedeeld met anderen. Om dat goed te doen zal je moeten werken met een minimale set aan beveiligingen en afhankelijk van de relevantheid van de gegevens het beveiligingsniveau aanpassen. Het goed in kaart brengen van je gegevens en systemen is hierbij essentieel: weet wat je meet (of deelt) en zorg er voor dat het daarbij blijft. Recentelijk zijn er voorbeelden te over waar per ongeluk meer gegevens tussen systemen zijn gedeeld dan wenselijk is, bijvoorbeeld medische gegevens van mensen die bij de GGD geregistreerd staan als coronagevaccineerden. En zelfs als je denkt dat je alles goed hebt dichtgetimmerd, kan het nog zo zijn dat je bedrijf van buitenaf wordt aangevallen. Dan moet je alle zeilen bijzetten om geen datalek te krijgen of zodat je geen zogenaamd losgeld hoeft te betalen om je eigen systemen en gegevens terug te krijgen. Dit “nieuwe normaal” kost helaas een hoop tijd, geld en moeite, zelfs als je denkt dat je het goed geregeld hebt. Het vervelende van dit soort aanvallen is, is dat ze niet zozeer gericht zijn op bepaalde bedrijven maar dat ze automatisch plaatsvinden: het wereldwijde web wordt systematisch afgezocht op zwakke plekken en als die gevonden worden, wordt er een virus geïnstalleerd dat systemen lamlegt en gegevens lekt.

Momenteel is een bekende manier van hacken, de “CEO-hack” waarbij er namens de CEO een email of een app naar de financiële afdeling wordt gestuurd waarin gevraagd wordt om een groot bedrag over te maken. Hierbij wordt tegenwoordig ook “deep faking” gebuikt: moderne audiovisuele technieken waardoor de vraag echt lijkt. Het is dus belangrijk om hierover binnen een bedrijf bewustzijn te kweken en afspraken te maken over te volgen procedures, inclusief bijbehorende communicatielijnen en ervoor te zorgen dat iedereen zich hieraan houdt.

Het is dus altijd belangrijk om precies te weten welke systemen je hebt, welke gegevens je ermee genereert, opslaat (ook de offline en online backups!) en verwerkt, met welke andere systemen deze gegevens worden uitgewisseld en daar je beveiliging op aan te passen. Het is bijvoorbeeld handig om meerdere backups te hebben die je op verschillende plaatsen (of bij verschillende leveranciers) bewaart en op verschillende manieren versleutelt zodat je het risico van gehackt worden op die manier spreidt.

Goed getraind IT-personeel hebben dat goed op de hoogte is van de eigen systemen en gegevens en de nieuwste technologieën is hierbij essentieel, evenals het hebben van volledige en up to date documentatie met betrekking tot de gebruikte systemen en de interfaces (uitwisseling van gegevens) daartussen.

Als QA medewerker kan je om die documentatie vragen om een idee te krijgen van de manier waarop de systemen en gegevens zijn opgebouwd en beveiligd zijn. Het is daarbij niet erg als je niet precies begrijpt hoe het zit; het is belangrijk dat die documentatie beschikbaar is want wanneer er geen documentatie is, weet je zeker dat er iets niet in de haak is. ENISA en ETSI hebben hiervoor een aantal richtlijnen uitgegeven die ook de relatieve IT-leek hierin kunnen ondersteunen. Het gaat hierbij niet alleen om de opbouw van de systemen en de gegenereerde gegevens maar ook om “verandermanagement”(change management) maar niet alleen intern bij elke gemaakte verandering aan het systeem, maar ook extern. Er kunnen een heel aantal redenen zijn waarom je een bepaald systeem niet meer kunt gebruiken, bijvoorbeeld omdat het niet meer ondersteund wordt door de leverancier, omdat die misschien failliet is gegaan. Zorg dus altijd voor een exitstrategie, zoals bijvoorbeeld de inzet van een mogelijk snelle migratie of een schaduwsysteem draaien.

In de GxP is een heikel punt dat alle gegeneerde data benaderbaar moet blijven voor bijvoorbeeld 25 jaar. Dat is een probleem met de snelle technologische ontwikkelingen en daarom zul je moeten zoeken naar een manier om de (platte) data te kunnen blijven benaderen, zonder de context van het gebruikte systeem. Daarvoor zijn inmiddels al diverse soorten open source databases opgezet, zoals onder andere Amazon heeft gedaan.

ENISA en ETSI hebben, zoals gezegd, een aantal handige richtlijnen/vragenlijsten uitgegeven, zoals bijvoorbeeld de ETSI  TR 103 305-1, die gebruikt kunnen worden bij het auditen van IT systemen. Het is aan te raden om die eens door te lezen zodat je als QA medewerker beter beslagen ten ijs komt als je systemen gaat auditen, met name waar het gaat om de opbouw en beveiliging ervan. Het voordeel van het gebruik van deze vragenlijsten is dat je als QA medewerker niet precies hoeft te weten waar het over gaat, maar je wel een idee krijgt van hoe de IT-vlag er in dit specifieke bedrijf bij hangt. Het voordeel voor de IT-afdeling die deze vragen krijgt is dat zij weten dat deze vragen door experts zijn opgesteld en gevalideerd, zodat ze hout snijden.   

Hans geeft meerdere malen aan dat als we er toch niet uitkomen, we hem altijd kunnen benaderen voor nadere uitleg en/of ondersteuning.

Dit webinar was goed bezocht door rond de 20 deelnemers. Mensen die nog vragen hebben of feedback willen leveren op dit webinar of die ideeën hebben voor volgende webinars kunnen dat laten weten via een email naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

De video gemaakt tijdens deze webinar is op het ledengedeelte van deze website te bekijken via deze link.