Update

Ontvang gratis het Pinewood Cybersecurity Dreigingsbeeld en Adviesrapport NL 2022

Lees verder

Courseware: niet alleen inzicht in de security risico’s, maar ook een heldere rapportage met concrete maatregelen

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”. Dat zegt Herbert Jansen, CTO van The Courseware Company. Daarom kiest hij elk jaar weer voor een pentest van Pinewood.

The Courseware Company is een Nederlands bedrijf dat software-applicaties aanbiedt waarmee effectieve leerlandschappen ingericht kunnen worden. Deze leerlandschappen worden op maat gemaakt op basis van de behoeften van de klant. The Courseware Company zorgt ervoor dat het nieuwe Leer Management Systeem (LMS) of kennisportaal mee kan groeien en -bewegen met de organisatie en verzorgt ook trainingen, zodat klanten zelf aan de slag kunnen gaan met de software.

courseware pentest

De vertrouwelijke informatie die zich in de leerlandschappen van The Courseware Company bevindt moet goed beveiligd zijn. Met een ISO 27001 certificaat toont het bedrijf aan dat het voldoet aan de laatste internationale eisen op het gebied van informatiebeveiliging. The Courseware Company voldeed al geruime tijd aan deze norm, maar de vraag naar pentesten vanuit klanten werd steeds groter. Dit was één van de drijfveren waarom de The Courseware Company een pentest wilde laten uitvoeren op hun Online leeromgevingen. Wat een pentest is en wat een goede pentest voor de The Courseware Company betekent, leest u in dit klantenverhaal.

 

Wat is een penstest?

Een pentest is een gecontroleerde aanval op een systeem van buitenaf met als doel kwetsbaarheden van het systeem bloot te leggen. Er worden doorgaans dezelfde methoden en technieken gebruikt als bij een echte aanval, zodat een echte aanval zo realistisch mogelijk kan worden. Pentesten zijn er in verschillende aanvalssenario’s afhankelijk van de hoeveelheid kennis die de pentester over het aanvalsdoelwit heeft: • Black-box: Een Blackbox pentest houdt in dat de pentester nauwelijks voorkennis heeft van het doelsysteem (hooguit het IP-adres of domeinnaam). Deze test is uitermate geschikt om de veiligheid van de firewall, gebruikte serversoftware of publieke websites te testen. • Grey-box: Een Greybox pentest houdt in dat de pentester beschikt over beperkt verstrekte informatie. Een Greybox pentest is geschikt om te testen of achterliggende netwerken en systemen veilig zijn voor bijvoorbeeld geautoriseerde gebruikers. Hierbij krijgt Pinewood beperkte uitleg over het doelsysteem en bijvoorbeeld een gast- of medewerkersaccount. • White box: Biedt een zeer nauwkeurige analyse van informatiebeveiliging. Bij een Whitebox pentest heeft de pentester alle relevante informatie zoals netwerkarchitectuur, functionele en technische ontwerpen. De pentest heeft doorgaans een sterke focus op één systeem, service of functie. Voorbeelden hiervan zijn het testen van de beveiliging van een website, het testen van de toegang tot een interne server of het evalueren van een Online leeromgeving zoals bij The Courseware Company.

Pentesten rapporten van grote waarde.

The Courseware Company heeft de pentest voornamelijk ingezet om aan te tonen dat zij voldoen aan de ISO 27001-norm. Om de (web) appliciaties te testen hebben zij verschillende methodes ingezet. Vertrouwen is een belangrijke voorwaarde Pinewood en The Courseware Company werken nu al sinds 2014 samen, maar die begon pas na een weloverwogen afweging vanuit The Courseware Company. “We hebben verschillende partijen vergeleken, maar met Pinewood hadden we gelijk vanaf het begin goed contact”, zegt Herbert Jansen, CTO van The Courseware Company. “In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen”. Zij waren destijds, net als The Courseware Company, nog niet zo groot en dat paste heel goed bij elkaar. Geen grote enterprises, maar kleinere partijen van Nederlandse bodem. Daarnaast was ook het vertrouwen een belangrijke voorwaarde in de keuze voor Pinewood. “Bij Pinewood voelde het gewoon goed”, zegt Jansen. Bij andere aanbieders ontbrak die klik om diverse redenen, maar Pinewood hield het juiste gemiddelde tussen vertrouwen, professionaliteit en prijs.

Communicatie en afstemming essentieel

The Courseware Company heeft eerst een proeftest laten doen met een tweetal sites waarin uitgebreid het doel van de test werd besproken en de eventuele aandachtspunten. Het is belangrijk dat dit soort zaken goed van tevoren in kaart worden gebracht, de pentesten worden immers gedraaid op de productiesites van klanten. De uitkomsten van een pentest zijn vaak heel verschillend. Security risico’s ontstaan veelal door kwetsbaarheden in de inrichting van een systeem of netwerk of in de software. Bij het vinden van risico’s staat de The Courseware Company in nauw contact met de leverancier, zodat risico’s snel gemitigeerd kunnen worden. Zo zorgt de The Courseware Company ervoor dat de beveiliging op het juiste niveau is en blijft.

Proactief in plaats van reactief.

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”, zegt Jansen. In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen. Met dit rapport kan The Courseware Company aantonen dat zij voldoen aan de eisen van de ISO 27001-norm.

Wilt u meer weten over wat Pinewood voor u kan betekenen? Vraag dan vrijblijvend onze brochure aan over Pentesten of neem contact op met één van onze IT Security Specialisten via info@ pinewood.nl of bel 015 – 251 3636

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Meander: Gebruik compliance en security als katalysator in plaats van als rem.

Meander Medisch Centrum, het ziekenhuis in Amersfoort, is op alle fronten aan het digitaliseren. Niet alleen implementeren ze een volledig nieuw EPD, ook worden er op allerlei plekken in het ziekenhuis e-health toepassingen geïmplementeerd. Director Digital & ICT Vincent van Luling: “Je ziet dat security vaak een rem vormt op zorginnovatie. Wij willen dat voor zijn en dat betekent dat je het in de basis heel goed moet regelen. Bij alle innovaties nemen wij security en compliancy vanaf het begin mee: security by design. We toetsen alle innovaties aan ons Compliancy Framework en we werken nauw samen met diverse securityleveranciers en -dienstverleners die samen ons security ecosysteem vormen.”

meander ziekenhuis Vincent van Luling

Malversaties snel herkennen
Meander Medisch Centrum heeft zijn SOC extern belegd bij Pinewood. Daarover zegt Van Luling: “Natuurlijk nemen we allerlei maatregelen om
de slotgrachten en kasteelmuren te verstevigen, maar we willen ook weten wat er op de binnenplaats en binnen de muren van het kasteel gebeurt. Want het is een utopie om te denken Dat je met firewalls, virusscanners en endpoint security alles kunt dichtzetten. Zeker in deze nieuwe digitale wereld, waarin e-health een steeds belangrijkere rol gaat spelen en waarin medische apparatuur aan het internet hangt, kun je dat niet langer volhouden. Je haalt altijd wel virussen en malware binnen. Waar het om gaat is dat je deze malversaties zo snel mogelijk detecteert en daarop acteert. Want de tijd tussen een incident en het moment dat het wordt geconstateerd is in de regel de tijd waarin de meeste schade wordt toegebracht.”

Big data analytics
Daarom monitort het Pinewood SOC voortdurend wat er op het netwerk en in applicaties en databases gebeurt. Van Luling: “De crux is dat je afwijkend gedrag zo snel mogelijk detecteert. Dat doe je middels big data analytics. De kwaliteit van die analyses verbetert naarmate je meer externe benchmarks daarin meeneemt. Dat is een belangrijke reden waarom we deze taak extern hebben belegd. Pinewood monitort niet alleen onze omgeving, maar die van veel andere organisaties waaronder andere ziekenhuizen. Die externe data helpt hen om op ons netwerk sneller afwijkingen te detecteren.” Daarnaast is het een specialisme dat het Meander Medisch Centrum zelf niet beheerst, erkent hij. “Je moet dit soort kennis als ziekenhuis niet zelf willen opbouwen, het is zulk verschrikkelijk specialistisch werk. Je kunt als ziekenhuis nooit de kwaliteit en snelheid bereiken die een partij als Pinewood kan garanderen.”

Compliance framework

De SOC-dienstverlening past binnen het Compliance Framework van Meander Medisch Centrum. “Dat is opgesteld in samenwerking met gerenommeerde juristen. Zij hebben alle wet- en regelgeving bij elkaar opgeteld, ontdubbeld en relevant gemaakt. Dat wil zeggen: we hebben de vertaalslag gemaakt naar: wat betekent deze regel precies voor ons ziekenhuis? Uit het framework komt een enorme bak werk voort, want we voldoen nog niet aan alle regels waar we aan willen voldoen, maar het geeft ook rust. Want we weten precies waar we staan. En we kunnen ook verantwoorden waarom we bepaalde maatregelen niet nemen of nog niet hebben genomen. Bovendien helpt het framework bij het maken van afspraken met ICT-dienstverleners. We weten precies met welke partijen we wat voor afspraken moeten maken, bijvoorbeeld met de partij die ons EPD host, maar ook met Pinewood.”

 

Eurocross ontwikkelt securitybeleid met Pinewood

 

eurocross security

Eurocross Assistance is gespecialiseerd in wereldwijde hulpverlening. Als onderdeel van het verzekeringsconcern Achmea/Eureko moet de informatiebeveiliging op orde zijn. Zeker omdat medewerkers geregeld met medische gegevens werken, waarvoor strikte privacywetgeving geldt. Een andere uitdaging is de toenemende vraag naar transparantie door opdrachtgevers. Dat betekent onder andere dat opdrachtgevers online toegang hebben tot relevante procesinformatie. Deze ontwikkelingen versterken de roep om een effectief informatiebeveiligingsbeleid. Een nulmeting en een serie workshops van Pinewood vormden het vertrekpunt voor de ontwikkeling van dit beleid.

Eurocross heeft de afgelopen jaren een stormachtige groei doorgemaakt. Ralph Emmen, CFO van Euocross Assistance: ‘Hierdoor lag de focus vooral op de bedrijfsvoering. Hoewel we de beveiliging technisch goed op orde hadden, voelden we de noodzaak om informatiebeveiliging beter in onze Eurocrossorganisatie te integreren.’

Pragmatische benadering
In het begin keek Eurocross vooral naar de richtlijnen van het moederbedrijf. ‘Risicomanagement is essentieel voor een grote financiële dienstverlener.’ Toch bleek dat de verschillende kernactiviteiten, dienstverlening versus verzekeren, andere eisen aan informatiebeveiliging stellen. We moesten dus een eigen beleid opstellen. Gezien onze omvang en cultuur hebben we een pragmatische aanpak gekozen. Alles met regels dichttimmeren is zinloos als dat in de praktijk niet werkbaar blijkt. Tegelijkertijd moet het beleid wel in lijn zijn met de ‘richtlijnen van ons moederbedrijf.’

Aandachtspunten
Als startpunt, vroeg Eurocross Pinewood een nulmeting uit te voeren. Emmen: ‘We wilden de bestaande aanpak goed kunnen beoordelen om vervolgens verdere actie te ondernemen. Daarom heeft Pinewood onze beveiligingsmaatregelen, processen en procedures objectief in kaart gebracht en beoordeeld.’ Uit de review bleek de informatiebeveiliging bij Eurocross overeen te komen met het gemiddelde securityniveau van vergelijkbare organisaties. Emmen: ‘Een belangrijk pluspunt was dat het onderwerp hoog op de managementagenda staat. Toch bleek er ook veel te winnen, bijvoorbeeld op het gebied van IT-beheerprocedures.’
Ralph Emmen CFO
Evenwichtig informatiebeveiligingsbeleid
In het verlengde van de nulmeting organiseerde Pinewood een serie workshops. ‘Na de inventarisatie wilden we daarmee tot een evenwichtig informatiebeveiligingsbeleid komen met daaraan gekoppeld een helder uitvoeringsplan. De workshop-aanpak was heel functioneel omdat we gedwongen werden breder na te denken over beveiliging. Bijvoorbeeld over wat de waarde van de informatie op onze systemen is. Dat is namelijk bepalend voor de maatregelen en investeringen die nodig zijn.’

Handvatten
Tijdens deze sessies bood Pinewood Eurocross een duidelijke structuur om haar eigen prioriteiten te stellen. ‘Door de vele praktijkvoorbeelden konden we putten uit ‘the best of all worlds’ en hoefden niet zelf het wiel uit te vinden.’ Inmiddels is het beleid vastgesteld en werkt Eurocross aan een concreet plan voor de invulling. ‘Het belangrijkste aan dit traject is dat de security awareness is toegenomen. Dat overstijgt het verstrekken van gegevens aan derden. Ook het herkennen van incidenten en het omgaan met wachtwoorden spelen een rol. Door de ondersteuning van Pinewood is het veiligheidsbewustzijn gegroeid en hebben we de handvatten om hier gerichte maatregelen aan te koppelen. Security is nu een integraal onderdeel van onze bedrijfsvoering.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Ab Ovo, laat het monitoring aan de experts over.

“Security is iets wat continu aandacht vraagt. Bovendien gaan de ontwikkelingen zo snel dat het voor een IT-manager nauwelijks nog te doen is om de kennis up-to-date te houden.” Dat zegt Lex Brinkhuijsen, IT- manager bij Ab Ovo. Hij kiest daarom voor een managed services-contract met het Security Operations Center (SOC) van Pinewood.

Ab Ovo is een wereldwijd opererend Supply Chain Planning & Optimization (SCP&O)-bedrijf met vestigingen in Europa, China en de Verenigde Staten. De organisatie ontwikkelt software voor
en levert advies aan transportbedrijven en andere logistieke dienstverleners. Brinkhuijsen vertelt: “We zijn in 1997 begonnen als consultancybedrijf en implementatiepartner voor logistieke software- pakketten. Van lieverlee zijn we ook eigen software gaan ontwikkelen gericht op nichemarkten. Zo hebben we een ERP-systeem ontwikkeld voor rail cargo, waar diverse Europese klanten gebruik van maken. Nu leveren we onze software nog alleen als on-premise applicatie aan grote spelers, maar het is de bedoeling om in de toekomst webbased software te ontwikkelen voor kleinere transporteurs. De ontwikkeling van ons bedrijf van consultancy naar IT-dienstverlener zal zich dus ook in de toekomst nog verder doorzetten.”

Steeds zwaarder beroep op IT
Dit betekent veel voor de manier waarop Ab Ovo zijn eigen IT-omgeving inricht. “Consultants heb-
ben niet zo’n zware IT-omgeving nodig. Met Office 365 komen zij een heel eind”, zegt Brinkhuijsen. “Maar ons softwareontwikkelteam doet natuurlijk wel een zwaar beroep op IT. Zij stellen hoge eisen aan de ontwikkelomgeving, achterliggende data- bases, het netwerk en ga zo maar door. Dit zijn ook geen diensten die wij maar zo even uit de cloud kunnen afnemen, dit draait in eigen huis. Dat betekent dat mijn collega-IT-er en ik verantwoordelijk zijn voor de beschikbaarheid en veiligheid van de omgeving.”
Risico’s stijgen explosief
Hij ziet dat de eisen aan beschikbaarheid en veiligheid groeien, terwijl het aantal en soorten drei- gingen de laatste jaren explosief zijn gestegen. Dat leidde uiteindelijk tot de strategische keus om de security bij een extern SOC te beleggen, ondanks het feit dat Brinkhuijsen zelf CISSP (Certified Information Systems Security Professional) is. Hij verklaart: “Ab Ovo heeft 120 werkplekken op drie continenten. Het IT-team bestaat uit slechts twee mensen die vanuit Nederland de wereldwijde omgeving beheren. Mijn collega en ik moeten overal verstand van hebben: de interne serveromgeving, het netwerk, de databases waar de ontwikkelomgeving op draait, de applicaties waar we zelf intern mee werken. Je kunt gewoon niet op alle gebieden je kennis up-to-date houden. Daarom hebben we besloten om één van de meest kritische onderde len te outsourcen: onze security.”

“Het is een illusie dat je zelf je hele securityomgeving in de gaten kunt houden. Je hebt er de tijd niet voor, en zeker niet de expertise”
Van afroepcontract naar SOC-dienstverlening

Ab Ovo doet al jarenlang een beroep op Pinewood, eigenlijk al het moment dat het bedrijf vanuit de consultancy meer de IT-hoek in schoof. “De eerste jaren hadden we een contract waarbij we Pine- wood op afroepbasis konden inschakelen. Wij waren toen zelf verantwoordelijk voor de monitoring van de securityomgeving en voor het oplossen van kleine incidenten en storingen en riepen de hulp van Pinewood in bij meer complexe zaken. Naar- mate IT bedrijfskritischer werd, ging dat wringen. Want het betekent dat we steeds meer kennis moesten hebben van security, terwijl we ook op andere gebieden up-to-date moeten blijven. Drie jaar geleden hebben we het afroepcontract veranderd in een managed services contract. Pinewood is nu verantwoordelijk voor de totale omgeving: monitoring van firewalls en SIEM, oplossen van storingen, ingrijpen bij security-incidenten en de rapportage hierover.”

Uit de agenda en uit ons hoofd
Pinewood rapporteert maandelijks aan Ab Ovo over de status van de omgeving en de voorgevallen incidenten. Eens in de drie maanden zit Brinkhuijsen met Pinewood om tafel om de securitystrategie te evalueren en eventuele wijzigingen in de aanpak te bespreken. “Wat fijn is, is dat wij ons in ons dagelijks werk helemaal niet meer met security bezig hoeven te houden; het is uit de agenda
en ook uit ons hoofd”, zegt hij. Dat neemt niet weg dat hij zijn kennis wel wil onderhouden. “Ik vind het belangrijk om als klant een goed tegenwicht te kunnen bieden. Daarom bezoek ik regelmatig events die Pinewood organiseert. Dat is een goede én leuke manier om op de hoogte te blijven.”

Proactief in plaats van reactief
Onlangs bezocht hij een seminar over penetratie- testen. “Op dat moment realiseerde ik me weer hoe goed de beslissing is geweest om de monitoring
en het beheer van onze securityomgeving volledig buiten de deur te leggen. Een paar keer dacht ik: ‘zo heb ik er nog nooit naar gekeken.’ Dat komt doordat bij Pinewood mensen werken die denken als hackers. Hackers zijn bezig met aanvallen, ter- wijl je als IT-manager bezig bent met verdedigen. Als verdediger leg je het initiatief bij de aanvaller en daar reageer je op, wat betekent dat je min of meer automatisch achter de feiten aanloopt. Bij Pinewood draaien ze het om. Door zelf te denken als aanvallers zijn ze hackers een stap voor. Ze zijn proactief in plaats van reactief.”

Laat het aan experts over
Als hij andere IT-managers één advies mag geven dan is het: “Ga niet zelf lopen klooien, maar laat het aan experts over. Het is namelijk een illusie dat je alles zelf in de gaten kunt houden. Je hebt
er de tijd niet voor, en zeker niet de expertise. Bovendien is IT in de meeste organisaties bedrijfskritisch geworden. Het is té belangrijk om hier risico’s mee te nemen.”

Meer informatie
Wilt u meer informatie over Pinewood Managed Services of wilt u een demo bijwonen, neemt u dan contact met ons op via T (015) 251 36 36 of kijk op www.pinewood.nl.

Pinewood biedt Vitens concreet stappenplan naar effectieve informatiebeveiliging

 

Waterbedrijf Vitens heeft een passie voor water. De organisatie wint, zuivert en levert drinkwater van topkwaliteit aan 5,4 miljoen klanten in Friesland, Overijssel, Flevoland, Gelderland en Utrecht. Vitens werd in het verleden vanuit regio’s aangestuurd, maar inmiddels is overstap naar een centrale procesgeoriënteerde organisatie, Vitens 2.0, gemaakt.

De nieuwe organisatie vroeg een andere inrichting van de informatiebeveiliging. Een security master- class van Pinewood legde de basis voor de ontwikkeling van een effectief informatiebeveiligingsbeleid, inclusief een concreet uitvoeringsplan.

“Als waterbedrijf beheren we een cruciale infra- structuur en dat vereist goede informatiebeveiliging”, zegt Bert Bannink, Manager Informatie Management bij Vitens. “De huidige informatie- beveiliging is goed op orde, maar we wilden die verder borgen en onderbouwen. Het zwaartepunt lag voorheen bij de techniek. Om naast techniek ook het beleid en de organisatie voor informatiebeveiliging te optimaliseren, wilden we onze situatie inventariseren, een goed beleid opstellen en daar ook een concreet uitvoeringsplan aan koppelen. Op die manier wilden we het informatiebeveiligingsbeleid beter afstemmen op de doelen van onze organisatie en beveiliging beter inbedden.”

Pragmatische aanpak
Om dit proces efficiënt te laten verlopen, zocht Vitens de ondersteuning van een ervaren securitypartner. De masterclass van Pinewood bood een heldere en pragmatische aanpak om snel
tot een evenwichtig beveiligingsbeleid te komen, inclusief een uitvoeringsplan. Bannink: “Pinewood heeft aantoonbare ervaring met het ontwikkelen van beveiligingsbeleid. Hun specialisten kennen het proces en samen hebben we alle noodzakelijke stappen doorlopen om een effectief beleid en uitvoeringsplan te maken. ISO 27002 was daarbij de norm. Pinewood kent deze eisen en kan ook inschatten welke inspanningen nodig zijn om hier aan te voldoen. Die kennis en ervaring hebben we benut om snel ons eigen beleid te schrijven.”

Breder kader
Om te onderstrepen dat beveiliging geen exclusief IT-onderwerp is, zijn mensen uit de gehele organisatie bij het proces betrokken. Bannink: “Zo werden deelnemers min of meer gedwongen om beveiliging in een breder kader te zien. Dat was nodig om de beschikbare kennis en urgentie naar boven te halen. We hebben gesproken over de verantwoordelijkheid voor specifieke informatie en systemen en wie de beveiliging daarvan op orde moet houden. Als het gaat om systemen met klantgegevens, is dat dus niet per definitie de IT-organisatie. Dat besef is cruciaal voor het bepalen en uitvoeren van de benodigde maatregelen en ondersteunende proces- sen. Door samen over beveiliging te praten hebben we onze eigen prioriteiten gesteld en risicoanalyses gemaakt. Zo zijn we tot het beleid gekomen dat goed aansluit bij onze organisatie en activiteiten.”

Bewustwording

Bewustwording speelt een belangrijke rol in het succes van informatiebeveiligingsbeleid. Volgens Bannink erkent iedereen bij Vitens het belang van goede beveiliging. Maar als dat het onthouden
van meerdere wachtwoorden betekent, is het toch lastig. Het doel is veilig zijn, maar wel met een minimale impact op de bedrijfsactiviteiten. Als die impact onvermijdelijk is, is het cruciaal om het belang van beleid en maatregelen goed kenbaar te maken aan medewerkers en managers. “Voor de autorisatie op specifieke systemen hebben we nu een duidelijke procedure ingericht die samen met de business is bepaald en door hen wordt aangestuurd. De vrijblijvendheid en flexibiliteit van ‘even de helpdesk bellen’ als je een wachtwoord vergeten bent, is daarbij uitgesloten. Een striktere procedure voelt voor veel mensen in eerste instantie minder flexibel. Maar naast een betere beveiliging zijn er zeker praktische voordelen. Een geautomatiseerde procedure voor het aanvragen van een nieuw wachtwoord is bijvoorbeeld 24 uur per dag actief. Dat is efficiënter, maar belangrijker is dat het proces transparant en toetsbaar is.”

Een ander praktisch voorbeeld is de scheiding van de proces- en kantoorautomatisering. “Als waterbedrijf moeten we onze informatie, van de infrastructuur en klanten, goed beheren. We hebben op dat vlak te maken met strikte eisen voor de scheiding van de procesautomatisering en kantoorautomatisering. Maar deze informatie gaat uiteindelijk wel over hetzelfde bedrijfsnetwerk. Het is belang- rijk om dat goed in kaart te hebben om passende maatregelen te nemen. Dat inzicht is een belangrijke basis voor effectieve en complete informatie- beveiliging.”

Uitvoering
De pragmatische aanpak van de Pinewood masterclass past volgens Bannink goed bij Vitens. “We hebben in korte tijd een goed beleid en plan geschreven. Het is nu zaak om dit de komende tijd te implementeren en aan te scherpen. Door de masterclass is het intern besef rondom informatie- beveiliging sterk gegroeid. Bovendien hebben we handvatten om te investeren in gerichte maatregelen.” Bannink vindt het voor de bewustwording be- langrijk dat Vitens het proces zelf heeft doorlopen. “We hebben nu echt ons eigen beleid en kunnen deze cyclus ook zelfstandig doorlopen als de omstandigheden veranderen. In eerste instantie was het de bedoeling om de uitvoering van de benodigde maatregelen helemaal zelf te doen. Momenteel beschikken we echter niet over de capaciteit om dit te doen, vandaar dat we daarvoor tijdelijk de hulp van Pinewood inschakelen. Belangrijk is dat we nu zeker weten dat de maatregelen die we implementeren goed aansluiten op het beveiligingsniveau dat bij onze organisatie past. Daarmee is informatie- beveiliging uitgegroeid tot een integraal onderdeel van ons bedrijf, nu en in de toekomst.”

HMC: Het belang van een Security Operations Center (SOC) in de Zorg

Met ontwikkelingen als e-health, gebruik van medische technologie op eigen apparatuur, en verdere digitalisering van zorgprocessen is veiligheid een must. Haaglanden Medisch Centrum heeft daarom het monitoren van de digitale infrastructuur en de beveiliging ervan uitbesteed aan een security operations center (SOC).

Robin Hoogduin, Chief Information Officer (CIO) bij HMC.
Elke chief information officer (CIO) moet verstand hebben van drie specifieke zaken. Ten eerste het primaire proces van de organisatie waarvoor je werkt. Je moet goed begrijpen hoe technologie de transformatie van het primaire proces beïnvloedt en vormgeeft. Ten tweede de ict-arbeidsmarkt. Wat moet ik waar inkopen of outsourcen? Die arbeidsmarkt is al jaren krap; daarmee moet je dus in je strategie rekening houden. Ten derde veiligheid en beveiliging: daar ligt de komende vijftien jaar de grote uitdaging.

Technologie levert veel op
We plukken ook in de zorgsector de vruchten van alle functionaliteiten die beschikbaar komen dankzij bijvoorbeeld managed services, SaaS en cloud computing. Alle nieuwe technologie en verbindingen leveren ons veel op. Het is fantastisch dat apparatuur automatisch – geanonimiseerde – data kan versturen die gebruikt kunnen worden voor de diagnose en voor de juiste werking van apparatuur. Het draagt bij aan verbetering van de kwaliteit van leven van patiënten. Datzelfde geldt voor ‘bring your own (medical) device’.

Veiligheid buiten het ziekenhuis
De mobiele telefoon is tegenwoordig feitelijk een gecertificeerd medisch hulpmiddel. In Amerika hebben Apple, Google Microsoft en Amazon al afspraken gemaakt met de FDA over hoe zij in een versneld proces technologie kunnen inzetten als gecertificeerd medisch hulpmiddel. Ook dat zal de kwaliteit van zorg in de komende jaren enorm verbeteren.

Het betekent alleen wel dat de veiligheid van een smartphone niet alleen gegarandeerd moet zijn als die in het ziekenhuis gebruikt wordt, maar ook als daarmee een patiënt in de thuissituatie gemonitord wordt. En dan moeten naast het apparaat ook het netwerk en de verbinding gegarandeerd en beveiligd worden.

Waar in een andere sector uitgebreid tijd is om de veiligheidsrisico’s van een nieuwe oplossing af te wegen, kunnen deze in een zorginstelling levensbedreigend zijn voor de patiënt. Daardoor kan het zijn dat bepaalde nieuwe technologie eerder te vroeg dan te laat geaccepteerd wordt. Dat is dus de uitdaging: de voordelen van technologie blijven benutten én de risico’s die daarbij optreden inperken.

Samenwerking met een SOC
Met de toenemende complexiteit van het samenspel met technologie neemt ook het belang van security toe. Voor veel zorginstellingen is het onmogelijk om voldoende kennis op dat gebied binnen te halen. Het gaat immers om 24/7 monitoring, waarbij de deskundigen ook in staat moeten zijn breder in de markt optredende patronen te herkennen. Neem je dat allemaal in overweging dan is samenwerking met een security operations center (SOC) een toekomstgerichte stap.

In een SOC werken security-analisten, threat hunters en ethical hackers. Zij concentreren zich 24 uur per dag op monitoring, onderzoek en detectie. De security-analisten werken met een combinatie van automatisering en artificial intelligence tools en vullen die aan met hun onmisbare menselijke analyse en interpretatie. De threat hunters zijn continu op zoek naar nieuwe cyberdreigingen zoals infecties of geavanceerde hackpogingen. Als het nodig is, wordt direct actie ondernomen.

Naast signalering ook duiding
Een SOC biedt analyse, signalering en advisering. Maar vooral ook duiding: wat gebeurt er en wat kunnen we nog verwachten. Welke (preventieve) maatregelen kunnen we daartegen nemen. Haaglanden Medisch Centrum (HMC) koos voor een grote speler die dit voor veel klanten doet en snel geografische trends kan waarnemen, zodat indien nodig tijdelijk het verkeer met bepaalde landen stopgezet kan worden. Wel een speler van Nederlandse bodem die de lokale omgeving en omstandigheden goed kent.

Alle informatie is privacygevoelig
Security en privacy zijn speerpunten in de zorg, omdat eigenlijk alle informatie heel gevoelig is. Met de uitbesteding van de monitoring en beveiliging van de digitale infrastructuur heeft het HMC een grote zorg minder.

Door: Robin Hoogduin, Chief Information Officer (CIO) bij HMC

Z-CERT en Pinewood bouwen samen aan digitale veiligheid zorgsector

z-cert zdn beveiliging

Stichting Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, bouwt sinds het begin van de Coronacrisis aan het Zorg Detectie Netwerk (ZDN). Dat doet Z-CERT samen met de zorgsector, het Nationaal Cyber Security Center (NCSC) en private partijen. Via het ZDN wordt informatie gedeeld met de zorgsector over malware, phishing en cyberspionage. Vanaf half november sluiten nog meer organisaties aan bij dit netwerk.

Zes IT-securitypartijen, waaronder Pinewood, gaan dan zorgspecifieke dreigingsinformatie delen met hun klanten uit de zorgsector. De zes bekende securitypartijen hebben hiervoor een intentieverklaring getekend met Stichting Z-CERT. Eerder sloten 46 ziekenhuizen zich rechtstreeks aan bij het ZDN. Nu komen daar nog eens 27 zorgorganisaties bij die de aansluiting regelen via een van de genoemde IT-partijen.

Directeur Z-CERT Wim Hafkamp spreekt van een ‘Grote stap voor de digitale veiligheid van de zorgsector.’ “We zijn blij dat we samen met deze securitypartijen de zorgsector nog beter kunnen beschermen tegen digitale dreigingen. Zoals recent weer te zien was in Amerika waarbij ziekenhuizen actief werden aangevallen met ransomware, is cyber security geen overbodige luxe. Via o.a. Pinewood kunnen we nog meer zorgorganisaties aansluiten op het ZDN. Ons doel is om voor het einde van 2020, 80 procent van de ziekenhuizen aan te sluiten op het Zorg Detectie Netwerk.”

Het ZDN vormt een als het ware een detectieschild om de zorginstellingen heen. Wanneer een van de aangesloten organisaties kwaadaardige activiteiten ontdekt, deelt die organisatie dit met het Zorg Detectie Netwerk. In cybersecuritytermen noemen we dit ‘IOC’s’ (Indicator of Compromise). Deze IOC wordt direct herkend door de andere aangesloten zorginstellingen. Die kunnen dan de ‘ziekteverwekker’ ‘opruimen’ voordat het hun essentiële netwerken raakt.

Onlangs zijn IOC’s opgenomen die geassocieerd zijn met statelijke actoren die proberen in te breken bij Amerikaanse onderzoeksgroepen die COVID-19 gerelateerd onderzoek uitvoeren. Door deze IOC’s ook hier te delen, wil Z-CERT voorkomen dat eventuele Nederlandse onderzoeken ook slachtoffer worden van spionage door statelijke actoren.
Hafkamp: “Het ZDN is relevanter dan ooit. Een dreiging richting de een is een waarschuwing voor de ander. Alleen samen maken we de zorg digitaal veiliger