Event:

Cyber Future Event - 12 september

Lees verder

Digitale weerbaarheid in de zorg. Hoe organiseer je het en waar moet je als zorginstelling rekening mee houden.

Tijdens een eerder gesprek hebben wij uitgebreid stilgestaan bij een mogelijke aanval van ransomware; wat is de impact? Hoe moet je reageren? en Hoe kun je het voorkomen? Als het gaat om de digitale weerbaarheid van organisaties zijn de berichten hierover alarmerend en urgent. De situatie is ernstig. Veel zorginstellingen lopen achter op het gebied van digitale weerbaarheid. Incidenten hebben vaak grote gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens. Maar er zijn ook grote financiële gevolgen en het imago van de organisatie kan schade oplopen. Informatiebeveiliging is van strategisch belang en het vereist blijvende aandacht.

IP-zorg logo

Op 24 februari zijn wij tijdens het webinar Cyberweerbaarheid hierover in gesprek geweest met Rens van der Logt (Infozorg), Richard Strooper en Wijnand Verweij (beiden van Pinewood). Pinewood is specialist in informatiebeveiliging en levert een scala aan diensten op dit gebied, waaronder ook aan zorginstellingen. Zij is hiervoor aangesloten op het Zorg Detectie Netwerk. Infozorg richt zich specifiek op de zorgsector bij de advisering en ondersteuning van beheer, ontwikkeling en implementatie. Hierbij wordt o.a. gebruik gemaakt van SAAR dat ook ondersteunt bij de inrichting van informatiebeveiligingsprocessen. Infozorg en Pinewood zijn kennispartner van Stichting IP-Zorg.

Relevantie van dit onderwerp blijkt o.a. uit een deze maand gepubliceerd IBM-rapport over ontwikkelingen in het dreigingenprofiel. In het rapport wordt verwezen naar een toename van dreigingen als gevolg van thuiswerken, maar ook door geo-politieke spanningen. In conflicten tussen landen wordt steeds meer gebruik gemaakt van cyber attacks.

Ontwikkelingen op het gebied van informatiebeveiliging

Pinewood ziet dat steeds meer gebruik wordt gemaakt van cloudleveranciers; klanten komen met vragen over veiligheid van SAAS-oplossingen. Er wordt steeds meer thuisgewerkt en er is een toename van ransomware, phising, e.d. Ook is er steeds meer aandacht voor de NEN 7510. Peter merkt  op dat je bij zorgorganisaties die gebruik maken van cloudoplossingen vaak hoort dat ze geen zorgen hebben over informatieveiligheid, omdat de clouddienstverlener dat regelt. Maar bij het uitbesteden van de techniek moet de klant ook securityeisen opstellen én controleren! De klant blijft verantwoordelijk. De klant vraagt daarom regelmatig aan Pinewood om een security review uit te voeren. Ook Infozorg ziet steeds meer SAAS-applicaties, vooral in combinatie met SSO-oplossingen. Men wil immers voorkomen dat medewerkers steeds opnieuw moeten inloggen, wanneer gebruik wordt gemaakt van meerdere SAAS-applicaties. Daarnaast is er een toename van bewustwording voor vertrouwelijkheid van data. Extra inzet training en aanscherping beleid.

Inrichting SSO-oplossing bij meerdere leveranciers.

Juist wanneer organisaties steeds meer gebruik maken van cloudoplossingen (SAAS), is het van belang goed na te denken over de toegang tot deze applicaties. Immers, niet alleen moet worden voorkomen dat medewerkers steeds opnieuw per toepassing moeten inloggen, maar ook is het van belang dat het toegangsbeheer goed wordt ingericht en bij voorkeur centraal wordt beheerd. Vaak wordt gebruik gemaakt van Azure AD als centrale authenticatievoorziening, waarbij ook een koppeling met het personeelssysteem wordt gerealiseerd. Het borgt bijvoorbeeld dat wanneer medewerkers de organisatie verlaten, toegang tot de verschillende applicaties wordt geblokkeerd. Ook wanneer gebruik wordt gemaakt van cloud toepassingen, dient access control goed te zijn ingericht. Denk dus aan dingen als condition access; kijk naar wat die persoon is, wie is die persoon en 3 / 11 waar komt die persoon vandaan; met andere woorden: welke rol vervult de betreffende persoon en voor welke organisatie-eenheid heeft hij rechten nodig. De toegenomen kwetsbaarheid heeft overigens niet alleen te maken met het feit dat meer in de cloud wordt gewerkt, maar ook sprake is van een grotere verscheidenheid aan (mobiele) devices waarmee toegang wordt verkregen en de verschillende internet-of-things. Deze krijgen vanaf verschillende locaties toegang tot het bedrijfsnetwerk en kunnen niet op voorhand worden vertrouwd. Organisaties dienen daarom het zero-trust concept als basis voor hun beveiliging te kiezen (niets is op voorhand vertrouwd). Vroeger was een locatie met wat daar gebeurde veilig; nu ga je ervan uit dat mensen vanaf allerlei locaties kunnen inloggen en moet je er van uit gaan dat dat op voorhand niet veilig is.

cyberweerbaarheid in de zorg

Hoe ga je vanuit functioneel beheer hiermee om?

Zorgorganisaties zijn zich bewust van vertrouwelijke data, maar het inzicht in welke applicaties en in welke koppelingen ze aanwezig zijn wordt niet altijd op één plek beheerd. En ook nog eens vanuit verschillende invalshoeken; bijvoorbeeld ook vanuit een managementsysteem voor informatiebeveiliging. Het is lastig verschillende documentaties overzichtelijk te houden. Dus maak ook je ISMS een integraal onderdeel van je informatiehuishoudingssyteem. Je moet weten welke data je verwerkt (AVG), om zo je risico’s te documenteren, verantwoordelijkheid inzichtelijk te maken en te koppelen aan de beheersnormen van de NEN 7510.

Organisaties kiezen vaak ook voor een (centrale) authenticatievoorziening voor een cloudoplossing; in de zorg wordt Azure AD vaak gekozen. Hiermee wordt ook invulling gegeven aan de single-sign-on. Aandachtspunt is wel de aankomende Wet Digitale Overheid. Deze wet zal naar verwachting dit jaar in werking treden en betekent dat de portalen voor clienten die zorginstellingen bieden, toegankelijk moeten zijn via de wettelijk erkende (Europese) inlogmiddelen (zoals DigID). Voor veel zorginstellijngen betekent dit nog een transitie die ze moeten uitvoeren.

Wat wordt verstaan onder Cyberweerbaarheid?

Preventieve maatregelen zoals een firewallbescherming en anti-virussoftware zijn altijd wel getroffen; wat veelal nog niet duidelijk is welke risico’s je daarmee hebt afgedekt. Ga eerst na welke risico’s je wilt afdekken en bepaal dan je maatregelen.  Ook de detectieve en correctieve maatregelen zijn van belang (denk aan continue monitoring van je bedrijfsnetwerk)! Cyberweerbaarheid is een samenspel tussen risico’s en samenhangende maatregelen. Wat je veel ziet is, dat maatregelen technisch in orde zijn, maar dat beleid en beveiligingsplannen als losse documenten zijn gemaakt, niet helder samengevoegd zijn in een proces dat volgens de PDCA-cyclus kan worden gevolgd. Hiervoor wordt meestal ondersteuning gevraagd. Maar 100% veiligheid bestaat niet! Dat zou een onwerkbare situatie creëren. Daarnaast is de zorg inherent aan een open cultuur; de zorg staat voorop en de security mag niet al te beperkend zijn. Goede afwegingen zijn nodig. Als er wat gebeurt moet het mogelijk zijn tijdig te reageren om de schade zoveel mogelijk te beperken.

Hoe gaan zorgorganisaties om met risico’s?

In de zorg heb je vaak capaciteitsproblemen en wordt veel gewerkt met uitzendkrachten. Ook die moeten in een cliëntendossier kunnen kijken. Daarvoor moet je beheersbare afspraken maken en controleren. De technische kennis is wel aanwezig, maar de controleslag ontbreekt meestal. Organisaties worden geconfronteerd met nieuwe ontwikkelingen en vooral nieuwe kwetsbaarheden. Ze moeten daarin keuzes maken op basis van de gevoeligheid van informatie; zoals processen uitschakelen of 4 / 11 risico accepteren? En weer de controleslag waarmee je ook duidelijk kunt maken dat maatregelen niet meer werken en dus niet nodig zijn. Het beveiligingsbewustzijn van medewerkers wordt steeds beter maar voorkom overbodige maatregelen. Met technische maatregelen alleen ben je er niet; de mens blijft de zwakke schakel in de beveiliging. Peter wijst in dit verband op de wegwijzer Informatieveilig gedrag in de zorg; een initiatief van VWS en brancheorganisaties Zorg; vanaf 1 april belegd bij ECP in het programma Digivaardig in de zorg.

Wordt inzage in dossiers goed gelogd.

Met andere woorden, heb je een afspraak of is er een proces waarin je kunt nagaan of de toegang tot het dossier juist verloopt. Je kunt bijvoorbeeld periodiek standaard checks doen. Bij Pinewood komen verzoeken binnen om toegang tot ECD’s te monitoren. Resultaten realtime te filteren en een alarmering doen op verdachte benaderingen. Filtering rules worden met de klant opgesteld. Monitoring initieert reactive maatregelen en bevordert awareness. Medewerkers weten dat activiteiten worden gemonitord.

Security-by-design, Hoe gaat een zorgorganisatie daarmee om bij aanschaf van software?

In de eerste plaats beleidsmatig vastleggen waaraan leveranciers moeten voldoen en dat ook toetsen. En ga periodiek met leveranciers in overleg; naast het certificaat NEN 7510 kun ook pentesten laten uitvoeren. Hou een overzicht bij van je leveranciers. A.g.v. acute kwestbaarheid moet je bij je leveranciers terecht kunnen; hou ook bij hoe snel ze reageren. Leveranciersmanagement wordt steeds belangrijker en moet een onderdeel zijn van risicomanagement. Wat je normaliter doet in je eigen infrastructuur moet nu de leverancier doen. Zorg vooraf voor goede contracten en bewerkersovereenkomsten. Let vooral op bij koppelingen naar ‘achterliggende’ leveranciers in de keten; ga ook na of voor je vaste leveranciers de toeleveranciers in beeld zijn. In het eerdergenoemde rapport van IBM wordt dit ook als toenemend risico genoemd.

Leveranciersketens zijn een toenemende kwetsbaarheid; klanten zijn verplicht bij leveranciers door te vragen naar de toeleveranciers.

Relatie Z-Cert en SOC Zoals eerder aangegeven is een continue monitoring van het ICTnetwerk van groot belang; immers, bedrijfsnetwerken zijn vrijwel altijd gekoppeld aan het internet; dit betekent dat ze per definitie doorlopend door kwaadwillenden worden gescand op kwetsbaarheden die misschien de mogelijkheid bieden om in te breken op het bedrijfsnetwerk. Om schade te beperken is het allereerst van belang het netwerk in te delen in verschillende zones en de koppeling met internet via een DMZ (de-militarized zone) te laten lopen.

Maar het netwerk continu bewaken met behulp van een intrusion detection en prevention systeem (IDS IPS) is van toenemend belang om bijvoorbeeld een ransomware aanval te voorkomen. Deze continue bewaking vindt plaats vanuit een zogenaamd Security Operations Center (SOC). Probleem is echter dat voor veel zorginstellingen het niet mogelijk is om hier 7×24 uur monitoring op uit te laten voeren door een SOC, hetgeen zowel met beschikbaarheid als met de hiervoor benodigde specialistische expertise te maken heeft. Veel zorginstellingen kiezen er daarom voor gebruik te maken van een SOC-dienstverlener zoals Pinewood.

Het SOC van Pinewood legt voor elke klant een log-collector aan die de logfiles van de verschillende applicaties verzamelt. Dit wordt gemapt met Z-Cert meldingen; ‘matches’ worden teruggekoppeld naar de klant. Bij het Pinewood SOC worden vanuit een centrale post alle klantensystemen gemonitoord; monitoring is per klant ingesteld voor de klantspecifieke situaties / risico’s.

Leesbaarheid van security rapportages.

Het is een algemeen probleem dat bij klanten vaak de kennis ontbreekt om securityrapporten (pentesten, security scans) te interpreteren. Belangrijk is dat er partijen zijn  die de vertaling naar jouw situatie kunnen maken en advies uitbrengen wat je ermee moet doen; niet alleen technisch, ook procesmatig.

Specifieke kenmerken cyberweerbaarheid zorgsector?

De balans tussen ‘open karakter’ zorg en privacy; naast preventieve maatregelen moet dan wel extra worden geïnvesteerd in het vroegtijdig ontdekken van incidenten en de afhandeling daarvan. Security verplaatst zich van IT naar business; IT is slechts nodig voor inrichtingszaken. Apparatuur wordt aangeschaft voor de lange termijn; dit geldt niet voor de sofware. Dat vergt aanvullende security/ controle maatregelen.

Domotica en IoT

Alle mogelijke systemen kunnen worden gekoppeld aan internet of aan systemen. Maak bijv. met scans inzichtelijk wat er aan je netwerk hangt zodat je het kunt beheren Er worden op IoT-systemen wel testen uitgevoerd; maar ze zijn zeer divers en er zijn nog geen keurmerken. Ga er in beginsel van uit dat ze onveilig zijn. Het even koppelen van een digitale camera of planbord wordt steeds gangbaarder; een extra kwetsbaarheid voor het netwerk. Pentesters hebben vaak veel succes bij printers en camera’s!

De verschillende security scans

Een Security scan is vooral organisatorisch; faciliterend; gericht op processen. Een kwetsbaarheidsscan (zogenaamde pentest) is een scan op zwakke plekken in je ICT-omgeving die je bijvoorbeeld maandelijks uitvoert; het signaleert bijvoorbeeld wanneer patches, security updates niet zijn uitgevoerd waardoor kwetsbaarheden kunnen worden misbruikt. Een kwetsbaarheidsscanning vraagt resources van een organisatie; output moet worden beoordeeld en o.b.v. prioritering moeten acties volgen. Waar een kwetsbaarheidsscan inzicht geeft in de kwetsbaarheden van de in gebruik zijnde software, geeft een pentest bijvoorbeeld inzicht in de mate waarin de kwetsbare software ook daadwerkelijk kan worden misbruikt. Of wordt het voorkomen door een adequate scheiding tussen de verschillende zones in het netwerk dan wel verschillende maatregelen op applicatieniveau? De pentest kijkt dus ook naar de opbouw en gebruik van de infrastructuur.

Zijn bestuurders van zorginstelling zich voldoende bewust van cyberweerbaarheid?

Wordt er voldoende in geinvesteerd? Is er draagvlak? Voorwaarde is dan wel dat de SO-rol niet is belegd binnen de ict-afdeling maar dichter bij het bestuur. 6 / 11 Pinewood geeft aan dat bij risicoworkshops steeds vaker andere dan ict-afdelingen worden betrokken; cyberweerbaarheid is de verantwoordelijkheid van de hele organisatie. Problemen liggen vaak niet alleen bij de ict-afdeling; die heeft meestal zijn zaakjes wel op orde. Het zijn meestal de bedrijfsprocessen; de awareness waar de grootste risico’s liggen. En bestuurder niet pas betreken a.g.v. een incident.

Security tips!

  • Zorg dat je onafhankelijk kunt functioneren.
  • Zorg ervoor dat je niet zelf bij uitvoering van security betrokken bent. Eerst risico dan de techniek.
  • Laat risico’s leidend zijn voor je maatregelen.
  • Houd korte lijnen met de IT-afdeling en schroom niet om een specialist in de arm te nemen als het nodig is.
  • Betrek zoveel mogelijk de bestuurslaag bij beslissingen Beoordeel op vooraf vastgestelde termijnen de risico’s met de bestuurders.
  • Houd je ISMS bij zodat je altijd een overall inzicht hebt Scherm het ISMS niet af maar laat het een intern-open document zijn.

Nieuwe technologieën en platforms bieden vele mogelijkheden om gegevens uit te wisselen en wordt een steeds grotere uitdaging. Denk voor dergelijke installaties van goed na over de inrichting; besteed aandacht aan autorisaties. Hou de mogelijkheden van een pakket tegen je risico’s aan; bouw zo nodig beperkingen in. Security by design.

Platforms als Teams en Sharepoint zijn gericht op samenwerking maar zorg wel dat je dat goed regelt. Zelfs als je de configuratie uit handen geeft ziet Pinewood soms achteraf nog kwetsbaarheden als gevolg van foute configuraties. Documenten kunnen bijvoorbeeld hierdoor onbedoeld gedeeld worden of toegankelijk zijn voor andere organisaties

Naar aanleiding van een chatvraag over de complexe kwetsbaarheid log4j een enkele tip. Securitytechniek is een apart vak; als je de kennis niet binnen bereik hebt schroom dan niet een specialist in te huren. Ga er niet van uit dat je dit soort zaken zelf kunt doen en regel vooraf je contacten. Als onderdeel van je incident response maatregelen.

Peter benadrukt nog eens enkele punten:

  • Op risico’s gebaseerde benadering voor beveiligingsmaatregelen.
  • Ervan uitgaan dat eigenlijk niets veilig is.
  • Awareness bij medewerkers en betrokkenheid bestuurders.
  • Security geen onderdeel is van de ict en moet aansluiten op het beheerproces.

Meer weten hoe wij uw organisatie kunnen helpen? Neem dan contact op met Pinewood of onderstaande contactpersoon.

Wijnand Verweij

Accountmanager Healthcare

015 251 36 36

wijnand.verweij@pinewood.nl