Vereniging Nederlandse Gemeenten (VNG) heeft het contract met KPN voor het leveren van siem/soc-diensten aan gemeenten opgezegd. Het gaat om het perceel van de gemeentebrede aanbesteding GGI-Veilig die in 2019 aan KPN werd gegund. Dit betekent dat gemeenten op zoek moeten naar een alternatief.

Waarom ook alweer een SIEM/SOC voor gemeenten?
In een SOC wordt met behulp van siem tooling alle beschikbare, aan de security gerelateerde informatie binnen de gemeentelijke ict-infrastructuur verzameld en geanalyseerd. Doel van de analyses is kwetsbaarheden ontdekken en verdacht gedrag in een zo vroeg mogelijk stadium te detecteren en hier adequaat op te reageren.

5 gemeenten gehackt
Onlangs werden er nogvijf Limburgse gemeenten getroffen door een cyberaanval. Daarbij werd de administratie van het sociaal domein vergrendeld. De aanval was gericht op de softwareleverancier van de gemeenten.

De noodzaak voor SIEM/SOC wordt alleen maar groter voor gemeenten
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Op korte termijn wordt daarnaast ook de NIS 2 van kracht. Een van de eisen die zowel de BIO als de NIS 2 stellen aan overheden, is het gebruik van SIEM en/of SOC met als doel overheden digitaal weerbaarder te maken. Ook voor hackers zijn de gemeenten steeds vaker een interessant doelwit door onder andere de toegang die gemeenten hebben tot vele persoonsgegevens via diverse netwerken.

Het SOC/SIEM alternatief voor Nederlandse gemeenten
Pinewood is al ruim 28 jaar de cybersecurity specialist van Nederlandse bodem en beschikt over een hypermodern SOC/SIEM. Ten tijde van de aanbesteding zat Pinewood bij de beste aanbieders, echter is toen de keuze gevallen op KPN .

Wij geloven dat gemeenten niet allemaal dezelfde behoeften en wensen hebben en dat ze graag samenwerken met een specialist waarmee je flexibel en snel kunt schakelen. Dit vraagt om een andere attitude. Het Pinewood SOC is onder andere aangesloten op het Nationaal Detectie Netwerk (NCSC) en heeft een grote set aan cyber security use-cases, maar ook specifieke use-cases voor de gemeenten. Deze use-cases worden op basis van uw eisen en wensen door ons geïmplementeerd. Het Pinewood SOC-team bestaat uit onder andere uit Security Analisten en Security Officers. Op deze manier verbetert u continu uw beveiligingsniveau op zowel technisch als organisatorisch niveau. Wij zijn groot genoeg om iedere gemeenten in Nederland te kunnen bedienen met een schaalbare en veilige SOC/SIEM dienst, Wij zijn met zo’n 60 cybersecuity professionals ook nog klein genoeg voor de nodige snelheid, flexibiliteit en persoonlijke aandacht.

SOC highlights:
• Al 28 jaar de cybersecurity specialist van Nederlandse bodem
• Ruime ervaring en kennis van de gemeentemarkt
• 24×7 security monitoring van cyberdreigingen & Incident Response
• Rapportages en security bulletins voor management en operatie
• Overleg op operationeel, tactisch en strategisch niveau
• Advies: concrete verbetermaatregelen (techniek en organisatie)
• 60 cybersecurity specialisten die dag en nacht voor u klaar staan
• Flexibiliteit en aandacht voor u specifieke situatie.

Wij nodigen u van harte uit een kijkje te komen nemen in onze hypermoderne SOC in Delft. Online of een bezoek bij u op locatie om de mogelijkheden te bespreken kan natuurlijk ook. Wilt u meer informatie of een afspraak maken, neemt u dan contact op met Arthur van Vliet, 06 53938838 of email arthur@pinewood.nl. Wij helpen u graag verder de digitale weerbaarheid van uw gemeente te verhogen.

Note: Om alvast wat inspiratie op te doen, bekijk  onze 2 minuten SOC-video: Zie:https://www.pinewood.nl/diensten/soc/Heeft u advies of ondersteuning nodig, neemt u dan contact met ons op. Wij helpen u graag verder.

Marina Spelbrink

Accountmanager Healthcare en overheid

015 251 36 36

marina.spelbrink@pinewood.nl

Op donderdag 16 juni jl. heeft het security cluster (Pinewood en DataExpert) van Interstellar het event Cyber360 georganiseerd. Vanuit een 360 graden benadering hebben we deze middag laten zien hoe maatregelen rondom de vier stappen Prediction, Prevention, Detection (Security Operations Center) en Resonse (Incident Response) samenwerken om organisaties veiliger te maken.

Onze key-note spreker deze dag was Xander Koppelmans die een heel indrukwekkend en persoonlijk verhaal heeft verteld over hoe het is om zelf gehackt te worden.

Het was een geslaagde dag die vraagt om een vervolg.

Houd onze website in de gaten voor meer informatie en een blog over deze 360 graden benadering.

Door te voldoen aan de NEN 7510 norm kunt u als zorginstelling of -aanbieder aantoonbaar maken dat u voldoet aan de eisen die deze norm stelt en de privacy van uw patiënten waarborgt, maar hoe kunt u dit eenvoudig en gecontroleerd doen? Dat leest u in deze whitepaper.

In deze video leggen wij kort uit wat een Security Operations Center (SOC) precies doet.

Veilig mailen is in alle branches belangrijk, maar in de zorg is het veilig uitwisselen van medische informatie een absolute voorwaarde. Zorgverleners die medische gegevens van patiënten of cliënten willen delen per e-mail, zijn verplicht te voldoen aan de NTA 7516. Met andere woorden, zij moeten een oplossing gebruiken die veilige communicatie garandeert. In de norm NEN 7510 staan de kaders aangegeven voor het uitwisselen van medische informatie en in de norm NTA 7516 staat beschreven hoe zorgprofessionals en communicatieleveranciers veilige communicatie moeten verzorgen. Hierbij wordt aandacht gegeven aan beschikbaarheid, integriteit en vertrouwelijkheid, maar ook aan bruikbaarheid voor zowel de zorgprofessional als de patiënt.

De norm voor veilige communicatie is binnen de zorg aanleiding om goed naar de bestaande mailomgeving te kijken, en deze zo aan te passen dat het voldoet aan alle beveiligingseisen. Daarnaast moet de oplossing de standaard gebruiken die voor interoperabiliteit in de NTA 7516 is vastgelegd. Deze standaard zorgt ervoor dat alle NTA 7516-gecertificeerde mail-oplossingen veilig met elkaar kunnen ‘praten’, zodat het dus niet uitmaakt welke oplossing de andere zorgpartij gebruikt. Er kan hierdoor ook op een veilige manier met niet gecertificeerde partijen gegevens uitgewisseld worden, zoals met patiënten. Door een goede samenwerking met Fortinet kan Pinewood nu een oplossing bieden, Fortimail, die volgens de NTA 7516 eisen wordt ingericht en waarbij een speciaal door Fortinet ontwikkeld NTA 7516 Mail-Filter geïmplementeerd wordt (op basis van beschikbaarheid, integriteit en vertrouwelijkheid). Hiermee is de interoperabiliteit gegarandeerd.

Met de inzet van FortiMail kunnen we ervoor zorgen dat de Zorg veilig medische informatie kan uitwisselen volgens de eisen die NTA 7516 daaraan stelt.

Wilt u hier meer over weten, neemt u dan contact met ons op via info@pinewood.nl of via tel.nr. 015-251 3636. Wij helpen u graag verder.

Stichting Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, bouwt sinds het begin van de Coronacrisis aan het Zorg Detectie Netwerk (ZDN). Dat doet Z-CERT samen met de zorgsector, het Nationaal Cyber Security Center (NCSC) en private partijen. Via het ZDN wordt informatie gedeeld met de zorgsector over malware, phishing en cyberspionage. Vanaf half november sluiten nog meer organisaties aan bij dit netwerk.

Zes IT-securitypartijen, waaronder Pinewood, gaan dan zorgspecifieke dreigingsinformatie delen met hun klanten uit de zorgsector. De zes bekende securitypartijen hebben hiervoor een intentieverklaring getekend met Stichting Z-CERT. Eerder sloten 46 ziekenhuizen zich rechtstreeks aan bij het ZDN. Nu komen daar nog eens 27 zorgorganisaties bij die de aansluiting regelen via een van de genoemde IT-partijen.

Directeur Z-CERT Wim Hafkamp spreekt van een ‘Grote stap voor de digitale veiligheid van de zorgsector.’ “We zijn blij dat we samen met deze securitypartijen de zorgsector nog beter kunnen beschermen tegen digitale dreigingen. Zoals recent weer te zien was in Amerika waarbij ziekenhuizen actief werden aangevallen met ransomware, is cyber security geen overbodige luxe. Via o.a. Pinewood kunnen we nog meer zorgorganisaties aansluiten op het ZDN. Ons doel is om voor het einde van 2020, 80 procent van de ziekenhuizen aan te sluiten op het Zorg Detectie Netwerk.”

Het ZDN vormt een als het ware een detectieschild om de zorginstellingen heen. Wanneer een van de aangesloten organisaties kwaadaardige activiteiten ontdekt, deelt die organisatie dit met het Zorg Detectie Netwerk. In cybersecuritytermen noemen we dit ‘IOC’s’ (Indicator of Compromise). Deze IOC wordt direct herkend door de andere aangesloten zorginstellingen. Die kunnen dan de ‘ziekteverwekker’ ‘opruimen’ voordat het hun essentiële netwerken raakt.

Onlangs zijn IOC’s opgenomen die geassocieerd zijn met statelijke actoren die proberen in te breken bij Amerikaanse onderzoeksgroepen die COVID-19 gerelateerd onderzoek uitvoeren. Door deze IOC’s ook hier te delen, wil Z-CERT voorkomen dat eventuele Nederlandse onderzoeken ook slachtoffer worden van spionage door statelijke actoren.
Hafkamp: “Het ZDN is relevanter dan ooit. Een dreiging richting de een is een waarschuwing voor de ander. Alleen samen maken we de zorg digitaal veiliger

Geen datalekken door onbevoegd toegang tot patiëntengegevens

Elektronische patiëntendossiers zijn een belangrijk onderdeel geworden van de medische workflows om snel informatie te kunnen delen tussen de diverse medische hulpverleners. Hierbij is het in de praktijk ondoenlijk en zelfs soms onwenselijk (acute zorg) om voor ieder dossier exact aan te geven wie hier toegang tot mag hebben. Daar komt nog eens bij dat zorginstanties verplicht zijn onbevoegd toegang tot patiëntengegevens actief op te sporen. Maar hoe controleer je dan dat de informatie alleen beschikbaar is voor die zorgverleners die hier toegang tot moeten hebben?

Pinewood heeft een EPD-sensor ontwikkelt vanuit de DBC-systematiek, Diagnose-behandelcombinatie (DBC). Deze sensor is in staat ongeoorloofde inzage van patiëntendossiers te detecteren. Hiertoe wordt de logging verzameld uit het EPD-systeem en worden er continu, per inzage een aantal controles uitgevoerd. In aanvulling op deze controle stelt Pinewood een baseline op om afwijkingen op te merken. Hierdoor is men in staat alle raadplegingen actief te controleren op legitiem gebruik. Afwijkingen die gedetecteerd worden, worden handmatig gecontroleerd en zo nodig doorgestuurd naar de Privacy Officer.

Controle EPD-sensor o.a. op basis van de volgende criteria:
● Is er een actieve behandelrelatie met de patiënt?
● Is er een afspraak met de specialist ingepland?
● Komt het specialisme overeen met de diagnose van de patiënt?
● Wordt er alleen een dossier ingezien of wordt er actief in gewerkt?
● Is er sprake van een opname in het ziekenhuis?
● etc.

De EPD-sensor is zeer flexibel en kan, los van het EPD, extra externe databronnen raadplegen om tot een beter beeld en uiteindelijk oordeel te komen.

Heeft u interesse of wilt u meer informatie ontvangen over deze sensor dan kunt u contact met ons opnemen via info@pinewood.nl of telefonisch via tel.nr. 015-2513636.

Richard Strooper, CTO

Cybersecurity is niet standaard belegd bij IT, maar wordt het liefst organisatiebreed opgepakt, vertelt Richard Strooper, CTO bij Pinewood. ‘De bedrijfsrisico’s worden door deze bedrijfsbrede aanpak inzichtelijk en vormen de basis van passende maatregelen, verdeeld over vier kerngebieden, namelijk: predictie, preventie, detectie en respons. Overigens kunnen dit zowel IT- als niet IT-gerelateerde maatregelen zijn.’‘Het grootste probleem met security is dat executives te veel focussen op ransomware omdat dat in het nieuws komt’, vertelt Richard Strooper, CTO bij Pinewood. ‘Natuurlijk, ransomware is heel vervelend, maar het is een hele aanvalsketen die voorafgaat aan de gijzeling. Het begint met een verkenning, dan een aanval op het netwerk. Als ze binnen zijn, vindt exfiltratie plaats en stelen ze de data. Pas dan vindt de afpersing plaats.’Ransomware komt niet voort uit het klikken op een linkje.

‘Als je je alleen focust op de besmetting, dan ben je eigenlijk al te laat. Belangrijk is om de focus te leggen op de risico’s binnen de infrastructuur en het netwerk. Voor criminelen zijn deze risico’s een ingang om binnen te dringen. Alleen klikken op een linkje is dan ook niet de oorzaak. Het niet doorvoeren van updates, het ontbreken van een wachtwoordbeleid zoals een multifactor authenticatiebeleid zijn bijvoorbeeld factoren die Ransomware uitlokken.’Organisaties die hun cybersecurity op orde hebben, investeren volgens Strooper in vier gebieden, namelijk: predictie (inventariseren van risico’s), preventie (technische oplossingen), detectie (monitoren van de maatregelen en de risico’s) en respons (acties die de uitkomst zijn van de monitoring).De eerste stap, de predictie, is vergelijkbaar met wat criminelen doen, vertelt Strooper: ‘Criminelen inventariseren als eerste de kwetsbaarheden door middel van scans. Het is dus noodzaak dat je als organisatie dezelfde soort scans doet en op de hoogte bent van de kwetsbaarheden of de risico’s.’

Een paar voorbeelden van kwetsbaarheden
Strooper: ‘Recente voorbeelden zijn Citrix-, Exchange- en FortinetSSL-kwetsbaarheden. Als je dit soort kwetsbaarheden niet patcht, dan is de kans vrij groot dat de criminelen al binnen zijn. Dit type aanvallen kan je eenvoudig stoppen door simpelweg de software te updaten. Maar ondanks dat deze belangrijke maatregelen simpel lijken, vinden organisaties het lastig om hun systemen up-to-date te houden. ‘Ze hebben een wildgroei aan apparaten en oplossingen, en geen duidelijk overzicht van de assets.’Een andere reden waarom patches en updates niet altijd worden doorgevoerd, is dat de organisatie het belang er niet van inziet of de operatie een hoger belang toeschrijft. ‘Als je voor een update een operationeel proces moet stilleggen, dan wordt er vaak voor gekozen om de updates uit te stellen of helemaal niet door te voeren. Deze stap kan dus heel eenvoudig zijn, maar de urgentie moet wel duidelijk zijn.’

Gebruikers en gedrag volgen
Stel dat je je updates niet hebt gedraaid en de hackers zijn via die weg binnengekomen, wat is het volgende dat je kunt doen? Strooper: ‘Na het implementeren van technische oplossingen zoals firewalls en antivirus die onderdeel zijn van de stap die wij preventie noemen, komt het ‘detecteren’.’‘Detectie draait om het continu bekijken wat er in je omgeving gebeurt, wat in je apparaten gebeurt, wie heeft ingelogd, welk gedrag wordt vertoond. Met detectie monitor je naast gedrag en de logging ook de nieuwe evoluerende dreigingen en de preventieve maatregelen. Het is hierbij van groot belang dat de urgentie van een melding van vreemd gedrag serieus wordt genomen.’Strooper noemt het voorbeeld van de Universiteit van Maastricht, waar het antivirusprogramma wel de melding had gegeven van verdacht gedrag, maar de operatie dit niet had gezien. ‘Daarom moet je logging continu monitoren en de risico’s helder in beeld hebben.’ Het is volgens Strooper overigens vaak geen onwil. ‘Ze missen de kennis en mensen om hun omgeving te monitoren en te acteren op vreemd gedrag dat gemeld wordt.’

Het uitbesteden van detectie
Kan detectie dan gemanaged worden door een externe organisatie? Strooper lacht: ‘Zeker. Organisaties die niet de resources, budgetten of de tijd hebben om zelf een FTE op security te zetten, komen bij ons. In deze tijd, waar al veel uitbesteed wordt (denk aan cloud oplossingen en de opkomst van managed services), is het volkomen logisch om ook je detectie uit te besteden.’Als ondanks de maatregelen toch een besmetting of diefstal heeft plaatsgevonden, dan moeten responsmaatregelen in werking treden. ‘Als het te laat is, moet een crisisplan klaarliggen om de schade te beperken. Deze stap draait niet alleen om techniek, maar om de hele organisatie. Bijvoorbeeld: wie moet je informeren, wie is de woordvoerder en gaan we betalen of niet in het geval van ransomware en offline backups?’Security is geen operationeel proces

Gelukkig, vertelt Strooper, realiseren steeds meer organisaties zich dat ze een crisismanagementplan nodig hebben. Kortom: security is geen operationeel proces, maar gebaseerd op bedrijfsrisico’s. Zonder deze risico’s in kaart te brengen, concentreer je je als IT-afdeling wellicht niet op de juiste maatregelen en krijgen criminelen nog steeds ruimte om binnen te dringen.

Helaas is Ransomware nog steeds één van de grootste cyberdreigingen en wordt dit alleen maar meer. Het end-point wordt hierbij steeds vaker als aanvalvector gebruikt.

Cybercriminelen hebben al een aantal keer een flinke slag kunnen slaan door tools te gebruiken als Social Engineering (persoonlijke benadering en vertrouwen en nieuwsgierigheid wekken bij medewerkers) en door misbruik te maken van kwetsbaarheden in het end-point, software of netwerk. Recent is IKEA getroffen door een cyberaanval (phishing aanval) die mogelijk kan worden gebruikt voor Ransomware doeleinden. Eerder nog zijn VDL en de Mediamarkt getroffen door een cyberaanval. Het kan iedereen overkomen, ook kleinere bedrijven.

Preventie alleen is niet meer voldoende. Het is van groot belang om naast preventieve maatregelen ook detectie en response toe te voegen. Een goed voorbeeld dat dit effectief is, bewijst de Hogeschool en Universiteit van Amsterdam. Zij waren begin 2021 doelwit. Het daadwerkelijk gijzelen van de IT-infrastructuur is in hun situatie afgeslagen, omdat de aanval op tijd werd ontdekt in het Security Operations Center van de school. Wat de meerwaarde van zo’n oplossing bewijst.

Wat kun je als organisatie nog meer doen om de schade bij Ransomware te beperken?

Hieronder zetten wij de belangrijkste maatregelen voor u op een rijtje:

• Maak gebruik van Security Monitoring om uw data en netwerk 24/7 te beschermen. Door het snel detecteren van incidenten, is het mogelijk om cyberaanvallen geen kans te geven en de schade te beperken.
• Zorg dat de back-ups offline staan. Daarbij zijn o.a. van belang de benodigde back-upfrequentie en retentietijd. Ransomware is namelijk niet meteen weg. Het houdt zich nog enige tijd gedeisd, zodat de back-ups ook ransomware (in rust) bevatten. Houd hier rekening mee.
• Zorg voor segmentatie binnen je netwerk waardoor hackers bij het binnendringen beperkt zijn tot slechts een deel van je netwerk.
• Denk preventief na over crisismanagement, als het misgaat moet duidelijk zijn wie de leiding heeft, beslissingen neemt en hoe de communicatie verloopt.

Pinewood geeft in de ‘Pinewood Protection Guide’ een uitgebreide uiteenzetting van stappen die genomen kunnen worden bij het voorkomen van ransomware binnen de IT-infrastructuur. Het is belangrijk deze maatregelen in kaart te hebben want; ransomware is nooit te voorkomen, maar de schade is wel te beperken.

Wilt u meer weten over deze maatregelen, vraag de Pinewood Protection Guide op via info@pinewood.nl of neem contact met ons op via info@pinewood.nl of tel.nr. 015-2513636. Wij helpen u graag verder.