Event:

Cyber Future Event - 12 september

Lees verder

NIS 2: wat betekent deze Europese security-richtlijn voor Nederlandse organisaties

Door: Eric van Loon, Manager Security Consultancy bij Pinewood

De tweede generatie van de Europese Network and Information Systems (NIS 2) richtlijn zal in 2023 in Nederland om worden gezet in wetgeving. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen, met name gericht op bedrijven en instellingen van cruciale aard. De NIS 2 richtlijn bouwt hierop verder en voegt meer sectoren toe aan deze ‘essentiële diensten’. Het moet ervoor zorgen dat organisaties binnen Europa aan de richtlijn gaan voldoen. Maar wat betekent dit voor Nederlandse organisaties?

nis 2 nib 2 nederland richtlijnen security

Volwassen cybersecurity

Allereerst is het goed om het verschil tussen de NIS 2 en de NIB 2 te begrijpen. Gelukkig is dit geen ingewikkeld verhaal, de NIB 2 is namelijk gewoon de Nederlandse vertaling van de NIS 2. Dus of het nu gaat over de network and information systems richtlijn of de netwerk- en informatiebeveiliging richtlijn, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor vrije interpretatie. De overheid is momenteel druk bezig met die vertaalslag, dus hoe de wet er precies uit gaat zien is nog even afwachten.

Wel kunnen we er alvast vanuit gaan dat de kern van de richtlijn grotendeels hetzelfde blijft. Deze kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om ervoor te zorgen dat de hele infrastructuur op orde is. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht zorgt ervoor dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ zal er dus (veel) werk aan de winkel zijn.

Het ziet er dus naar uit dat organisaties in allerlei sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit kan bijvoorbeeld gelijk worden getrokken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.

Vitale sectoren

De noodzaak om de cyberweerbaarheid van essentiële diensten te vergroten is voor de hand liggend. Over de afgelopen jaren zien we een stijgende lijn in het aantal organisaties dat te maken heeft met cyberaanvallen. Daarnaast zien we ook een flinke stijging in de schade en impact van een succesvolle aanval. De NIS 2 richtlijn is daarom in het leven geroepen om de continuïteit en integriteit van een aantal vitale sectoren te waarborgen.

Onder de originele NIS vielen sectoren zoals energie, drinkwater en banken. De NIS 2 breidt het lijstje met vitale sectoren aardig uit met onder andere overheidsdiensten, levensmiddelen en managed service providers. In Nederland zal dit neerkomen op zo’n zesduizend extra organisaties die moeten gaan voldoen aan de nieuwe wetgeving. Op dit moment wordt er nog flink gediscussieerd over welke bedrijven hier onder vallen en welke niet. Zo staat er nog niet vast welke definitie van een managed service provider er gehanteerd zal gaan worden.

De verwachting is dat de NIS eind dit jaar wordt vastgesteld op Europees niveau. Zodra dit rond is hebben de lidstaten 21 maanden de tijd om de wetgeving rond te krijgen. Dat klinkt misschien lang, maar voor een wet van dit formaat is dat een redelijk korte termijn.

Meer veiligheid, minder vrijheid

De NIS 2 is een grote stap in de goede richting als het om cybersecurity gaat. Wel valt er een bepaalde mate van vrijheid weg. Momenteel is het cybersecurity-landschap onder bedrijven erg gefragmenteerd. Bedrijven kiezen zelf in welke mate ze iets aan cybersecurity doen of niet. Door een richtlijn te implementeren neem je deze vrijheid weg, maar je weet wel zeker dat delen van de infrastructuur goed beveiligd zijn.

De meldplicht zal de cyberweerbaarheid verhogen. In de huidige situatie hoeft een organisatie alleen melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Dit gaat dus veranderen.

Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.

Maar ook de zorgplicht zal het een en ander gaan vragen van organisaties. Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Er kan bijvoorbeeld geëist worden dat bedrijven moeten voldoen aan de ISO 27001 norm. Dit zal voor veel bedrijven betekenen dat ze flink moeten gaan investeren. Er wordt gesproken over een omzetplafond dat kleinere bedrijven hiervan vrijstelt, maar deze organisaties lopen dan nog net zoveel risico als voorheen.

Aan de slag

Organisaties waarop de NIS 2 van toepassing is, krijgen dus aardig wat voor hun kiezen. De verschillende plichten vragen veel investeringen. Zo is een belangrijk onderdeel van de zorgplicht het monitoren van de systemen. Dit gebeurt doorgaans in een Security Operation Center (SOC) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij die een SOC als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel SOC op te hoeven zetten. Daarnaast bieden deze cybersecurity-partijen vaak aanvullende diensten om de cyberweerbaarheid te vergroten.

Maar ook wanneer een organisatie niet binnen de scope van de NIS 2 valt, is het verstandig om op te letten. Het feit dat je niet aangemerkt wordt als vitale sector betekent niet dat je minder risico loopt. Ook deze organisaties kunnen veel leren van de plichten en eisen die in de nieuwe wet zullen worden opgenomen. De NIS kan dan werken als vliegwiel en andere organisatie meekrijgen, waardoor heel Nederland er sterker voor komt te staan op het gebied van cybersecurity.

De NIS 2 is onvermijdelijk en het is daarom belangrijk om te kijken of je als organisatie binnen de scope valt. Als dat zo is, dan is het verstandig om zo snel mogelijk aan de slag te gaan want het kan veel tijd kosten om uit te zoeken wat de nieuwe wet voor jou gaat betekenen. Een eerste stap die je als bedrijf nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Heb je al een informatiebeveiligingsbeleid? Weten medewerkers wat hun rol is? Weten ze hoe ze phishing e-mails kunnen herkennen? Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.

Wilt u meer weten of hulp bij de inrichting van NIS 2 (NIB 2) vraagstukken. Neem dan contact met ons op voor een vrijblijvend advies gesprek.

EDR, MDR of SOC. wat is de juiste oplossing voor uw organisatie?

EDR, MDR en SOC zijn begrippen die vaak door elkaar worden gehaald. Echter hebben deze technische security oplossingen ieder hun eigen functie voor het monitoren en stoppen van potentiële security incidenten. In dit opgenomen webinar gaan we in op de verschillen tussen deze verschillende oplossing zodat u een betere keuze kunt maken welke oplossing het meest geschikt is voor uw eigen organisatie.

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

 

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Pinewood Security Bulletin – Kritieke kwetsbaarheid in Citrix ADC en Citrix Gateway

Citrix heeft updates uitgebracht voor Citrix ADC en Citrix Gateway waarmee drie kwetsbaarheden worden verholpen, waarvan één kritiek. De kritieke kwetsbaarheid (CVE-2022-27510) stelt een kwaadwillende op afstand in staat om de authenticatie op het systeem te omzeilen en hiermee toegang te verkrijgen tot gebruikersmogelijkheden. Nadere details m.b.t. de kwetsbaarheid zijn niet bekend. Aanvallers kunnen de kwetsbaarheid alleen misbruiken indien de appliance is geconfigureerd als een VPN (SSL-VPN of ICA proxy met authenticatie ingeschakeld). Dit laatste is een vrij gangbare configuratie voor dit type devices.

Kwetsbare versies
De kwetsbaarheid bevindt zich in onderstaande versies van Citrix ADC en Citrix Gateway:

Citrix ADC en Citrix Gateway 13.1, ouder dan versie 13.1-33.47
Citrix ADC en Citrix Gateway 13.0, ouder dan versie 13.0-88.12
Citrix ADC en Citrix Gateway 12.1, ouder dan versie 12.1.65.21
Citrix ADC 12.1-FIPS, ouder dan versie 12.1-55.289
Citrix ADC 12.1-NDcPP, ouder dan versie 12.1-55.289

Versies eerder dan 12.1 zijn reeds End-of-Life (EoL) maar bevatten dezelfde kwetsbaarheid ook. Indien een dergelijke versie van ADC en/of Gateway in gebruik is, is een upgrade naar een ondersteunde versie (12.1 of nieuwer) noodzakelijk.

Alleen gebruikers met een self-managed installatie van deze producten dienen actie te ondernemen. In het geval gebruikgemaakt wordt van een Citrix-managed cloud service, is er geen actie vereist.

Oplossing en workarounds
Organisaties die een kwetsbare Citrix-appliance met VPN-functionaliteit gebruiken, wordt dringend aangeraden zo spoedig mogelijk de door Citrix uitgebrachte updates te installeren. Het betreft onderstaande updates:

Citrix ADC en Citrix Gateway 13.1: update 13.1-33.47
Citrix ADC en Citrix Gateway 13.0: update 13.0-88.12
Citrix ADC en Citrix Gateway 12.1: update 12.1-65.21
Citrix ADC 12.1-FIPS 12.1: update 12.1-55.289
Citrix ADC 12.1-NDcPP 12.1: update 12.1-55.28

Meer informatie

Citrix security bulletin: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

Citrix released updates for Citrix ADC and Citrix Gateway to resolve three vulnerabilities, one of which is rated critical. The critical vulnerability (CVE-2022-27510) allows a remote attacker to bypass authentication and access user capabilities without authentication. Further details on the vulnerability are not yet available. The vulnerability can only be exploited if the appliance is configured for VPN services (SSL-VPN or ICA proxy with authentication). This is a quite common configuration for this type of devices.

Vulnerable versions
The vulnerability exists in the following versions of Citrix ADC and Citrix Gateway:

Citrix ADC and Citrix Gateway 13.1, before version 13.1-33.47
Citrix ADC and Citrix Gateway 13.0, before version 13.0-88.12
Citrix ADC and Citrix Gateway 12.1, before version 12.1.65.21
Citrix ADC 12.1-FIPS, before version 12.1-55.289
Citrix ADC 12.1-NDcPP, before version 12.1-55.289

Versions before 12.1 were already end-of-life (EoL) but are vulnerable as well. If such a version of Citrix ADC and/or Citrix Gateway is in use, an upgrade to a supported version (12.1 or later) is required.

Only organizations with a self-managed installation of these products need to take action. Users of Citrix-managed cloud services do not need to take action.

Solutions and workarounds
Organizations using a vulnerable Citrix appliance with VPN functionalities are advised to install the released updates as soon as possible. Below is an overview of the updates that were released by Citrix:

Citrix ADC and Citrix Gateway 13.1: update 13.1-33.47
Citrix ADC and Citrix Gateway 13.0: update 13.0-88.12
Citrix ADC and Citrix Gateway 12.1: update 12.1-65.21
Citrix ADC 12.1-FIPS 12.1: update 12.1-55.289
Citrix ADC 12.1-NDcPP 12.1: update 12.1-55.289

Additional info

Citrix security bulletin: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Kwetsbaarheid in OpenSSL 3.x

Beschrijving
Het OpenSSL Project team heeft op dinsdag 25 oktober 2022 een vooraankondiging gedaan over een kritieke kwetsbaarheid in OpenSSL 3.x zonder daarbij verdere details te vermelden. Binnen het OpenSSL project wordt een eigen risicoclassificering gebruikt. Een kritieke kwetsbaarheid betreft een veelvoorkomende configuratie die waarschijnlijk te misbruiken is. Voorbeelden zijn het uitlezen van het werkgeheugen van de server, het achterhalen van de geheime certificaat-sleutels, en het uitvoeren van van code op de server (remote code execution, RCE).

Op dinsdag 1 november 2022 omstreeks 16:30 is bekendgemaakt dat deze kwetsbaarheid een buffer overrun betreft in het valideren van e-mailadressen in certificaten. Deze validatie vindt echter pas plaats nadat de digitale handtekening van het bovenliggende certificaat is gecontroleerd en vereist dus dat de aanvaller gebruikmaakt van een digitaal certificaat dat is ondertekend/uitgegeven door een vertrouwde/ondersteunde Certificate Authority (CA). Een aanvaller kan een malafide e-mailadres opnemen in een certificaat om in totaal vier bytes te overlopen op de stack. Deze buffer overflow kan resulteren in een Denial of Service (DOS) en zou in theorie kunnen leiden tot Remote Code Execution (RCE). De exacte impact is sterk afhankelijk van het platform waarop de kwetsbaarheid wordt misbruikt; zo hebben diverse onderzoekers aangegeven dat op veel platformen deze buffer overrun niet kan worden uitgebuit vanwege platform-afhankelijke beperkingen/maatregelen.

Mede door de eerdergenoemde onderzoeksuitkomsten, is de bekendmaking van de kwetsbaarheid gepaard gegaan met het verlagen van de initiële risicoclassificatie ‘Kritiek’ naar uiteindelijk ‘Hoog’.

Kwetsbare versies
De kwetsbaarheden bevinden zich in versie 3 van OpenSSL, specifiek versie 3.0.0 t/m 3.0.6. Oudere versies van OpenSSL (versie 1) bevatten deze kwetsbaarheden dus niet. Houd er wel rekening mee dat bij OpenSSL versie 1 alleen OpenSSL 1.1.1 nog wordt ondersteund en dat dit niet geldt voor oudere versies (1.0.X).

Het is zeer goed mogelijk dat OpenSSL binnen de organisatie in gebruik is als onderdeel van bijvoorbeeld een besturingssysteem, netwerkcomponent, appliance of applicatie. Aangezien OpenSSL versie 3 relatief kortgeleden is uitgebracht (September 2021), zijn de meeste toepassingen nog gebaseerd op versie 1 van OpenSSL. Om vast te kunnen stellen of toepassingen binnen de infrastructuur gebruikmaken van een kwetsbare versie van OpenSSL, raden wij aan het uitgebreide – en steeds groeiende overzicht – te monitoren dat het Nederlandse Nationaal Cyber Security Centrum (NCSC) bijhoudt op https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software. 

Oplossing en workarounds
OpenSSL heeft versie 3.0.7 uitgebracht om de kwetsbaarheid te verhelpen. Deze broncode-patch moet verwerkt worden in de verschillende producten die gebruikmaken van deze bibliotheek. Maak daarom gebruik van de patch/update die uitgebracht is door de leverancier van het product (indien deze reeds beschikbaar is).

De kwetsbaarheden kunnen op servers alleen worden misbruikt indien deze gebruikmaken van authenticatie op basis van digitale (X.509) client-certificaten. Als workaround noemt OpenSSL de mogelijkheid om deze authenticatie (tijdelijk) uit te schakelen; deze afweging zal situatie-afhankelijk genomen moeten worden aangezien het uitschakelen hiervan mogelijk nog grotere risico’s introduceert.

Meer informatie
OpenSSL advisory: https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

OpenSSL blog: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description
On Tuesday the 25th of October 2022, the OpenSSL Project team made an announcement about a critical vulnerability in OpenSSL 3.x without providing any details. A critical vulnerability affects common configurations and is also likely to be exploitable. Examples include significant disclosure of the contents of server memory (potentially revealing user details), vulnerabilities which can be easily exploited remotely to compromise server private keys or where remote code execution is considered likely in common situations.

On Tuesday the 1st of November at around 16:30 CEST, the OpenSSL Project team provided details on the previously announced vulnerability. A buffer overrun can be triggered in X.509 certificate verification, specifically in name constraint checking. Note that this occurs after certificate chain signature verification and requires either a Certificate Authority (CA) to have signed the malicious certificate or for the application to continue certificate verification despite failure to construct a path to a trusted issuer. An attacker can craft a malicious email address to overflow four attacker-controlled bytes on the stack. This buffer overflow could result in a crash causing a Denial of Service (DoS) or potentially Remote Code Execution (RCE). However, the exact impact is highly dependent on the platform on which the vulnerability is being exploited. Several researchers have indicated that on many platforms this buffer overrun cannot be exploited due to platform-dependent restrictions.

Partly due to the aforementioned research results, the disclosure of the vulnerability was accompanied by a lowering of the initial risk classification from ‘Critical’ to ‘High’. 

Vulnerable versions
The vulnerabilities exist in OpenSSL version 3, specifically version 3.0.0 – 3.0.6. Older versions of OpenSSL (version 1) are not vulnerable. Keep in mind that with OpenSSL version 1 only OpenSSL 1.1.1 is still actively supported and not older versions (1.0.X).

OpenSSL is possibliy in use within the organisation as part of e.g. an operating system, network component, appliance or application. Because OpenSSL version 3 was released quite recently (September 2021), most systems will still be using OpenSSL version 1. To determine if vulnerable versions of OpenSSL are in use within the infrastructure, we advise you to closely monitor the extensive – and continuously expanding – overview administered by the Dutch National Cyber Security Center at https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software.

 Solutions and workarounds
OpenSSL released version 3.0.7 to fix the vulnerability. This is a source code patch that needs to be compiled into the different products that make use of this library. We therefore advise you to install the patch/update released by the vendor of the product (if available).

The vulnerabilities can only be exploited on servers if these are configured for client authentication based on (X.509) digital client certificates. As a workaround, OpenSSL proposes to (temporarily) disable this type of authentication; as doing this might introduce even greater risks, this workaround should only be implemented if this is appropriate for the specific environment.

Extra info
OpenSSL advisory: https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

OpenSSL blog: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Questions
For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl.

UPDATE: Pinewood Security Bulletin – Fortinet kwetsbaarheid in HTTPS management interface

Update
Pinewood is bekend met publieke berichten over een (mogelijke) kwetsbaarheid in de HTTPS management interface in FortiOS versies 7.0/7.2. Op dit moment is er beperkte informatie publiek beschikbaar over de exacte kwetsbaarheid. Op dit moment geven wij daarom het advies tijdelijke maatregelen te nemen en verdere berichtgeving af te wachten. Wanneer meer informatie bekend is zal een nieuwe security bulletin worden verstuurd.

Kwetsbare versies:
Voor zover publiek bekend gaat het om de volgende versies:
FortiOS 7.0.0 t/m 7.0.6
FortiOS 7.2.0 t/m 7.2.1

Oplossing en workarounds
Er is zijn updates beschikbaar waar de kwetsbaarheid in verholpen is. Het probleem is verholpen in FortiOS 7.0.7 en 7.2.2.
Mocht de upgrade niet direct mogelijk zijn raden wij aan om als workaround de HTTPS management interface uit te schakelen.

Meer informatie: https://old.reddit.com/r/fortinet/comments/xxfn02/disable_your_management_interface_access_from_the/

Pinewood Managed Security Services
Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description
Pinewood is aware of public reports of a vulnerability in the HTTPS management interface in FortiOS versions 7.0/7.2. Currently there is limited information publicly available about the exact vulnerability. At this time, we therefore recommend taking temporary measures and awaiting further reports. A new security bulletin will be issued when more information is known.

Vulnerable versions
Based on public information the vulnerability concerns the following versions:
FortiOS 7.0.0-7.0.6
FortiOS 7.2.0-7.2.1

Solutions and workarounds
An update is already available that fixes this vulnerability. The issue has been fixed in FortiOS 7.0.7 and 7.2.2.
Should the upgrade not be immediately possible, we recommend to disable the HTTPS management interface.

Extra info
https://old.reddit.com/r/fortinet/comments/xxfn02/disable_your_management_interface_access_from_the/

Pinewood Managed Security Services
If you have a Pinewood Managed Security Services contract, no action is necessary. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

GGI-Veilig SOC/SIEM voor gemeenten mislukt. Wat nu?

Vereniging Nederlandse Gemeenten (VNG) heeft het contract met KPN voor het leveren van siem/soc-diensten aan gemeenten opgezegd. Het gaat om het perceel van de gemeentebrede aanbesteding GGI-Veilig die in 2019 aan KPN werd gegund. Dit betekent dat gemeenten op zoek moeten naar een alternatief.

Waarom ook alweer een SIEM/SOC voor gemeenten?
In een SOC wordt met behulp van siem tooling alle beschikbare, aan de security gerelateerde informatie binnen de gemeentelijke ict-infrastructuur verzameld en geanalyseerd. Doel van de analyses is kwetsbaarheden ontdekken en verdacht gedrag in een zo vroeg mogelijk stadium te detecteren en hier adequaat op te reageren.

5 gemeenten gehackt
Onlangs werden er nogvijf Limburgse gemeenten getroffen door een cyberaanval. Daarbij werd de administratie van het sociaal domein vergrendeld. De aanval was gericht op de softwareleverancier van de gemeenten.

De noodzaak voor SIEM/SOC wordt alleen maar groter voor gemeenten
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Op korte termijn wordt daarnaast ook de NIS 2 van kracht. Een van de eisen die zowel de BIO als de NIS 2 stellen aan overheden, is het gebruik van SIEM en/of SOC met als doel overheden digitaal weerbaarder te maken. Ook voor hackers zijn de gemeenten steeds vaker een interessant doelwit door onder andere de toegang die gemeenten hebben tot vele persoonsgegevens via diverse netwerken.

Het SOC/SIEM alternatief voor Nederlandse gemeenten
Pinewood is al ruim 28 jaar de cybersecurity specialist van Nederlandse bodem en beschikt over een hypermodern SOC/SIEM. Ten tijde van de aanbesteding zat Pinewood bij de beste aanbieders, echter is toen de keuze gevallen op KPN .

Wij geloven dat gemeenten niet allemaal dezelfde behoeften en wensen hebben en dat ze graag samenwerken met een specialist waarmee je flexibel en snel kunt schakelen. Dit vraagt om een andere attitude. Het Pinewood SOC is onder andere aangesloten op het Nationaal Detectie Netwerk (NCSC) en heeft een grote set aan cyber security use-cases, maar ook specifieke use-cases voor de gemeenten. Deze use-cases worden op basis van uw eisen en wensen door ons geïmplementeerd. Het Pinewood SOC-team bestaat uit onder andere uit Security Analisten en Security Officers. Op deze manier verbetert u continu uw beveiligingsniveau op zowel technisch als organisatorisch niveau. Wij zijn groot genoeg om iedere gemeenten in Nederland te kunnen bedienen met een schaalbare en veilige SOC/SIEM dienst, Wij zijn met zo’n 60 cybersecuity professionals ook nog klein genoeg voor de nodige snelheid, flexibiliteit en persoonlijke aandacht.

SOC highlights:
• Al 28 jaar de cybersecurity specialist van Nederlandse bodem
• Ruime ervaring en kennis van de gemeentemarkt
• 24×7 security monitoring van cyberdreigingen & Incident Response
• Rapportages en security bulletins voor management en operatie
• Overleg op operationeel, tactisch en strategisch niveau
• Advies: concrete verbetermaatregelen (techniek en organisatie)
• 60 cybersecurity specialisten die dag en nacht voor u klaar staan
• Flexibiliteit en aandacht voor u specifieke situatie.

Wij nodigen u van harte uit een kijkje te komen nemen in onze hypermoderne SOC in Delft. Online of een bezoek bij u op locatie om de mogelijkheden te bespreken kan natuurlijk ook. Wilt u meer informatie of een afspraak maken, neemt u dan contact op met Arthur van Vliet, 06 53938838 of email arthur@pinewood.nl. Wij helpen u graag verder de digitale weerbaarheid van uw gemeente te verhogen.

Note: Om alvast wat inspiratie op te doen, bekijk  onze 2 minuten SOC-video: Zie:https://www.pinewood.nl/diensten/soc/Heeft u advies of ondersteuning nodig, neemt u dan contact met ons op. Wij helpen u graag verder.

Marina Spelbrink

Accountmanager Healthcare en overheid

015 251 36 36

marina.spelbrink@pinewood.nl

Digitale weerbaarheid in de zorg. Hoe organiseer je het en waar moet je als zorginstelling rekening mee houden.

Tijdens een eerder gesprek hebben wij uitgebreid stilgestaan bij een mogelijke aanval van ransomware; wat is de impact? Hoe moet je reageren? en Hoe kun je het voorkomen? Als het gaat om de digitale weerbaarheid van organisaties zijn de berichten hierover alarmerend en urgent. De situatie is ernstig. Veel zorginstellingen lopen achter op het gebied van digitale weerbaarheid. Incidenten hebben vaak grote gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens. Maar er zijn ook grote financiële gevolgen en het imago van de organisatie kan schade oplopen. Informatiebeveiliging is van strategisch belang en het vereist blijvende aandacht.

IP-zorg logo

Op 24 februari zijn wij tijdens het webinar Cyberweerbaarheid hierover in gesprek geweest met Rens van der Logt (Infozorg), Richard Strooper en Wijnand Verweij (beiden van Pinewood). Pinewood is specialist in informatiebeveiliging en levert een scala aan diensten op dit gebied, waaronder ook aan zorginstellingen. Zij is hiervoor aangesloten op het Zorg Detectie Netwerk. Infozorg richt zich specifiek op de zorgsector bij de advisering en ondersteuning van beheer, ontwikkeling en implementatie. Hierbij wordt o.a. gebruik gemaakt van SAAR dat ook ondersteunt bij de inrichting van informatiebeveiligingsprocessen. Infozorg en Pinewood zijn kennispartner van Stichting IP-Zorg.

Relevantie van dit onderwerp blijkt o.a. uit een deze maand gepubliceerd IBM-rapport over ontwikkelingen in het dreigingenprofiel. In het rapport wordt verwezen naar een toename van dreigingen als gevolg van thuiswerken, maar ook door geo-politieke spanningen. In conflicten tussen landen wordt steeds meer gebruik gemaakt van cyber attacks.

Ontwikkelingen op het gebied van informatiebeveiliging

Pinewood ziet dat steeds meer gebruik wordt gemaakt van cloudleveranciers; klanten komen met vragen over veiligheid van SAAS-oplossingen. Er wordt steeds meer thuisgewerkt en er is een toename van ransomware, phising, e.d. Ook is er steeds meer aandacht voor de NEN 7510. Peter merkt  op dat je bij zorgorganisaties die gebruik maken van cloudoplossingen vaak hoort dat ze geen zorgen hebben over informatieveiligheid, omdat de clouddienstverlener dat regelt. Maar bij het uitbesteden van de techniek moet de klant ook securityeisen opstellen én controleren! De klant blijft verantwoordelijk. De klant vraagt daarom regelmatig aan Pinewood om een security review uit te voeren. Ook Infozorg ziet steeds meer SAAS-applicaties, vooral in combinatie met SSO-oplossingen. Men wil immers voorkomen dat medewerkers steeds opnieuw moeten inloggen, wanneer gebruik wordt gemaakt van meerdere SAAS-applicaties. Daarnaast is er een toename van bewustwording voor vertrouwelijkheid van data. Extra inzet training en aanscherping beleid.

Inrichting SSO-oplossing bij meerdere leveranciers.

Juist wanneer organisaties steeds meer gebruik maken van cloudoplossingen (SAAS), is het van belang goed na te denken over de toegang tot deze applicaties. Immers, niet alleen moet worden voorkomen dat medewerkers steeds opnieuw per toepassing moeten inloggen, maar ook is het van belang dat het toegangsbeheer goed wordt ingericht en bij voorkeur centraal wordt beheerd. Vaak wordt gebruik gemaakt van Azure AD als centrale authenticatievoorziening, waarbij ook een koppeling met het personeelssysteem wordt gerealiseerd. Het borgt bijvoorbeeld dat wanneer medewerkers de organisatie verlaten, toegang tot de verschillende applicaties wordt geblokkeerd. Ook wanneer gebruik wordt gemaakt van cloud toepassingen, dient access control goed te zijn ingericht. Denk dus aan dingen als condition access; kijk naar wat die persoon is, wie is die persoon en 3 / 11 waar komt die persoon vandaan; met andere woorden: welke rol vervult de betreffende persoon en voor welke organisatie-eenheid heeft hij rechten nodig. De toegenomen kwetsbaarheid heeft overigens niet alleen te maken met het feit dat meer in de cloud wordt gewerkt, maar ook sprake is van een grotere verscheidenheid aan (mobiele) devices waarmee toegang wordt verkregen en de verschillende internet-of-things. Deze krijgen vanaf verschillende locaties toegang tot het bedrijfsnetwerk en kunnen niet op voorhand worden vertrouwd. Organisaties dienen daarom het zero-trust concept als basis voor hun beveiliging te kiezen (niets is op voorhand vertrouwd). Vroeger was een locatie met wat daar gebeurde veilig; nu ga je ervan uit dat mensen vanaf allerlei locaties kunnen inloggen en moet je er van uit gaan dat dat op voorhand niet veilig is.

cyberweerbaarheid in de zorg

Hoe ga je vanuit functioneel beheer hiermee om?

Zorgorganisaties zijn zich bewust van vertrouwelijke data, maar het inzicht in welke applicaties en in welke koppelingen ze aanwezig zijn wordt niet altijd op één plek beheerd. En ook nog eens vanuit verschillende invalshoeken; bijvoorbeeld ook vanuit een managementsysteem voor informatiebeveiliging. Het is lastig verschillende documentaties overzichtelijk te houden. Dus maak ook je ISMS een integraal onderdeel van je informatiehuishoudingssyteem. Je moet weten welke data je verwerkt (AVG), om zo je risico’s te documenteren, verantwoordelijkheid inzichtelijk te maken en te koppelen aan de beheersnormen van de NEN 7510.

Organisaties kiezen vaak ook voor een (centrale) authenticatievoorziening voor een cloudoplossing; in de zorg wordt Azure AD vaak gekozen. Hiermee wordt ook invulling gegeven aan de single-sign-on. Aandachtspunt is wel de aankomende Wet Digitale Overheid. Deze wet zal naar verwachting dit jaar in werking treden en betekent dat de portalen voor clienten die zorginstellingen bieden, toegankelijk moeten zijn via de wettelijk erkende (Europese) inlogmiddelen (zoals DigID). Voor veel zorginstellijngen betekent dit nog een transitie die ze moeten uitvoeren.

Wat wordt verstaan onder Cyberweerbaarheid?

Preventieve maatregelen zoals een firewallbescherming en anti-virussoftware zijn altijd wel getroffen; wat veelal nog niet duidelijk is welke risico’s je daarmee hebt afgedekt. Ga eerst na welke risico’s je wilt afdekken en bepaal dan je maatregelen.  Ook de detectieve en correctieve maatregelen zijn van belang (denk aan continue monitoring van je bedrijfsnetwerk)! Cyberweerbaarheid is een samenspel tussen risico’s en samenhangende maatregelen. Wat je veel ziet is, dat maatregelen technisch in orde zijn, maar dat beleid en beveiligingsplannen als losse documenten zijn gemaakt, niet helder samengevoegd zijn in een proces dat volgens de PDCA-cyclus kan worden gevolgd. Hiervoor wordt meestal ondersteuning gevraagd. Maar 100% veiligheid bestaat niet! Dat zou een onwerkbare situatie creëren. Daarnaast is de zorg inherent aan een open cultuur; de zorg staat voorop en de security mag niet al te beperkend zijn. Goede afwegingen zijn nodig. Als er wat gebeurt moet het mogelijk zijn tijdig te reageren om de schade zoveel mogelijk te beperken.

Hoe gaan zorgorganisaties om met risico’s?

In de zorg heb je vaak capaciteitsproblemen en wordt veel gewerkt met uitzendkrachten. Ook die moeten in een cliëntendossier kunnen kijken. Daarvoor moet je beheersbare afspraken maken en controleren. De technische kennis is wel aanwezig, maar de controleslag ontbreekt meestal. Organisaties worden geconfronteerd met nieuwe ontwikkelingen en vooral nieuwe kwetsbaarheden. Ze moeten daarin keuzes maken op basis van de gevoeligheid van informatie; zoals processen uitschakelen of 4 / 11 risico accepteren? En weer de controleslag waarmee je ook duidelijk kunt maken dat maatregelen niet meer werken en dus niet nodig zijn. Het beveiligingsbewustzijn van medewerkers wordt steeds beter maar voorkom overbodige maatregelen. Met technische maatregelen alleen ben je er niet; de mens blijft de zwakke schakel in de beveiliging. Peter wijst in dit verband op de wegwijzer Informatieveilig gedrag in de zorg; een initiatief van VWS en brancheorganisaties Zorg; vanaf 1 april belegd bij ECP in het programma Digivaardig in de zorg.

Wordt inzage in dossiers goed gelogd.

Met andere woorden, heb je een afspraak of is er een proces waarin je kunt nagaan of de toegang tot het dossier juist verloopt. Je kunt bijvoorbeeld periodiek standaard checks doen. Bij Pinewood komen verzoeken binnen om toegang tot ECD’s te monitoren. Resultaten realtime te filteren en een alarmering doen op verdachte benaderingen. Filtering rules worden met de klant opgesteld. Monitoring initieert reactive maatregelen en bevordert awareness. Medewerkers weten dat activiteiten worden gemonitord.

Security-by-design, Hoe gaat een zorgorganisatie daarmee om bij aanschaf van software?

In de eerste plaats beleidsmatig vastleggen waaraan leveranciers moeten voldoen en dat ook toetsen. En ga periodiek met leveranciers in overleg; naast het certificaat NEN 7510 kun ook pentesten laten uitvoeren. Hou een overzicht bij van je leveranciers. A.g.v. acute kwestbaarheid moet je bij je leveranciers terecht kunnen; hou ook bij hoe snel ze reageren. Leveranciersmanagement wordt steeds belangrijker en moet een onderdeel zijn van risicomanagement. Wat je normaliter doet in je eigen infrastructuur moet nu de leverancier doen. Zorg vooraf voor goede contracten en bewerkersovereenkomsten. Let vooral op bij koppelingen naar ‘achterliggende’ leveranciers in de keten; ga ook na of voor je vaste leveranciers de toeleveranciers in beeld zijn. In het eerdergenoemde rapport van IBM wordt dit ook als toenemend risico genoemd.

Leveranciersketens zijn een toenemende kwetsbaarheid; klanten zijn verplicht bij leveranciers door te vragen naar de toeleveranciers.

Relatie Z-Cert en SOC Zoals eerder aangegeven is een continue monitoring van het ICTnetwerk van groot belang; immers, bedrijfsnetwerken zijn vrijwel altijd gekoppeld aan het internet; dit betekent dat ze per definitie doorlopend door kwaadwillenden worden gescand op kwetsbaarheden die misschien de mogelijkheid bieden om in te breken op het bedrijfsnetwerk. Om schade te beperken is het allereerst van belang het netwerk in te delen in verschillende zones en de koppeling met internet via een DMZ (de-militarized zone) te laten lopen.

Maar het netwerk continu bewaken met behulp van een intrusion detection en prevention systeem (IDS IPS) is van toenemend belang om bijvoorbeeld een ransomware aanval te voorkomen. Deze continue bewaking vindt plaats vanuit een zogenaamd Security Operations Center (SOC). Probleem is echter dat voor veel zorginstellingen het niet mogelijk is om hier 7×24 uur monitoring op uit te laten voeren door een SOC, hetgeen zowel met beschikbaarheid als met de hiervoor benodigde specialistische expertise te maken heeft. Veel zorginstellingen kiezen er daarom voor gebruik te maken van een SOC-dienstverlener zoals Pinewood.

Het SOC van Pinewood legt voor elke klant een log-collector aan die de logfiles van de verschillende applicaties verzamelt. Dit wordt gemapt met Z-Cert meldingen; ‘matches’ worden teruggekoppeld naar de klant. Bij het Pinewood SOC worden vanuit een centrale post alle klantensystemen gemonitoord; monitoring is per klant ingesteld voor de klantspecifieke situaties / risico’s.

Leesbaarheid van security rapportages.

Het is een algemeen probleem dat bij klanten vaak de kennis ontbreekt om securityrapporten (pentesten, security scans) te interpreteren. Belangrijk is dat er partijen zijn  die de vertaling naar jouw situatie kunnen maken en advies uitbrengen wat je ermee moet doen; niet alleen technisch, ook procesmatig.

Specifieke kenmerken cyberweerbaarheid zorgsector?

De balans tussen ‘open karakter’ zorg en privacy; naast preventieve maatregelen moet dan wel extra worden geïnvesteerd in het vroegtijdig ontdekken van incidenten en de afhandeling daarvan. Security verplaatst zich van IT naar business; IT is slechts nodig voor inrichtingszaken. Apparatuur wordt aangeschaft voor de lange termijn; dit geldt niet voor de sofware. Dat vergt aanvullende security/ controle maatregelen.

Domotica en IoT

Alle mogelijke systemen kunnen worden gekoppeld aan internet of aan systemen. Maak bijv. met scans inzichtelijk wat er aan je netwerk hangt zodat je het kunt beheren Er worden op IoT-systemen wel testen uitgevoerd; maar ze zijn zeer divers en er zijn nog geen keurmerken. Ga er in beginsel van uit dat ze onveilig zijn. Het even koppelen van een digitale camera of planbord wordt steeds gangbaarder; een extra kwetsbaarheid voor het netwerk. Pentesters hebben vaak veel succes bij printers en camera’s!

De verschillende security scans

Een Security scan is vooral organisatorisch; faciliterend; gericht op processen. Een kwetsbaarheidsscan (zogenaamde pentest) is een scan op zwakke plekken in je ICT-omgeving die je bijvoorbeeld maandelijks uitvoert; het signaleert bijvoorbeeld wanneer patches, security updates niet zijn uitgevoerd waardoor kwetsbaarheden kunnen worden misbruikt. Een kwetsbaarheidsscanning vraagt resources van een organisatie; output moet worden beoordeeld en o.b.v. prioritering moeten acties volgen. Waar een kwetsbaarheidsscan inzicht geeft in de kwetsbaarheden van de in gebruik zijnde software, geeft een pentest bijvoorbeeld inzicht in de mate waarin de kwetsbare software ook daadwerkelijk kan worden misbruikt. Of wordt het voorkomen door een adequate scheiding tussen de verschillende zones in het netwerk dan wel verschillende maatregelen op applicatieniveau? De pentest kijkt dus ook naar de opbouw en gebruik van de infrastructuur.

Zijn bestuurders van zorginstelling zich voldoende bewust van cyberweerbaarheid?

Wordt er voldoende in geinvesteerd? Is er draagvlak? Voorwaarde is dan wel dat de SO-rol niet is belegd binnen de ict-afdeling maar dichter bij het bestuur. 6 / 11 Pinewood geeft aan dat bij risicoworkshops steeds vaker andere dan ict-afdelingen worden betrokken; cyberweerbaarheid is de verantwoordelijkheid van de hele organisatie. Problemen liggen vaak niet alleen bij de ict-afdeling; die heeft meestal zijn zaakjes wel op orde. Het zijn meestal de bedrijfsprocessen; de awareness waar de grootste risico’s liggen. En bestuurder niet pas betreken a.g.v. een incident.

Security tips!

  • Zorg dat je onafhankelijk kunt functioneren.
  • Zorg ervoor dat je niet zelf bij uitvoering van security betrokken bent. Eerst risico dan de techniek.
  • Laat risico’s leidend zijn voor je maatregelen.
  • Houd korte lijnen met de IT-afdeling en schroom niet om een specialist in de arm te nemen als het nodig is.
  • Betrek zoveel mogelijk de bestuurslaag bij beslissingen Beoordeel op vooraf vastgestelde termijnen de risico’s met de bestuurders.
  • Houd je ISMS bij zodat je altijd een overall inzicht hebt Scherm het ISMS niet af maar laat het een intern-open document zijn.

Nieuwe technologieën en platforms bieden vele mogelijkheden om gegevens uit te wisselen en wordt een steeds grotere uitdaging. Denk voor dergelijke installaties van goed na over de inrichting; besteed aandacht aan autorisaties. Hou de mogelijkheden van een pakket tegen je risico’s aan; bouw zo nodig beperkingen in. Security by design.

Platforms als Teams en Sharepoint zijn gericht op samenwerking maar zorg wel dat je dat goed regelt. Zelfs als je de configuratie uit handen geeft ziet Pinewood soms achteraf nog kwetsbaarheden als gevolg van foute configuraties. Documenten kunnen bijvoorbeeld hierdoor onbedoeld gedeeld worden of toegankelijk zijn voor andere organisaties

Naar aanleiding van een chatvraag over de complexe kwetsbaarheid log4j een enkele tip. Securitytechniek is een apart vak; als je de kennis niet binnen bereik hebt schroom dan niet een specialist in te huren. Ga er niet van uit dat je dit soort zaken zelf kunt doen en regel vooraf je contacten. Als onderdeel van je incident response maatregelen.

Peter benadrukt nog eens enkele punten:

  • Op risico’s gebaseerde benadering voor beveiligingsmaatregelen.
  • Ervan uitgaan dat eigenlijk niets veilig is.
  • Awareness bij medewerkers en betrokkenheid bestuurders.
  • Security geen onderdeel is van de ict en moet aansluiten op het beheerproces.

Meer weten hoe wij uw organisatie kunnen helpen? Neem dan contact op met Pinewood of onderstaande contactpersoon.

Wijnand Verweij

Accountmanager Healthcare

015 251 36 36

wijnand.verweij@pinewood.nl

Pinewood Security Bulletin – Oekraïne crisis

Pinewood update u graag over de status van onze securitymonitoringdienst in relatie tot de situatie in Oekraïne. Vanzelfsprekend monitort Pinewood op alle gangbare dreigingen en risico’s zoals die bekend staan. Wij hebben nauw contact met het NCSC en andere securitypartijen om de laatste dreigingen te verkrijgen en zo de monitoring te verbeteren. Dit proces helpt ook tijdens deze crisis om de laatste dreigingsinformatie te ontvangen. Op dit moment zijn er geen speciale acties nodig. Wel zullen wij extra alert zijn op een aantal indicatoren zoals, onder andere, door het NCSC aanbevolen.

Ook tijdens deze crisis blijven de generieke securityadviezen van toepassing zoals het hebben van goede responseplannen, het up-to-date houden van systemen en het hebben van goede en up-to-date backups. Als laatste blijft natuurlijk de oplettendheid van de werknemers belangrijk, juist in deze tijd zijn afwijkingen in gedrag belangrijk. Zorg ervoor dat medewerkers blijven melden als zij afwijkingen zien.

Vragen?
Mocht u nog vragen hebben over hoe wij reageren op deze crisis, neem dan contact met onderstaande persoon of via info@pinewood.nl

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Courseware: niet alleen inzicht in de security risico’s, maar ook een heldere rapportage met concrete maatregelen

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”. Dat zegt Herbert Jansen, CTO van The Courseware Company. Daarom kiest hij elk jaar weer voor een pentest van Pinewood.

The Courseware Company is een Nederlands bedrijf dat software-applicaties aanbiedt waarmee effectieve leerlandschappen ingericht kunnen worden. Deze leerlandschappen worden op maat gemaakt op basis van de behoeften van de klant. The Courseware Company zorgt ervoor dat het nieuwe Leer Management Systeem (LMS) of kennisportaal mee kan groeien en -bewegen met de organisatie en verzorgt ook trainingen, zodat klanten zelf aan de slag kunnen gaan met de software.

courseware pentest

De vertrouwelijke informatie die zich in de leerlandschappen van The Courseware Company bevindt moet goed beveiligd zijn. Met een ISO 27001 certificaat toont het bedrijf aan dat het voldoet aan de laatste internationale eisen op het gebied van informatiebeveiliging. The Courseware Company voldeed al geruime tijd aan deze norm, maar de vraag naar pentesten vanuit klanten werd steeds groter. Dit was één van de drijfveren waarom de The Courseware Company een pentest wilde laten uitvoeren op hun Online leeromgevingen. Wat een pentest is en wat een goede pentest voor de The Courseware Company betekent, leest u in dit klantenverhaal.

 

Wat is een pentest?

Een pentest is een gecontroleerde aanval op een systeem van buitenaf met als doel kwetsbaarheden van het systeem bloot te leggen. Er worden doorgaans dezelfde methoden en technieken gebruikt als bij een echte aanval, zodat een echte aanval zo realistisch mogelijk kan worden. Pentesten zijn er in verschillende aanvalssenario’s afhankelijk van de hoeveelheid kennis die de pentester over het aanvalsdoelwit heeft: • Black-box: Een Blackbox pentest houdt in dat de pentester nauwelijks voorkennis heeft van het doelsysteem (hooguit het IP-adres of domeinnaam). Deze test is uitermate geschikt om de veiligheid van de firewall, gebruikte serversoftware of publieke websites te testen. • Grey-box: Een Greybox pentest houdt in dat de pentester beschikt over beperkt verstrekte informatie. Een Greybox pentest is geschikt om te testen of achterliggende netwerken en systemen veilig zijn voor bijvoorbeeld geautoriseerde gebruikers. Hierbij krijgt Pinewood beperkte uitleg over het doelsysteem en bijvoorbeeld een gast- of medewerkersaccount. • White box: Biedt een zeer nauwkeurige analyse van informatiebeveiliging. Bij een Whitebox pentest heeft de pentester alle relevante informatie zoals netwerkarchitectuur, functionele en technische ontwerpen. De pentest heeft doorgaans een sterke focus op één systeem, service of functie. Voorbeelden hiervan zijn het testen van de beveiliging van een website, het testen van de toegang tot een interne server of het evalueren van een Online leeromgeving zoals bij The Courseware Company.

Pentesten rapporten van grote waarde.

The Courseware Company heeft de pentest voornamelijk ingezet om aan te tonen dat zij voldoen aan de ISO 27001-norm. Om de (web) appliciaties te testen hebben zij verschillende methodes ingezet. Vertrouwen is een belangrijke voorwaarde Pinewood en The Courseware Company werken nu al sinds 2014 samen, maar die begon pas na een weloverwogen afweging vanuit The Courseware Company. “We hebben verschillende partijen vergeleken, maar met Pinewood hadden we gelijk vanaf het begin goed contact”, zegt Herbert Jansen, CTO van The Courseware Company. “In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen”. Zij waren destijds, net als The Courseware Company, nog niet zo groot en dat paste heel goed bij elkaar. Geen grote enterprises, maar kleinere partijen van Nederlandse bodem. Daarnaast was ook het vertrouwen een belangrijke voorwaarde in de keuze voor Pinewood. “Bij Pinewood voelde het gewoon goed”, zegt Jansen. Bij andere aanbieders ontbrak die klik om diverse redenen, maar Pinewood hield het juiste gemiddelde tussen vertrouwen, professionaliteit en prijs.

Communicatie en afstemming essentieel

The Courseware Company heeft eerst een proeftest laten doen met een tweetal sites waarin uitgebreid het doel van de test werd besproken en de eventuele aandachtspunten. Het is belangrijk dat dit soort zaken goed van tevoren in kaart worden gebracht, de pentesten worden immers gedraaid op de productiesites van klanten. De uitkomsten van een pentest zijn vaak heel verschillend. Security risico’s ontstaan veelal door kwetsbaarheden in de inrichting van een systeem of netwerk of in de software. Bij het vinden van risico’s staat de The Courseware Company in nauw contact met de leverancier, zodat risico’s snel gemitigeerd kunnen worden. Zo zorgt de The Courseware Company ervoor dat de beveiliging op het juiste niveau is en blijft.

Proactief in plaats van reactief.

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”, zegt Jansen. In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen. Met dit rapport kan The Courseware Company aantonen dat zij voldoen aan de eisen van de ISO 27001-norm.

Wilt u meer weten over wat Pinewood voor u kan betekenen? Vraag dan vrijblijvend onze brochure aan over Pentesten of neem contact op met één van onze IT Security Specialisten via info@ pinewood.nl of bel 015 – 251 3636

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Meander: Gebruik compliance en security als katalysator in plaats van als rem.

Meander Medisch Centrum, het ziekenhuis in Amersfoort, is op alle fronten aan het digitaliseren. Niet alleen implementeren ze een volledig nieuw EPD, ook worden er op allerlei plekken in het ziekenhuis e-health toepassingen geïmplementeerd. Director Digital & ICT Vincent van Luling: “Je ziet dat security vaak een rem vormt op zorginnovatie. Wij willen dat voor zijn en dat betekent dat je het in de basis heel goed moet regelen. Bij alle innovaties nemen wij security en compliancy vanaf het begin mee: security by design. We toetsen alle innovaties aan ons Compliancy Framework en we werken nauw samen met diverse securityleveranciers en -dienstverleners die samen ons security ecosysteem vormen.”

meander ziekenhuis Vincent van Luling

Malversaties snel herkennen
Meander Medisch Centrum heeft zijn SOC extern belegd bij Pinewood. Daarover zegt Van Luling: “Natuurlijk nemen we allerlei maatregelen om
de slotgrachten en kasteelmuren te verstevigen, maar we willen ook weten wat er op de binnenplaats en binnen de muren van het kasteel gebeurt. Want het is een utopie om te denken Dat je met firewalls, virusscanners en endpoint security alles kunt dichtzetten. Zeker in deze nieuwe digitale wereld, waarin e-health een steeds belangrijkere rol gaat spelen en waarin medische apparatuur aan het internet hangt, kun je dat niet langer volhouden. Je haalt altijd wel virussen en malware binnen. Waar het om gaat is dat je deze malversaties zo snel mogelijk detecteert en daarop acteert. Want de tijd tussen een incident en het moment dat het wordt geconstateerd is in de regel de tijd waarin de meeste schade wordt toegebracht.”

Big data analytics
Daarom monitort het Pinewood SOC voortdurend wat er op het netwerk en in applicaties en databases gebeurt. Van Luling: “De crux is dat je afwijkend gedrag zo snel mogelijk detecteert. Dat doe je middels big data analytics. De kwaliteit van die analyses verbetert naarmate je meer externe benchmarks daarin meeneemt. Dat is een belangrijke reden waarom we deze taak extern hebben belegd. Pinewood monitort niet alleen onze omgeving, maar die van veel andere organisaties waaronder andere ziekenhuizen. Die externe data helpt hen om op ons netwerk sneller afwijkingen te detecteren.” Daarnaast is het een specialisme dat het Meander Medisch Centrum zelf niet beheerst, erkent hij. “Je moet dit soort kennis als ziekenhuis niet zelf willen opbouwen, het is zulk verschrikkelijk specialistisch werk. Je kunt als ziekenhuis nooit de kwaliteit en snelheid bereiken die een partij als Pinewood kan garanderen.”

Compliance framework

De SOC-dienstverlening past binnen het Compliance Framework van Meander Medisch Centrum. “Dat is opgesteld in samenwerking met gerenommeerde juristen. Zij hebben alle wet- en regelgeving bij elkaar opgeteld, ontdubbeld en relevant gemaakt. Dat wil zeggen: we hebben de vertaalslag gemaakt naar: wat betekent deze regel precies voor ons ziekenhuis? Uit het framework komt een enorme bak werk voort, want we voldoen nog niet aan alle regels waar we aan willen voldoen, maar het geeft ook rust. Want we weten precies waar we staan. En we kunnen ook verantwoorden waarom we bepaalde maatregelen niet nemen of nog niet hebben genomen. Bovendien helpt het framework bij het maken van afspraken met ICT-dienstverleners. We weten precies met welke partijen we wat voor afspraken moeten maken, bijvoorbeeld met de partij die ons EPD host, maar ook met Pinewood.”