Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

De Nederlandse security-specialist Pinewood gaat een raamovereenkomst aan met expertisecentrum voor cybersecurity in de zorg Z-CERT. Pinewood is hiermee een van de vier partijen die Z-CERT aandraagt voor het leveren van SOC-SIEM diensten.

De twee partijen werken al jarenlang samen. Het Pinewood SOC is gekoppeld aan het Zorg Detectie Netwerk (ZDN) van Z-CERT. Dit betekent dat Pinewood zorgklanten direct monitort op nieuwe informatie die aan het ZDN wordt toegevoegd, en dat eigen nieuwe bevindingen worden teruggekoppeld aan Z-CERT. Vanuit het eigen SOC levert Pinewood al langer beheerde security-monitoring, detectie en response aan zorginstellingen.

Gemakkelijker inkopen

Zorginstellingen die bij Z-CERT zijn aangesloten kunnen als gevolg van de nieuwe overeenkomst sneller en gemakkelijker een contract voor security-monitoring afsluiten bij de vier bedrijven. Het is de bedoeling dat de inkoop voor zorginstellingen voortaan efficiënter en eenvoudiger wordt. Ook kunnen de vier gecontracteerde partners gezamenlijk hun monitoring aanpassen aan eventuele wensen van deelnemers.

Zorg veiliger

“Met de ondertekening van deze raamovereenkomst dragen we weer een stukje bij aan de missie van Z-CERT, het digitaal veiliger maken van de zorg”, zegt Wim Hafkamp, directeur van Z-CERT.

Marcel Cappetti, algemeen directeur bij Conscia, laat weten: “Veilige IT en cyberweerbaarheid spelen een steeds grotere rol in de gezondheidszorg. Een integraal beveiligde IT infrastructuur met 24/7 monitoring, detectie en beveiliging van medische apparatuur zijn daarin belangrijke voorwaarden. Het moet namelijk te allen tijde veilig zijn om patiënten te behandelen en te verzorgen, op een veilige manier te vergaderen op afstand of medische informatie te raadplegen, net als het verlenen van een groeiend aantal medische consulten op afstand.”

“We leveren onze beveiligingsdiensten al zo’n dertig jaar en een groot deel van de zorginstellingen bedienen we vanuit ons SOC”, zegt Sebastiaan Kors, ceo van Pinewood. “De samenwerking met Z-CERT is nu vastgelegd in deze overeenkomst, waardoor we ook in de toekomst deze organisaties optimaal kunnen ondersteunen.”

Digitale weerbaarheid in de zorg. Hoe organiseer je het en waar moet je als zorginstelling rekening mee houden.

Tijdens een eerder gesprek hebben wij uitgebreid stilgestaan bij een mogelijke aanval van ransomware; wat is de impact? Hoe moet je reageren? en Hoe kun je het voorkomen? Als het gaat om de digitale weerbaarheid van organisaties zijn de berichten hierover alarmerend en urgent. De situatie is ernstig. Veel zorginstellingen lopen achter op het gebied van digitale weerbaarheid. Incidenten hebben vaak grote gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens. Maar er zijn ook grote financiële gevolgen en het imago van de organisatie kan schade oplopen. Informatiebeveiliging is van strategisch belang en het vereist blijvende aandacht.

IP-zorg logo

Op 24 februari zijn wij tijdens het webinar Cyberweerbaarheid hierover in gesprek geweest met Rens van der Logt (Infozorg), Richard Strooper en Wijnand Verweij (beiden van Pinewood). Pinewood is specialist in informatiebeveiliging en levert een scala aan diensten op dit gebied, waaronder ook aan zorginstellingen. Zij is hiervoor aangesloten op het Zorg Detectie Netwerk. Infozorg richt zich specifiek op de zorgsector bij de advisering en ondersteuning van beheer, ontwikkeling en implementatie. Hierbij wordt o.a. gebruik gemaakt van SAAR dat ook ondersteunt bij de inrichting van informatiebeveiligingsprocessen. Infozorg en Pinewood zijn kennispartner van Stichting IP-Zorg.

Relevantie van dit onderwerp blijkt o.a. uit een deze maand gepubliceerd IBM-rapport over ontwikkelingen in het dreigingenprofiel. In het rapport wordt verwezen naar een toename van dreigingen als gevolg van thuiswerken, maar ook door geo-politieke spanningen. In conflicten tussen landen wordt steeds meer gebruik gemaakt van cyber attacks.

Ontwikkelingen op het gebied van informatiebeveiliging

Pinewood ziet dat steeds meer gebruik wordt gemaakt van cloudleveranciers; klanten komen met vragen over veiligheid van SAAS-oplossingen. Er wordt steeds meer thuisgewerkt en er is een toename van ransomware, phising, e.d. Ook is er steeds meer aandacht voor de NEN 7510. Peter merkt  op dat je bij zorgorganisaties die gebruik maken van cloudoplossingen vaak hoort dat ze geen zorgen hebben over informatieveiligheid, omdat de clouddienstverlener dat regelt. Maar bij het uitbesteden van de techniek moet de klant ook securityeisen opstellen én controleren! De klant blijft verantwoordelijk. De klant vraagt daarom regelmatig aan Pinewood om een security review uit te voeren. Ook Infozorg ziet steeds meer SAAS-applicaties, vooral in combinatie met SSO-oplossingen. Men wil immers voorkomen dat medewerkers steeds opnieuw moeten inloggen, wanneer gebruik wordt gemaakt van meerdere SAAS-applicaties. Daarnaast is er een toename van bewustwording voor vertrouwelijkheid van data. Extra inzet training en aanscherping beleid.

Inrichting SSO-oplossing bij meerdere leveranciers.

Juist wanneer organisaties steeds meer gebruik maken van cloudoplossingen (SAAS), is het van belang goed na te denken over de toegang tot deze applicaties. Immers, niet alleen moet worden voorkomen dat medewerkers steeds opnieuw per toepassing moeten inloggen, maar ook is het van belang dat het toegangsbeheer goed wordt ingericht en bij voorkeur centraal wordt beheerd. Vaak wordt gebruik gemaakt van Azure AD als centrale authenticatievoorziening, waarbij ook een koppeling met het personeelssysteem wordt gerealiseerd. Het borgt bijvoorbeeld dat wanneer medewerkers de organisatie verlaten, toegang tot de verschillende applicaties wordt geblokkeerd. Ook wanneer gebruik wordt gemaakt van cloud toepassingen, dient access control goed te zijn ingericht. Denk dus aan dingen als condition access; kijk naar wat die persoon is, wie is die persoon en 3 / 11 waar komt die persoon vandaan; met andere woorden: welke rol vervult de betreffende persoon en voor welke organisatie-eenheid heeft hij rechten nodig. De toegenomen kwetsbaarheid heeft overigens niet alleen te maken met het feit dat meer in de cloud wordt gewerkt, maar ook sprake is van een grotere verscheidenheid aan (mobiele) devices waarmee toegang wordt verkregen en de verschillende internet-of-things. Deze krijgen vanaf verschillende locaties toegang tot het bedrijfsnetwerk en kunnen niet op voorhand worden vertrouwd. Organisaties dienen daarom het zero-trust concept als basis voor hun beveiliging te kiezen (niets is op voorhand vertrouwd). Vroeger was een locatie met wat daar gebeurde veilig; nu ga je ervan uit dat mensen vanaf allerlei locaties kunnen inloggen en moet je er van uit gaan dat dat op voorhand niet veilig is.

cyberweerbaarheid in de zorg

Hoe ga je vanuit functioneel beheer hiermee om?

Zorgorganisaties zijn zich bewust van vertrouwelijke data, maar het inzicht in welke applicaties en in welke koppelingen ze aanwezig zijn wordt niet altijd op één plek beheerd. En ook nog eens vanuit verschillende invalshoeken; bijvoorbeeld ook vanuit een managementsysteem voor informatiebeveiliging. Het is lastig verschillende documentaties overzichtelijk te houden. Dus maak ook je ISMS een integraal onderdeel van je informatiehuishoudingssyteem. Je moet weten welke data je verwerkt (AVG), om zo je risico’s te documenteren, verantwoordelijkheid inzichtelijk te maken en te koppelen aan de beheersnormen van de NEN 7510.

Organisaties kiezen vaak ook voor een (centrale) authenticatievoorziening voor een cloudoplossing; in de zorg wordt Azure AD vaak gekozen. Hiermee wordt ook invulling gegeven aan de single-sign-on. Aandachtspunt is wel de aankomende Wet Digitale Overheid. Deze wet zal naar verwachting dit jaar in werking treden en betekent dat de portalen voor clienten die zorginstellingen bieden, toegankelijk moeten zijn via de wettelijk erkende (Europese) inlogmiddelen (zoals DigID). Voor veel zorginstellijngen betekent dit nog een transitie die ze moeten uitvoeren.

Wat wordt verstaan onder Cyberweerbaarheid?

Preventieve maatregelen zoals een firewallbescherming en anti-virussoftware zijn altijd wel getroffen; wat veelal nog niet duidelijk is welke risico’s je daarmee hebt afgedekt. Ga eerst na welke risico’s je wilt afdekken en bepaal dan je maatregelen.  Ook de detectieve en correctieve maatregelen zijn van belang (denk aan continue monitoring van je bedrijfsnetwerk)! Cyberweerbaarheid is een samenspel tussen risico’s en samenhangende maatregelen. Wat je veel ziet is, dat maatregelen technisch in orde zijn, maar dat beleid en beveiligingsplannen als losse documenten zijn gemaakt, niet helder samengevoegd zijn in een proces dat volgens de PDCA-cyclus kan worden gevolgd. Hiervoor wordt meestal ondersteuning gevraagd. Maar 100% veiligheid bestaat niet! Dat zou een onwerkbare situatie creëren. Daarnaast is de zorg inherent aan een open cultuur; de zorg staat voorop en de security mag niet al te beperkend zijn. Goede afwegingen zijn nodig. Als er wat gebeurt moet het mogelijk zijn tijdig te reageren om de schade zoveel mogelijk te beperken.

Hoe gaan zorgorganisaties om met risico’s?

In de zorg heb je vaak capaciteitsproblemen en wordt veel gewerkt met uitzendkrachten. Ook die moeten in een cliëntendossier kunnen kijken. Daarvoor moet je beheersbare afspraken maken en controleren. De technische kennis is wel aanwezig, maar de controleslag ontbreekt meestal. Organisaties worden geconfronteerd met nieuwe ontwikkelingen en vooral nieuwe kwetsbaarheden. Ze moeten daarin keuzes maken op basis van de gevoeligheid van informatie; zoals processen uitschakelen of 4 / 11 risico accepteren? En weer de controleslag waarmee je ook duidelijk kunt maken dat maatregelen niet meer werken en dus niet nodig zijn. Het beveiligingsbewustzijn van medewerkers wordt steeds beter maar voorkom overbodige maatregelen. Met technische maatregelen alleen ben je er niet; de mens blijft de zwakke schakel in de beveiliging. Peter wijst in dit verband op de wegwijzer Informatieveilig gedrag in de zorg; een initiatief van VWS en brancheorganisaties Zorg; vanaf 1 april belegd bij ECP in het programma Digivaardig in de zorg.

Wordt inzage in dossiers goed gelogd.

Met andere woorden, heb je een afspraak of is er een proces waarin je kunt nagaan of de toegang tot het dossier juist verloopt. Je kunt bijvoorbeeld periodiek standaard checks doen. Bij Pinewood komen verzoeken binnen om toegang tot ECD’s te monitoren. Resultaten realtime te filteren en een alarmering doen op verdachte benaderingen. Filtering rules worden met de klant opgesteld. Monitoring initieert reactive maatregelen en bevordert awareness. Medewerkers weten dat activiteiten worden gemonitord.

Security-by-design, Hoe gaat een zorgorganisatie daarmee om bij aanschaf van software?

In de eerste plaats beleidsmatig vastleggen waaraan leveranciers moeten voldoen en dat ook toetsen. En ga periodiek met leveranciers in overleg; naast het certificaat NEN 7510 kun ook pentesten laten uitvoeren. Hou een overzicht bij van je leveranciers. A.g.v. acute kwestbaarheid moet je bij je leveranciers terecht kunnen; hou ook bij hoe snel ze reageren. Leveranciersmanagement wordt steeds belangrijker en moet een onderdeel zijn van risicomanagement. Wat je normaliter doet in je eigen infrastructuur moet nu de leverancier doen. Zorg vooraf voor goede contracten en bewerkersovereenkomsten. Let vooral op bij koppelingen naar ‘achterliggende’ leveranciers in de keten; ga ook na of voor je vaste leveranciers de toeleveranciers in beeld zijn. In het eerdergenoemde rapport van IBM wordt dit ook als toenemend risico genoemd.

Leveranciersketens zijn een toenemende kwetsbaarheid; klanten zijn verplicht bij leveranciers door te vragen naar de toeleveranciers.

Relatie Z-Cert en SOC Zoals eerder aangegeven is een continue monitoring van het ICTnetwerk van groot belang; immers, bedrijfsnetwerken zijn vrijwel altijd gekoppeld aan het internet; dit betekent dat ze per definitie doorlopend door kwaadwillenden worden gescand op kwetsbaarheden die misschien de mogelijkheid bieden om in te breken op het bedrijfsnetwerk. Om schade te beperken is het allereerst van belang het netwerk in te delen in verschillende zones en de koppeling met internet via een DMZ (de-militarized zone) te laten lopen.

Maar het netwerk continu bewaken met behulp van een intrusion detection en prevention systeem (IDS IPS) is van toenemend belang om bijvoorbeeld een ransomware aanval te voorkomen. Deze continue bewaking vindt plaats vanuit een zogenaamd Security Operations Center (SOC). Probleem is echter dat voor veel zorginstellingen het niet mogelijk is om hier 7×24 uur monitoring op uit te laten voeren door een SOC, hetgeen zowel met beschikbaarheid als met de hiervoor benodigde specialistische expertise te maken heeft. Veel zorginstellingen kiezen er daarom voor gebruik te maken van een SOC-dienstverlener zoals Pinewood.

Het SOC van Pinewood legt voor elke klant een log-collector aan die de logfiles van de verschillende applicaties verzamelt. Dit wordt gemapt met Z-Cert meldingen; ‘matches’ worden teruggekoppeld naar de klant. Bij het Pinewood SOC worden vanuit een centrale post alle klantensystemen gemonitoord; monitoring is per klant ingesteld voor de klantspecifieke situaties / risico’s.

Leesbaarheid van security rapportages.

Het is een algemeen probleem dat bij klanten vaak de kennis ontbreekt om securityrapporten (pentesten, security scans) te interpreteren. Belangrijk is dat er partijen zijn  die de vertaling naar jouw situatie kunnen maken en advies uitbrengen wat je ermee moet doen; niet alleen technisch, ook procesmatig.

Specifieke kenmerken cyberweerbaarheid zorgsector?

De balans tussen ‘open karakter’ zorg en privacy; naast preventieve maatregelen moet dan wel extra worden geïnvesteerd in het vroegtijdig ontdekken van incidenten en de afhandeling daarvan. Security verplaatst zich van IT naar business; IT is slechts nodig voor inrichtingszaken. Apparatuur wordt aangeschaft voor de lange termijn; dit geldt niet voor de sofware. Dat vergt aanvullende security/ controle maatregelen.

Domotica en IoT

Alle mogelijke systemen kunnen worden gekoppeld aan internet of aan systemen. Maak bijv. met scans inzichtelijk wat er aan je netwerk hangt zodat je het kunt beheren Er worden op IoT-systemen wel testen uitgevoerd; maar ze zijn zeer divers en er zijn nog geen keurmerken. Ga er in beginsel van uit dat ze onveilig zijn. Het even koppelen van een digitale camera of planbord wordt steeds gangbaarder; een extra kwetsbaarheid voor het netwerk. Pentesters hebben vaak veel succes bij printers en camera’s!

De verschillende security scans

Een Security scan is vooral organisatorisch; faciliterend; gericht op processen. Een kwetsbaarheidsscan (zogenaamde pentest) is een scan op zwakke plekken in je ICT-omgeving die je bijvoorbeeld maandelijks uitvoert; het signaleert bijvoorbeeld wanneer patches, security updates niet zijn uitgevoerd waardoor kwetsbaarheden kunnen worden misbruikt. Een kwetsbaarheidsscanning vraagt resources van een organisatie; output moet worden beoordeeld en o.b.v. prioritering moeten acties volgen. Waar een kwetsbaarheidsscan inzicht geeft in de kwetsbaarheden van de in gebruik zijnde software, geeft een pentest bijvoorbeeld inzicht in de mate waarin de kwetsbare software ook daadwerkelijk kan worden misbruikt. Of wordt het voorkomen door een adequate scheiding tussen de verschillende zones in het netwerk dan wel verschillende maatregelen op applicatieniveau? De pentest kijkt dus ook naar de opbouw en gebruik van de infrastructuur.

Zijn bestuurders van zorginstelling zich voldoende bewust van cyberweerbaarheid?

Wordt er voldoende in geinvesteerd? Is er draagvlak? Voorwaarde is dan wel dat de SO-rol niet is belegd binnen de ict-afdeling maar dichter bij het bestuur. 6 / 11 Pinewood geeft aan dat bij risicoworkshops steeds vaker andere dan ict-afdelingen worden betrokken; cyberweerbaarheid is de verantwoordelijkheid van de hele organisatie. Problemen liggen vaak niet alleen bij de ict-afdeling; die heeft meestal zijn zaakjes wel op orde. Het zijn meestal de bedrijfsprocessen; de awareness waar de grootste risico’s liggen. En bestuurder niet pas betreken a.g.v. een incident.

Security tips!

  • Zorg dat je onafhankelijk kunt functioneren.
  • Zorg ervoor dat je niet zelf bij uitvoering van security betrokken bent. Eerst risico dan de techniek.
  • Laat risico’s leidend zijn voor je maatregelen.
  • Houd korte lijnen met de IT-afdeling en schroom niet om een specialist in de arm te nemen als het nodig is.
  • Betrek zoveel mogelijk de bestuurslaag bij beslissingen Beoordeel op vooraf vastgestelde termijnen de risico’s met de bestuurders.
  • Houd je ISMS bij zodat je altijd een overall inzicht hebt Scherm het ISMS niet af maar laat het een intern-open document zijn.

Nieuwe technologieën en platforms bieden vele mogelijkheden om gegevens uit te wisselen en wordt een steeds grotere uitdaging. Denk voor dergelijke installaties van goed na over de inrichting; besteed aandacht aan autorisaties. Hou de mogelijkheden van een pakket tegen je risico’s aan; bouw zo nodig beperkingen in. Security by design.

Platforms als Teams en Sharepoint zijn gericht op samenwerking maar zorg wel dat je dat goed regelt. Zelfs als je de configuratie uit handen geeft ziet Pinewood soms achteraf nog kwetsbaarheden als gevolg van foute configuraties. Documenten kunnen bijvoorbeeld hierdoor onbedoeld gedeeld worden of toegankelijk zijn voor andere organisaties

Naar aanleiding van een chatvraag over de complexe kwetsbaarheid log4j een enkele tip. Securitytechniek is een apart vak; als je de kennis niet binnen bereik hebt schroom dan niet een specialist in te huren. Ga er niet van uit dat je dit soort zaken zelf kunt doen en regel vooraf je contacten. Als onderdeel van je incident response maatregelen.

Peter benadrukt nog eens enkele punten:

  • Op risico’s gebaseerde benadering voor beveiligingsmaatregelen.
  • Ervan uitgaan dat eigenlijk niets veilig is.
  • Awareness bij medewerkers en betrokkenheid bestuurders.
  • Security geen onderdeel is van de ict en moet aansluiten op het beheerproces.

Meer weten hoe wij uw organisatie kunnen helpen? Neem dan contact op met Pinewood of onderstaande contactpersoon.

Wijnand Verweij

Accountmanager Healthcare

015 251 36 36

wijnand.verweij@pinewood.nl

Meander: Gebruik compliance en security als katalysator in plaats van als rem.

Meander Medisch Centrum, het ziekenhuis in Amersfoort, is op alle fronten aan het digitaliseren. Niet alleen implementeren ze een volledig nieuw EPD, ook worden er op allerlei plekken in het ziekenhuis e-health toepassingen geïmplementeerd. Director Digital & ICT Vincent van Luling: “Je ziet dat security vaak een rem vormt op zorginnovatie. Wij willen dat voor zijn en dat betekent dat je het in de basis heel goed moet regelen. Bij alle innovaties nemen wij security en compliancy vanaf het begin mee: security by design. We toetsen alle innovaties aan ons Compliancy Framework en we werken nauw samen met diverse securityleveranciers en -dienstverleners die samen ons security ecosysteem vormen.”

meander ziekenhuis Vincent van Luling

Malversaties snel herkennen
Meander Medisch Centrum heeft zijn SOC extern belegd bij Pinewood. Daarover zegt Van Luling: “Natuurlijk nemen we allerlei maatregelen om
de slotgrachten en kasteelmuren te verstevigen, maar we willen ook weten wat er op de binnenplaats en binnen de muren van het kasteel gebeurt. Want het is een utopie om te denken Dat je met firewalls, virusscanners en endpoint security alles kunt dichtzetten. Zeker in deze nieuwe digitale wereld, waarin e-health een steeds belangrijkere rol gaat spelen en waarin medische apparatuur aan het internet hangt, kun je dat niet langer volhouden. Je haalt altijd wel virussen en malware binnen. Waar het om gaat is dat je deze malversaties zo snel mogelijk detecteert en daarop acteert. Want de tijd tussen een incident en het moment dat het wordt geconstateerd is in de regel de tijd waarin de meeste schade wordt toegebracht.”

Big data analytics
Daarom monitort het Pinewood SOC voortdurend wat er op het netwerk en in applicaties en databases gebeurt. Van Luling: “De crux is dat je afwijkend gedrag zo snel mogelijk detecteert. Dat doe je middels big data analytics. De kwaliteit van die analyses verbetert naarmate je meer externe benchmarks daarin meeneemt. Dat is een belangrijke reden waarom we deze taak extern hebben belegd. Pinewood monitort niet alleen onze omgeving, maar die van veel andere organisaties waaronder andere ziekenhuizen. Die externe data helpt hen om op ons netwerk sneller afwijkingen te detecteren.” Daarnaast is het een specialisme dat het Meander Medisch Centrum zelf niet beheerst, erkent hij. “Je moet dit soort kennis als ziekenhuis niet zelf willen opbouwen, het is zulk verschrikkelijk specialistisch werk. Je kunt als ziekenhuis nooit de kwaliteit en snelheid bereiken die een partij als Pinewood kan garanderen.”

Compliance framework

De SOC-dienstverlening past binnen het Compliance Framework van Meander Medisch Centrum. “Dat is opgesteld in samenwerking met gerenommeerde juristen. Zij hebben alle wet- en regelgeving bij elkaar opgeteld, ontdubbeld en relevant gemaakt. Dat wil zeggen: we hebben de vertaalslag gemaakt naar: wat betekent deze regel precies voor ons ziekenhuis? Uit het framework komt een enorme bak werk voort, want we voldoen nog niet aan alle regels waar we aan willen voldoen, maar het geeft ook rust. Want we weten precies waar we staan. En we kunnen ook verantwoorden waarom we bepaalde maatregelen niet nemen of nog niet hebben genomen. Bovendien helpt het framework bij het maken van afspraken met ICT-dienstverleners. We weten precies met welke partijen we wat voor afspraken moeten maken, bijvoorbeeld met de partij die ons EPD host, maar ook met Pinewood.”

 

Hoe werkt de EPD-sensor voor de zorg?

In deze video geven wij uitleg wat de EPD-sensor doet. Deze module wordt door diverse ziekenhuizen gebruikt om privacy gerelateerde incidenten te monitoren zoals inzage in patiënten dossiers. Geschikt voor alle gangbare EPD-systemen.

Graag ontvang ik meer informatie over de EPD sensor voor de zorg

Meer weten over de EPD sensor? Neem dan contact met ons op voor een demo of advies.

"*" geeft vereiste velden aan

Eurocross ontwikkelt securitybeleid met Pinewood

 

eurocross security

Eurocross Assistance is gespecialiseerd in wereldwijde hulpverlening. Als onderdeel van het verzekeringsconcern Achmea/Eureko moet de informatiebeveiliging op orde zijn. Zeker omdat medewerkers geregeld met medische gegevens werken, waarvoor strikte privacywetgeving geldt. Een andere uitdaging is de toenemende vraag naar transparantie door opdrachtgevers. Dat betekent onder andere dat opdrachtgevers online toegang hebben tot relevante procesinformatie. Deze ontwikkelingen versterken de roep om een effectief informatiebeveiligingsbeleid. Een nulmeting en een serie workshops van Pinewood vormden het vertrekpunt voor de ontwikkeling van dit beleid.

Eurocross heeft de afgelopen jaren een stormachtige groei doorgemaakt. Ralph Emmen, CFO van Euocross Assistance: ‘Hierdoor lag de focus vooral op de bedrijfsvoering. Hoewel we de beveiliging technisch goed op orde hadden, voelden we de noodzaak om informatiebeveiliging beter in onze Eurocrossorganisatie te integreren.’

Pragmatische benadering
In het begin keek Eurocross vooral naar de richtlijnen van het moederbedrijf. ‘Risicomanagement is essentieel voor een grote financiële dienstverlener.’ Toch bleek dat de verschillende kernactiviteiten, dienstverlening versus verzekeren, andere eisen aan informatiebeveiliging stellen. We moesten dus een eigen beleid opstellen. Gezien onze omvang en cultuur hebben we een pragmatische aanpak gekozen. Alles met regels dichttimmeren is zinloos als dat in de praktijk niet werkbaar blijkt. Tegelijkertijd moet het beleid wel in lijn zijn met de ‘richtlijnen van ons moederbedrijf.’

Aandachtspunten
Als startpunt, vroeg Eurocross Pinewood een nulmeting uit te voeren. Emmen: ‘We wilden de bestaande aanpak goed kunnen beoordelen om vervolgens verdere actie te ondernemen. Daarom heeft Pinewood onze beveiligingsmaatregelen, processen en procedures objectief in kaart gebracht en beoordeeld.’ Uit de review bleek de informatiebeveiliging bij Eurocross overeen te komen met het gemiddelde securityniveau van vergelijkbare organisaties. Emmen: ‘Een belangrijk pluspunt was dat het onderwerp hoog op de managementagenda staat. Toch bleek er ook veel te winnen, bijvoorbeeld op het gebied van IT-beheerprocedures.’
Ralph Emmen CFO
Evenwichtig informatiebeveiligingsbeleid
In het verlengde van de nulmeting organiseerde Pinewood een serie workshops. ‘Na de inventarisatie wilden we daarmee tot een evenwichtig informatiebeveiligingsbeleid komen met daaraan gekoppeld een helder uitvoeringsplan. De workshop-aanpak was heel functioneel omdat we gedwongen werden breder na te denken over beveiliging. Bijvoorbeeld over wat de waarde van de informatie op onze systemen is. Dat is namelijk bepalend voor de maatregelen en investeringen die nodig zijn.’

Handvatten
Tijdens deze sessies bood Pinewood Eurocross een duidelijke structuur om haar eigen prioriteiten te stellen. ‘Door de vele praktijkvoorbeelden konden we putten uit ‘the best of all worlds’ en hoefden niet zelf het wiel uit te vinden.’ Inmiddels is het beleid vastgesteld en werkt Eurocross aan een concreet plan voor de invulling. ‘Het belangrijkste aan dit traject is dat de security awareness is toegenomen. Dat overstijgt het verstrekken van gegevens aan derden. Ook het herkennen van incidenten en het omgaan met wachtwoorden spelen een rol. Door de ondersteuning van Pinewood is het veiligheidsbewustzijn gegroeid en hebben we de handvatten om hier gerichte maatregelen aan te koppelen. Security is nu een integraal onderdeel van onze bedrijfsvoering.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

White Paper: Hoe kunt u eenvoudig en gecontroleerd voldoen aan de NEN 7510?

Door te voldoen aan de NEN 7510 norm kunt u als zorginstelling of -aanbieder aantoonbaar maken dat u voldoet aan de eisen die deze norm stelt en de privacy van uw patiënten waarborgt, maar hoe kunt u dit eenvoudig en gecontroleerd doen? Dat leest u in deze whitepaper.

voldoen aan nen7510

HMC: Het belang van een Security Operations Center (SOC) in de Zorg

Met ontwikkelingen als e-health, gebruik van medische technologie op eigen apparatuur, en verdere digitalisering van zorgprocessen is veiligheid een must. Haaglanden Medisch Centrum heeft daarom het monitoren van de digitale infrastructuur en de beveiliging ervan uitbesteed aan een security operations center (SOC).

Robin Hoogduin, Chief Information Officer (CIO) bij HMC.
Elke chief information officer (CIO) moet verstand hebben van drie specifieke zaken. Ten eerste het primaire proces van de organisatie waarvoor je werkt. Je moet goed begrijpen hoe technologie de transformatie van het primaire proces beïnvloedt en vormgeeft. Ten tweede de ict-arbeidsmarkt. Wat moet ik waar inkopen of outsourcen? Die arbeidsmarkt is al jaren krap; daarmee moet je dus in je strategie rekening houden. Ten derde veiligheid en beveiliging: daar ligt de komende vijftien jaar de grote uitdaging.

Technologie levert veel op
We plukken ook in de zorgsector de vruchten van alle functionaliteiten die beschikbaar komen dankzij bijvoorbeeld managed services, SaaS en cloud computing. Alle nieuwe technologie en verbindingen leveren ons veel op. Het is fantastisch dat apparatuur automatisch – geanonimiseerde – data kan versturen die gebruikt kunnen worden voor de diagnose en voor de juiste werking van apparatuur. Het draagt bij aan verbetering van de kwaliteit van leven van patiënten. Datzelfde geldt voor ‘bring your own (medical) device’.

Veiligheid buiten het ziekenhuis
De mobiele telefoon is tegenwoordig feitelijk een gecertificeerd medisch hulpmiddel. In Amerika hebben Apple, Google Microsoft en Amazon al afspraken gemaakt met de FDA over hoe zij in een versneld proces technologie kunnen inzetten als gecertificeerd medisch hulpmiddel. Ook dat zal de kwaliteit van zorg in de komende jaren enorm verbeteren.

Het betekent alleen wel dat de veiligheid van een smartphone niet alleen gegarandeerd moet zijn als die in het ziekenhuis gebruikt wordt, maar ook als daarmee een patiënt in de thuissituatie gemonitord wordt. En dan moeten naast het apparaat ook het netwerk en de verbinding gegarandeerd en beveiligd worden.

Waar in een andere sector uitgebreid tijd is om de veiligheidsrisico’s van een nieuwe oplossing af te wegen, kunnen deze in een zorginstelling levensbedreigend zijn voor de patiënt. Daardoor kan het zijn dat bepaalde nieuwe technologie eerder te vroeg dan te laat geaccepteerd wordt. Dat is dus de uitdaging: de voordelen van technologie blijven benutten én de risico’s die daarbij optreden inperken.

Samenwerking met een SOC
Met de toenemende complexiteit van het samenspel met technologie neemt ook het belang van security toe. Voor veel zorginstellingen is het onmogelijk om voldoende kennis op dat gebied binnen te halen. Het gaat immers om 24/7 monitoring, waarbij de deskundigen ook in staat moeten zijn breder in de markt optredende patronen te herkennen. Neem je dat allemaal in overweging dan is samenwerking met een security operations center (SOC) een toekomstgerichte stap.

In een SOC werken security-analisten, threat hunters en ethical hackers. Zij concentreren zich 24 uur per dag op monitoring, onderzoek en detectie. De security-analisten werken met een combinatie van automatisering en artificial intelligence tools en vullen die aan met hun onmisbare menselijke analyse en interpretatie. De threat hunters zijn continu op zoek naar nieuwe cyberdreigingen zoals infecties of geavanceerde hackpogingen. Als het nodig is, wordt direct actie ondernomen.

Naast signalering ook duiding
Een SOC biedt analyse, signalering en advisering. Maar vooral ook duiding: wat gebeurt er en wat kunnen we nog verwachten. Welke (preventieve) maatregelen kunnen we daartegen nemen. Haaglanden Medisch Centrum (HMC) koos voor een grote speler die dit voor veel klanten doet en snel geografische trends kan waarnemen, zodat indien nodig tijdelijk het verkeer met bepaalde landen stopgezet kan worden. Wel een speler van Nederlandse bodem die de lokale omgeving en omstandigheden goed kent.

Alle informatie is privacygevoelig
Security en privacy zijn speerpunten in de zorg, omdat eigenlijk alle informatie heel gevoelig is. Met de uitbesteding van de monitoring en beveiliging van de digitale infrastructuur heeft het HMC een grote zorg minder.

Door: Robin Hoogduin, Chief Information Officer (CIO) bij HMC

Pinewood naast NEN 7510 nu ook NTA 7516 gecertificeerd.

NEB-NTA7516

Veilig mailen is in alle branches belangrijk, maar in de zorg is het veilig uitwisselen van medische informatie een absolute voorwaarde. Zorgverleners die medische gegevens van patiënten of cliënten willen delen per e-mail, zijn verplicht te voldoen aan de NTA 7516. Met andere woorden, zij moeten een oplossing gebruiken die veilige communicatie garandeert. In de norm NEN 7510 staan de kaders aangegeven voor het uitwisselen van medische informatie en in de norm NTA 7516 staat beschreven hoe zorgprofessionals en communicatieleveranciers veilige communicatie moeten verzorgen. Hierbij wordt aandacht gegeven aan beschikbaarheid, integriteit en vertrouwelijkheid, maar ook aan bruikbaarheid voor zowel de zorgprofessional als de patiënt.

De norm voor veilige communicatie is binnen de zorg aanleiding om goed naar de bestaande mailomgeving te kijken, en deze zo aan te passen dat het voldoet aan alle beveiligingseisen. Daarnaast moet de oplossing de standaard gebruiken die voor interoperabiliteit in de NTA 7516 is vastgelegd. Deze standaard zorgt ervoor dat alle NTA 7516-gecertificeerde mail-oplossingen veilig met elkaar kunnen ‘praten’, zodat het dus niet uitmaakt welke oplossing de andere zorgpartij gebruikt. Er kan hierdoor ook op een veilige manier met niet gecertificeerde partijen gegevens uitgewisseld worden, zoals met patiënten. Door een goede samenwerking met Fortinet kan Pinewood nu een oplossing bieden, Fortimail, die volgens de NTA 7516 eisen wordt ingericht en waarbij een speciaal door Fortinet ontwikkeld NTA 7516 Mail-Filter geïmplementeerd wordt (op basis van beschikbaarheid, integriteit en vertrouwelijkheid). Hiermee is de interoperabiliteit gegarandeerd.

Met de inzet van FortiMail kunnen we ervoor zorgen dat de Zorg veilig medische informatie kan uitwisselen volgens de eisen die NTA 7516 daaraan stelt.

Wilt u hier meer over weten, neemt u dan contact met ons op via info@pinewood.nl of via tel.nr. 015-251 3636. Wij helpen u graag verder.

 

Z-CERT en Pinewood bouwen samen aan digitale veiligheid zorgsector

z-cert zdn beveiliging

Stichting Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, bouwt sinds het begin van de Coronacrisis aan het Zorg Detectie Netwerk (ZDN). Dat doet Z-CERT samen met de zorgsector, het Nationaal Cyber Security Center (NCSC) en private partijen. Via het ZDN wordt informatie gedeeld met de zorgsector over malware, phishing en cyberspionage. Vanaf half november sluiten nog meer organisaties aan bij dit netwerk.

Zes IT-securitypartijen, waaronder Pinewood, gaan dan zorgspecifieke dreigingsinformatie delen met hun klanten uit de zorgsector. De zes bekende securitypartijen hebben hiervoor een intentieverklaring getekend met Stichting Z-CERT. Eerder sloten 46 ziekenhuizen zich rechtstreeks aan bij het ZDN. Nu komen daar nog eens 27 zorgorganisaties bij die de aansluiting regelen via een van de genoemde IT-partijen.

Directeur Z-CERT Wim Hafkamp spreekt van een ‘Grote stap voor de digitale veiligheid van de zorgsector.’ “We zijn blij dat we samen met deze securitypartijen de zorgsector nog beter kunnen beschermen tegen digitale dreigingen. Zoals recent weer te zien was in Amerika waarbij ziekenhuizen actief werden aangevallen met ransomware, is cyber security geen overbodige luxe. Via o.a. Pinewood kunnen we nog meer zorgorganisaties aansluiten op het ZDN. Ons doel is om voor het einde van 2020, 80 procent van de ziekenhuizen aan te sluiten op het Zorg Detectie Netwerk.”

Het ZDN vormt een als het ware een detectieschild om de zorginstellingen heen. Wanneer een van de aangesloten organisaties kwaadaardige activiteiten ontdekt, deelt die organisatie dit met het Zorg Detectie Netwerk. In cybersecuritytermen noemen we dit ‘IOC’s’ (Indicator of Compromise). Deze IOC wordt direct herkend door de andere aangesloten zorginstellingen. Die kunnen dan de ‘ziekteverwekker’ ‘opruimen’ voordat het hun essentiële netwerken raakt.

Onlangs zijn IOC’s opgenomen die geassocieerd zijn met statelijke actoren die proberen in te breken bij Amerikaanse onderzoeksgroepen die COVID-19 gerelateerd onderzoek uitvoeren. Door deze IOC’s ook hier te delen, wil Z-CERT voorkomen dat eventuele Nederlandse onderzoeken ook slachtoffer worden van spionage door statelijke actoren.
Hafkamp: “Het ZDN is relevanter dan ooit. Een dreiging richting de een is een waarschuwing voor de ander. Alleen samen maken we de zorg digitaal veiliger