Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Digitale weerbaarheid in de zorg. Hoe organiseer je het en waar moet je als zorginstelling rekening mee houden.

Tijdens een eerder gesprek hebben wij uitgebreid stilgestaan bij een mogelijke aanval van ransomware; wat is de impact? Hoe moet je reageren? en Hoe kun je het voorkomen? Als het gaat om de digitale weerbaarheid van organisaties zijn de berichten hierover alarmerend en urgent. De situatie is ernstig. Veel zorginstellingen lopen achter op het gebied van digitale weerbaarheid. Incidenten hebben vaak grote gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens. Maar er zijn ook grote financiële gevolgen en het imago van de organisatie kan schade oplopen. Informatiebeveiliging is van strategisch belang en het vereist blijvende aandacht.

IP-zorg logo

Op 24 februari zijn wij tijdens het webinar Cyberweerbaarheid hierover in gesprek geweest met Rens van der Logt (Infozorg), Richard Strooper en Wijnand Verweij (beiden van Pinewood). Pinewood is specialist in informatiebeveiliging en levert een scala aan diensten op dit gebied, waaronder ook aan zorginstellingen. Zij is hiervoor aangesloten op het Zorg Detectie Netwerk. Infozorg richt zich specifiek op de zorgsector bij de advisering en ondersteuning van beheer, ontwikkeling en implementatie. Hierbij wordt o.a. gebruik gemaakt van SAAR dat ook ondersteunt bij de inrichting van informatiebeveiligingsprocessen. Infozorg en Pinewood zijn kennispartner van Stichting IP-Zorg.

Relevantie van dit onderwerp blijkt o.a. uit een deze maand gepubliceerd IBM-rapport over ontwikkelingen in het dreigingenprofiel. In het rapport wordt verwezen naar een toename van dreigingen als gevolg van thuiswerken, maar ook door geo-politieke spanningen. In conflicten tussen landen wordt steeds meer gebruik gemaakt van cyber attacks.

Ontwikkelingen op het gebied van informatiebeveiliging

Pinewood ziet dat steeds meer gebruik wordt gemaakt van cloudleveranciers; klanten komen met vragen over veiligheid van SAAS-oplossingen. Er wordt steeds meer thuisgewerkt en er is een toename van ransomware, phising, e.d. Ook is er steeds meer aandacht voor de NEN 7510. Peter merkt  op dat je bij zorgorganisaties die gebruik maken van cloudoplossingen vaak hoort dat ze geen zorgen hebben over informatieveiligheid, omdat de clouddienstverlener dat regelt. Maar bij het uitbesteden van de techniek moet de klant ook securityeisen opstellen én controleren! De klant blijft verantwoordelijk. De klant vraagt daarom regelmatig aan Pinewood om een security review uit te voeren. Ook Infozorg ziet steeds meer SAAS-applicaties, vooral in combinatie met SSO-oplossingen. Men wil immers voorkomen dat medewerkers steeds opnieuw moeten inloggen, wanneer gebruik wordt gemaakt van meerdere SAAS-applicaties. Daarnaast is er een toename van bewustwording voor vertrouwelijkheid van data. Extra inzet training en aanscherping beleid.

Inrichting SSO-oplossing bij meerdere leveranciers.

Juist wanneer organisaties steeds meer gebruik maken van cloudoplossingen (SAAS), is het van belang goed na te denken over de toegang tot deze applicaties. Immers, niet alleen moet worden voorkomen dat medewerkers steeds opnieuw per toepassing moeten inloggen, maar ook is het van belang dat het toegangsbeheer goed wordt ingericht en bij voorkeur centraal wordt beheerd. Vaak wordt gebruik gemaakt van Azure AD als centrale authenticatievoorziening, waarbij ook een koppeling met het personeelssysteem wordt gerealiseerd. Het borgt bijvoorbeeld dat wanneer medewerkers de organisatie verlaten, toegang tot de verschillende applicaties wordt geblokkeerd. Ook wanneer gebruik wordt gemaakt van cloud toepassingen, dient access control goed te zijn ingericht. Denk dus aan dingen als condition access; kijk naar wat die persoon is, wie is die persoon en 3 / 11 waar komt die persoon vandaan; met andere woorden: welke rol vervult de betreffende persoon en voor welke organisatie-eenheid heeft hij rechten nodig. De toegenomen kwetsbaarheid heeft overigens niet alleen te maken met het feit dat meer in de cloud wordt gewerkt, maar ook sprake is van een grotere verscheidenheid aan (mobiele) devices waarmee toegang wordt verkregen en de verschillende internet-of-things. Deze krijgen vanaf verschillende locaties toegang tot het bedrijfsnetwerk en kunnen niet op voorhand worden vertrouwd. Organisaties dienen daarom het zero-trust concept als basis voor hun beveiliging te kiezen (niets is op voorhand vertrouwd). Vroeger was een locatie met wat daar gebeurde veilig; nu ga je ervan uit dat mensen vanaf allerlei locaties kunnen inloggen en moet je er van uit gaan dat dat op voorhand niet veilig is.

cyberweerbaarheid in de zorg

Hoe ga je vanuit functioneel beheer hiermee om?

Zorgorganisaties zijn zich bewust van vertrouwelijke data, maar het inzicht in welke applicaties en in welke koppelingen ze aanwezig zijn wordt niet altijd op één plek beheerd. En ook nog eens vanuit verschillende invalshoeken; bijvoorbeeld ook vanuit een managementsysteem voor informatiebeveiliging. Het is lastig verschillende documentaties overzichtelijk te houden. Dus maak ook je ISMS een integraal onderdeel van je informatiehuishoudingssyteem. Je moet weten welke data je verwerkt (AVG), om zo je risico’s te documenteren, verantwoordelijkheid inzichtelijk te maken en te koppelen aan de beheersnormen van de NEN 7510.

Organisaties kiezen vaak ook voor een (centrale) authenticatievoorziening voor een cloudoplossing; in de zorg wordt Azure AD vaak gekozen. Hiermee wordt ook invulling gegeven aan de single-sign-on. Aandachtspunt is wel de aankomende Wet Digitale Overheid. Deze wet zal naar verwachting dit jaar in werking treden en betekent dat de portalen voor clienten die zorginstellingen bieden, toegankelijk moeten zijn via de wettelijk erkende (Europese) inlogmiddelen (zoals DigID). Voor veel zorginstellijngen betekent dit nog een transitie die ze moeten uitvoeren.

Wat wordt verstaan onder Cyberweerbaarheid?

Preventieve maatregelen zoals een firewallbescherming en anti-virussoftware zijn altijd wel getroffen; wat veelal nog niet duidelijk is welke risico’s je daarmee hebt afgedekt. Ga eerst na welke risico’s je wilt afdekken en bepaal dan je maatregelen.  Ook de detectieve en correctieve maatregelen zijn van belang (denk aan continue monitoring van je bedrijfsnetwerk)! Cyberweerbaarheid is een samenspel tussen risico’s en samenhangende maatregelen. Wat je veel ziet is, dat maatregelen technisch in orde zijn, maar dat beleid en beveiligingsplannen als losse documenten zijn gemaakt, niet helder samengevoegd zijn in een proces dat volgens de PDCA-cyclus kan worden gevolgd. Hiervoor wordt meestal ondersteuning gevraagd. Maar 100% veiligheid bestaat niet! Dat zou een onwerkbare situatie creëren. Daarnaast is de zorg inherent aan een open cultuur; de zorg staat voorop en de security mag niet al te beperkend zijn. Goede afwegingen zijn nodig. Als er wat gebeurt moet het mogelijk zijn tijdig te reageren om de schade zoveel mogelijk te beperken.

Hoe gaan zorgorganisaties om met risico’s?

In de zorg heb je vaak capaciteitsproblemen en wordt veel gewerkt met uitzendkrachten. Ook die moeten in een cliëntendossier kunnen kijken. Daarvoor moet je beheersbare afspraken maken en controleren. De technische kennis is wel aanwezig, maar de controleslag ontbreekt meestal. Organisaties worden geconfronteerd met nieuwe ontwikkelingen en vooral nieuwe kwetsbaarheden. Ze moeten daarin keuzes maken op basis van de gevoeligheid van informatie; zoals processen uitschakelen of 4 / 11 risico accepteren? En weer de controleslag waarmee je ook duidelijk kunt maken dat maatregelen niet meer werken en dus niet nodig zijn. Het beveiligingsbewustzijn van medewerkers wordt steeds beter maar voorkom overbodige maatregelen. Met technische maatregelen alleen ben je er niet; de mens blijft de zwakke schakel in de beveiliging. Peter wijst in dit verband op de wegwijzer Informatieveilig gedrag in de zorg; een initiatief van VWS en brancheorganisaties Zorg; vanaf 1 april belegd bij ECP in het programma Digivaardig in de zorg.

Wordt inzage in dossiers goed gelogd.

Met andere woorden, heb je een afspraak of is er een proces waarin je kunt nagaan of de toegang tot het dossier juist verloopt. Je kunt bijvoorbeeld periodiek standaard checks doen. Bij Pinewood komen verzoeken binnen om toegang tot ECD’s te monitoren. Resultaten realtime te filteren en een alarmering doen op verdachte benaderingen. Filtering rules worden met de klant opgesteld. Monitoring initieert reactive maatregelen en bevordert awareness. Medewerkers weten dat activiteiten worden gemonitord.

Security-by-design, Hoe gaat een zorgorganisatie daarmee om bij aanschaf van software?

In de eerste plaats beleidsmatig vastleggen waaraan leveranciers moeten voldoen en dat ook toetsen. En ga periodiek met leveranciers in overleg; naast het certificaat NEN 7510 kun ook pentesten laten uitvoeren. Hou een overzicht bij van je leveranciers. A.g.v. acute kwestbaarheid moet je bij je leveranciers terecht kunnen; hou ook bij hoe snel ze reageren. Leveranciersmanagement wordt steeds belangrijker en moet een onderdeel zijn van risicomanagement. Wat je normaliter doet in je eigen infrastructuur moet nu de leverancier doen. Zorg vooraf voor goede contracten en bewerkersovereenkomsten. Let vooral op bij koppelingen naar ‘achterliggende’ leveranciers in de keten; ga ook na of voor je vaste leveranciers de toeleveranciers in beeld zijn. In het eerdergenoemde rapport van IBM wordt dit ook als toenemend risico genoemd.

Leveranciersketens zijn een toenemende kwetsbaarheid; klanten zijn verplicht bij leveranciers door te vragen naar de toeleveranciers.

Relatie Z-Cert en SOC Zoals eerder aangegeven is een continue monitoring van het ICTnetwerk van groot belang; immers, bedrijfsnetwerken zijn vrijwel altijd gekoppeld aan het internet; dit betekent dat ze per definitie doorlopend door kwaadwillenden worden gescand op kwetsbaarheden die misschien de mogelijkheid bieden om in te breken op het bedrijfsnetwerk. Om schade te beperken is het allereerst van belang het netwerk in te delen in verschillende zones en de koppeling met internet via een DMZ (de-militarized zone) te laten lopen.

Maar het netwerk continu bewaken met behulp van een intrusion detection en prevention systeem (IDS IPS) is van toenemend belang om bijvoorbeeld een ransomware aanval te voorkomen. Deze continue bewaking vindt plaats vanuit een zogenaamd Security Operations Center (SOC). Probleem is echter dat voor veel zorginstellingen het niet mogelijk is om hier 7×24 uur monitoring op uit te laten voeren door een SOC, hetgeen zowel met beschikbaarheid als met de hiervoor benodigde specialistische expertise te maken heeft. Veel zorginstellingen kiezen er daarom voor gebruik te maken van een SOC-dienstverlener zoals Pinewood.

Het SOC van Pinewood legt voor elke klant een log-collector aan die de logfiles van de verschillende applicaties verzamelt. Dit wordt gemapt met Z-Cert meldingen; ‘matches’ worden teruggekoppeld naar de klant. Bij het Pinewood SOC worden vanuit een centrale post alle klantensystemen gemonitoord; monitoring is per klant ingesteld voor de klantspecifieke situaties / risico’s.

Leesbaarheid van security rapportages.

Het is een algemeen probleem dat bij klanten vaak de kennis ontbreekt om securityrapporten (pentesten, security scans) te interpreteren. Belangrijk is dat er partijen zijn  die de vertaling naar jouw situatie kunnen maken en advies uitbrengen wat je ermee moet doen; niet alleen technisch, ook procesmatig.

Specifieke kenmerken cyberweerbaarheid zorgsector?

De balans tussen ‘open karakter’ zorg en privacy; naast preventieve maatregelen moet dan wel extra worden geïnvesteerd in het vroegtijdig ontdekken van incidenten en de afhandeling daarvan. Security verplaatst zich van IT naar business; IT is slechts nodig voor inrichtingszaken. Apparatuur wordt aangeschaft voor de lange termijn; dit geldt niet voor de sofware. Dat vergt aanvullende security/ controle maatregelen.

Domotica en IoT

Alle mogelijke systemen kunnen worden gekoppeld aan internet of aan systemen. Maak bijv. met scans inzichtelijk wat er aan je netwerk hangt zodat je het kunt beheren Er worden op IoT-systemen wel testen uitgevoerd; maar ze zijn zeer divers en er zijn nog geen keurmerken. Ga er in beginsel van uit dat ze onveilig zijn. Het even koppelen van een digitale camera of planbord wordt steeds gangbaarder; een extra kwetsbaarheid voor het netwerk. Pentesters hebben vaak veel succes bij printers en camera’s!

De verschillende security scans

Een Security scan is vooral organisatorisch; faciliterend; gericht op processen. Een kwetsbaarheidsscan (zogenaamde pentest) is een scan op zwakke plekken in je ICT-omgeving die je bijvoorbeeld maandelijks uitvoert; het signaleert bijvoorbeeld wanneer patches, security updates niet zijn uitgevoerd waardoor kwetsbaarheden kunnen worden misbruikt. Een kwetsbaarheidsscanning vraagt resources van een organisatie; output moet worden beoordeeld en o.b.v. prioritering moeten acties volgen. Waar een kwetsbaarheidsscan inzicht geeft in de kwetsbaarheden van de in gebruik zijnde software, geeft een pentest bijvoorbeeld inzicht in de mate waarin de kwetsbare software ook daadwerkelijk kan worden misbruikt. Of wordt het voorkomen door een adequate scheiding tussen de verschillende zones in het netwerk dan wel verschillende maatregelen op applicatieniveau? De pentest kijkt dus ook naar de opbouw en gebruik van de infrastructuur.

Zijn bestuurders van zorginstelling zich voldoende bewust van cyberweerbaarheid?

Wordt er voldoende in geinvesteerd? Is er draagvlak? Voorwaarde is dan wel dat de SO-rol niet is belegd binnen de ict-afdeling maar dichter bij het bestuur. 6 / 11 Pinewood geeft aan dat bij risicoworkshops steeds vaker andere dan ict-afdelingen worden betrokken; cyberweerbaarheid is de verantwoordelijkheid van de hele organisatie. Problemen liggen vaak niet alleen bij de ict-afdeling; die heeft meestal zijn zaakjes wel op orde. Het zijn meestal de bedrijfsprocessen; de awareness waar de grootste risico’s liggen. En bestuurder niet pas betreken a.g.v. een incident.

Security tips!

  • Zorg dat je onafhankelijk kunt functioneren.
  • Zorg ervoor dat je niet zelf bij uitvoering van security betrokken bent. Eerst risico dan de techniek.
  • Laat risico’s leidend zijn voor je maatregelen.
  • Houd korte lijnen met de IT-afdeling en schroom niet om een specialist in de arm te nemen als het nodig is.
  • Betrek zoveel mogelijk de bestuurslaag bij beslissingen Beoordeel op vooraf vastgestelde termijnen de risico’s met de bestuurders.
  • Houd je ISMS bij zodat je altijd een overall inzicht hebt Scherm het ISMS niet af maar laat het een intern-open document zijn.

Nieuwe technologieën en platforms bieden vele mogelijkheden om gegevens uit te wisselen en wordt een steeds grotere uitdaging. Denk voor dergelijke installaties van goed na over de inrichting; besteed aandacht aan autorisaties. Hou de mogelijkheden van een pakket tegen je risico’s aan; bouw zo nodig beperkingen in. Security by design.

Platforms als Teams en Sharepoint zijn gericht op samenwerking maar zorg wel dat je dat goed regelt. Zelfs als je de configuratie uit handen geeft ziet Pinewood soms achteraf nog kwetsbaarheden als gevolg van foute configuraties. Documenten kunnen bijvoorbeeld hierdoor onbedoeld gedeeld worden of toegankelijk zijn voor andere organisaties

Naar aanleiding van een chatvraag over de complexe kwetsbaarheid log4j een enkele tip. Securitytechniek is een apart vak; als je de kennis niet binnen bereik hebt schroom dan niet een specialist in te huren. Ga er niet van uit dat je dit soort zaken zelf kunt doen en regel vooraf je contacten. Als onderdeel van je incident response maatregelen.

Peter benadrukt nog eens enkele punten:

  • Op risico’s gebaseerde benadering voor beveiligingsmaatregelen.
  • Ervan uitgaan dat eigenlijk niets veilig is.
  • Awareness bij medewerkers en betrokkenheid bestuurders.
  • Security geen onderdeel is van de ict en moet aansluiten op het beheerproces.

Meer weten hoe wij uw organisatie kunnen helpen? Neem dan contact op met Pinewood of onderstaande contactpersoon.

Wijnand Verweij

Accountmanager Healthcare

015 251 36 36

wijnand.verweij@pinewood.nl

Pinewood Security Bulletin – Oekraïne crisis

Pinewood update u graag over de status van onze securitymonitoringdienst in relatie tot de situatie in Oekraïne. Vanzelfsprekend monitort Pinewood op alle gangbare dreigingen en risico’s zoals die bekend staan. Wij hebben nauw contact met het NCSC en andere securitypartijen om de laatste dreigingen te verkrijgen en zo de monitoring te verbeteren. Dit proces helpt ook tijdens deze crisis om de laatste dreigingsinformatie te ontvangen. Op dit moment zijn er geen speciale acties nodig. Wel zullen wij extra alert zijn op een aantal indicatoren zoals, onder andere, door het NCSC aanbevolen.

Ook tijdens deze crisis blijven de generieke securityadviezen van toepassing zoals het hebben van goede responseplannen, het up-to-date houden van systemen en het hebben van goede en up-to-date backups. Als laatste blijft natuurlijk de oplettendheid van de werknemers belangrijk, juist in deze tijd zijn afwijkingen in gedrag belangrijk. Zorg ervoor dat medewerkers blijven melden als zij afwijkingen zien.

Vragen?
Mocht u nog vragen hebben over hoe wij reageren op deze crisis, neem dan contact met onderstaande persoon of via info@pinewood.nl

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Courseware: niet alleen inzicht in de security risico’s, maar ook een heldere rapportage met concrete maatregelen

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”. Dat zegt Herbert Jansen, CTO van The Courseware Company. Daarom kiest hij elk jaar weer voor een pentest van Pinewood.

The Courseware Company is een Nederlands bedrijf dat software-applicaties aanbiedt waarmee effectieve leerlandschappen ingericht kunnen worden. Deze leerlandschappen worden op maat gemaakt op basis van de behoeften van de klant. The Courseware Company zorgt ervoor dat het nieuwe Leer Management Systeem (LMS) of kennisportaal mee kan groeien en -bewegen met de organisatie en verzorgt ook trainingen, zodat klanten zelf aan de slag kunnen gaan met de software.

courseware pentest

De vertrouwelijke informatie die zich in de leerlandschappen van The Courseware Company bevindt moet goed beveiligd zijn. Met een ISO 27001 certificaat toont het bedrijf aan dat het voldoet aan de laatste internationale eisen op het gebied van informatiebeveiliging. The Courseware Company voldeed al geruime tijd aan deze norm, maar de vraag naar pentesten vanuit klanten werd steeds groter. Dit was één van de drijfveren waarom de The Courseware Company een pentest wilde laten uitvoeren op hun Online leeromgevingen. Wat een pentest is en wat een goede pentest voor de The Courseware Company betekent, leest u in dit klantenverhaal.

 

Wat is een pentest?

Een pentest is een gecontroleerde aanval op een systeem van buitenaf met als doel kwetsbaarheden van het systeem bloot te leggen. Er worden doorgaans dezelfde methoden en technieken gebruikt als bij een echte aanval, zodat een echte aanval zo realistisch mogelijk kan worden. Pentesten zijn er in verschillende aanvalssenario’s afhankelijk van de hoeveelheid kennis die de pentester over het aanvalsdoelwit heeft: • Black-box: Een Blackbox pentest houdt in dat de pentester nauwelijks voorkennis heeft van het doelsysteem (hooguit het IP-adres of domeinnaam). Deze test is uitermate geschikt om de veiligheid van de firewall, gebruikte serversoftware of publieke websites te testen. • Grey-box: Een Greybox pentest houdt in dat de pentester beschikt over beperkt verstrekte informatie. Een Greybox pentest is geschikt om te testen of achterliggende netwerken en systemen veilig zijn voor bijvoorbeeld geautoriseerde gebruikers. Hierbij krijgt Pinewood beperkte uitleg over het doelsysteem en bijvoorbeeld een gast- of medewerkersaccount. • White box: Biedt een zeer nauwkeurige analyse van informatiebeveiliging. Bij een Whitebox pentest heeft de pentester alle relevante informatie zoals netwerkarchitectuur, functionele en technische ontwerpen. De pentest heeft doorgaans een sterke focus op één systeem, service of functie. Voorbeelden hiervan zijn het testen van de beveiliging van een website, het testen van de toegang tot een interne server of het evalueren van een Online leeromgeving zoals bij The Courseware Company.

Pentesten rapporten van grote waarde.

The Courseware Company heeft de pentest voornamelijk ingezet om aan te tonen dat zij voldoen aan de ISO 27001-norm. Om de (web) appliciaties te testen hebben zij verschillende methodes ingezet. Vertrouwen is een belangrijke voorwaarde Pinewood en The Courseware Company werken nu al sinds 2014 samen, maar die begon pas na een weloverwogen afweging vanuit The Courseware Company. “We hebben verschillende partijen vergeleken, maar met Pinewood hadden we gelijk vanaf het begin goed contact”, zegt Herbert Jansen, CTO van The Courseware Company. “In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen”. Zij waren destijds, net als The Courseware Company, nog niet zo groot en dat paste heel goed bij elkaar. Geen grote enterprises, maar kleinere partijen van Nederlandse bodem. Daarnaast was ook het vertrouwen een belangrijke voorwaarde in de keuze voor Pinewood. “Bij Pinewood voelde het gewoon goed”, zegt Jansen. Bij andere aanbieders ontbrak die klik om diverse redenen, maar Pinewood hield het juiste gemiddelde tussen vertrouwen, professionaliteit en prijs.

Communicatie en afstemming essentieel

The Courseware Company heeft eerst een proeftest laten doen met een tweetal sites waarin uitgebreid het doel van de test werd besproken en de eventuele aandachtspunten. Het is belangrijk dat dit soort zaken goed van tevoren in kaart worden gebracht, de pentesten worden immers gedraaid op de productiesites van klanten. De uitkomsten van een pentest zijn vaak heel verschillend. Security risico’s ontstaan veelal door kwetsbaarheden in de inrichting van een systeem of netwerk of in de software. Bij het vinden van risico’s staat de The Courseware Company in nauw contact met de leverancier, zodat risico’s snel gemitigeerd kunnen worden. Zo zorgt de The Courseware Company ervoor dat de beveiliging op het juiste niveau is en blijft.

Proactief in plaats van reactief.

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”, zegt Jansen. In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen. Met dit rapport kan The Courseware Company aantonen dat zij voldoen aan de eisen van de ISO 27001-norm.

Wilt u meer weten over wat Pinewood voor u kan betekenen? Vraag dan vrijblijvend onze brochure aan over Pentesten of neem contact op met één van onze IT Security Specialisten via info@ pinewood.nl of bel 015 – 251 3636

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Meander: Gebruik compliance en security als katalysator in plaats van als rem.

Meander Medisch Centrum, het ziekenhuis in Amersfoort, is op alle fronten aan het digitaliseren. Niet alleen implementeren ze een volledig nieuw EPD, ook worden er op allerlei plekken in het ziekenhuis e-health toepassingen geïmplementeerd. Director Digital & ICT Vincent van Luling: “Je ziet dat security vaak een rem vormt op zorginnovatie. Wij willen dat voor zijn en dat betekent dat je het in de basis heel goed moet regelen. Bij alle innovaties nemen wij security en compliancy vanaf het begin mee: security by design. We toetsen alle innovaties aan ons Compliancy Framework en we werken nauw samen met diverse securityleveranciers en -dienstverleners die samen ons security ecosysteem vormen.”

meander ziekenhuis Vincent van Luling

Malversaties snel herkennen
Meander Medisch Centrum heeft zijn SOC extern belegd bij Pinewood. Daarover zegt Van Luling: “Natuurlijk nemen we allerlei maatregelen om
de slotgrachten en kasteelmuren te verstevigen, maar we willen ook weten wat er op de binnenplaats en binnen de muren van het kasteel gebeurt. Want het is een utopie om te denken Dat je met firewalls, virusscanners en endpoint security alles kunt dichtzetten. Zeker in deze nieuwe digitale wereld, waarin e-health een steeds belangrijkere rol gaat spelen en waarin medische apparatuur aan het internet hangt, kun je dat niet langer volhouden. Je haalt altijd wel virussen en malware binnen. Waar het om gaat is dat je deze malversaties zo snel mogelijk detecteert en daarop acteert. Want de tijd tussen een incident en het moment dat het wordt geconstateerd is in de regel de tijd waarin de meeste schade wordt toegebracht.”

Big data analytics
Daarom monitort het Pinewood SOC voortdurend wat er op het netwerk en in applicaties en databases gebeurt. Van Luling: “De crux is dat je afwijkend gedrag zo snel mogelijk detecteert. Dat doe je middels big data analytics. De kwaliteit van die analyses verbetert naarmate je meer externe benchmarks daarin meeneemt. Dat is een belangrijke reden waarom we deze taak extern hebben belegd. Pinewood monitort niet alleen onze omgeving, maar die van veel andere organisaties waaronder andere ziekenhuizen. Die externe data helpt hen om op ons netwerk sneller afwijkingen te detecteren.” Daarnaast is het een specialisme dat het Meander Medisch Centrum zelf niet beheerst, erkent hij. “Je moet dit soort kennis als ziekenhuis niet zelf willen opbouwen, het is zulk verschrikkelijk specialistisch werk. Je kunt als ziekenhuis nooit de kwaliteit en snelheid bereiken die een partij als Pinewood kan garanderen.”

Compliance framework

De SOC-dienstverlening past binnen het Compliance Framework van Meander Medisch Centrum. “Dat is opgesteld in samenwerking met gerenommeerde juristen. Zij hebben alle wet- en regelgeving bij elkaar opgeteld, ontdubbeld en relevant gemaakt. Dat wil zeggen: we hebben de vertaalslag gemaakt naar: wat betekent deze regel precies voor ons ziekenhuis? Uit het framework komt een enorme bak werk voort, want we voldoen nog niet aan alle regels waar we aan willen voldoen, maar het geeft ook rust. Want we weten precies waar we staan. En we kunnen ook verantwoorden waarom we bepaalde maatregelen niet nemen of nog niet hebben genomen. Bovendien helpt het framework bij het maken van afspraken met ICT-dienstverleners. We weten precies met welke partijen we wat voor afspraken moeten maken, bijvoorbeeld met de partij die ons EPD host, maar ook met Pinewood.”

 

Wat doet een pentester?

In deze video geeft één van onze pentester een korte uitleg van zijn werkzaamheden.

Graag meer informatie over Pentesting.

Graag hoor ik meer wat de pentest voor mijn organisatie kan betekenen. Of zie je jezelf ook als Pentester aan de slag gaan bij Pinewood? Dan horen wij ook graag van je.

Toestemming*

Video: Verschillen tussen een CERT en een SOC

In deze video lichten wij toe wat de verschillen zijn tussen een Security Operations Center (SOC) en een Computer Emergency Response Team (CERT).

Graag kom in in contact voor meer informatie over het SOC.

Neem contact met mij op voor een vraag en/of advies inzake het SOC.

Toestemming*

Hoe werkt de EPD-sensor voor de zorg?

In deze video geven wij uitleg wat de EPD-sensor doet. Deze module wordt door diverse ziekenhuizen gebruikt om privacy gerelateerde incidenten te monitoren zoals inzage in patiënten dossiers. Geschikt voor alle gangbare EPD-systemen.

Graag ontvang ik meer informatie over de EPD sensor voor de zorg

Meer weten over de EPD sensor? Neem dan contact met ons op voor een demo of advies.

Toestemming*

SOC uitbesteden of zelf doen?

In deze video lichten wij toe of je een Security Operations Center (SOC) beter kan uitbesteden of zelf doen.

 

Wat is een security incident?

In deze video lichten wij toe wat een security incident is en een use-case is voor het Security Operations Center (SOC).

 

Eurocross ontwikkelt securitybeleid met Pinewood

 

eurocross security

Eurocross Assistance is gespecialiseerd in wereldwijde hulpverlening. Als onderdeel van het verzekeringsconcern Achmea/Eureko moet de informatiebeveiliging op orde zijn. Zeker omdat medewerkers geregeld met medische gegevens werken, waarvoor strikte privacywetgeving geldt. Een andere uitdaging is de toenemende vraag naar transparantie door opdrachtgevers. Dat betekent onder andere dat opdrachtgevers online toegang hebben tot relevante procesinformatie. Deze ontwikkelingen versterken de roep om een effectief informatiebeveiligingsbeleid. Een nulmeting en een serie workshops van Pinewood vormden het vertrekpunt voor de ontwikkeling van dit beleid.

Eurocross heeft de afgelopen jaren een stormachtige groei doorgemaakt. Ralph Emmen, CFO van Euocross Assistance: ‘Hierdoor lag de focus vooral op de bedrijfsvoering. Hoewel we de beveiliging technisch goed op orde hadden, voelden we de noodzaak om informatiebeveiliging beter in onze Eurocrossorganisatie te integreren.’

Pragmatische benadering
In het begin keek Eurocross vooral naar de richtlijnen van het moederbedrijf. ‘Risicomanagement is essentieel voor een grote financiële dienstverlener.’ Toch bleek dat de verschillende kernactiviteiten, dienstverlening versus verzekeren, andere eisen aan informatiebeveiliging stellen. We moesten dus een eigen beleid opstellen. Gezien onze omvang en cultuur hebben we een pragmatische aanpak gekozen. Alles met regels dichttimmeren is zinloos als dat in de praktijk niet werkbaar blijkt. Tegelijkertijd moet het beleid wel in lijn zijn met de ‘richtlijnen van ons moederbedrijf.’

Aandachtspunten
Als startpunt, vroeg Eurocross Pinewood een nulmeting uit te voeren. Emmen: ‘We wilden de bestaande aanpak goed kunnen beoordelen om vervolgens verdere actie te ondernemen. Daarom heeft Pinewood onze beveiligingsmaatregelen, processen en procedures objectief in kaart gebracht en beoordeeld.’ Uit de review bleek de informatiebeveiliging bij Eurocross overeen te komen met het gemiddelde securityniveau van vergelijkbare organisaties. Emmen: ‘Een belangrijk pluspunt was dat het onderwerp hoog op de managementagenda staat. Toch bleek er ook veel te winnen, bijvoorbeeld op het gebied van IT-beheerprocedures.’
Ralph Emmen CFO
Evenwichtig informatiebeveiligingsbeleid
In het verlengde van de nulmeting organiseerde Pinewood een serie workshops. ‘Na de inventarisatie wilden we daarmee tot een evenwichtig informatiebeveiligingsbeleid komen met daaraan gekoppeld een helder uitvoeringsplan. De workshop-aanpak was heel functioneel omdat we gedwongen werden breder na te denken over beveiliging. Bijvoorbeeld over wat de waarde van de informatie op onze systemen is. Dat is namelijk bepalend voor de maatregelen en investeringen die nodig zijn.’

Handvatten
Tijdens deze sessies bood Pinewood Eurocross een duidelijke structuur om haar eigen prioriteiten te stellen. ‘Door de vele praktijkvoorbeelden konden we putten uit ‘the best of all worlds’ en hoefden niet zelf het wiel uit te vinden.’ Inmiddels is het beleid vastgesteld en werkt Eurocross aan een concreet plan voor de invulling. ‘Het belangrijkste aan dit traject is dat de security awareness is toegenomen. Dat overstijgt het verstrekken van gegevens aan derden. Ook het herkennen van incidenten en het omgaan met wachtwoorden spelen een rol. Door de ondersteuning van Pinewood is het veiligheidsbewustzijn gegroeid en hebben we de handvatten om hier gerichte maatregelen aan te koppelen. Security is nu een integraal onderdeel van onze bedrijfsvoering.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl