Z-CERT: "Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen"

Gepubliceerd op 3 december 2021 om 07:00

Interview met de directeur Wim Hafkamp en security specialist Jan Hanstede van Z-CERT door de DeCrisismanager

Je wapenen tegen cybercriminelen doe je het beste door samen te werken. Zorginstellingen, zoals ziekenhuizen en een groot deel van de GGZ, doen dat sinds 2017 in het samenwerkingsverband Z-CERT. Wat doet Z-CERT precies? En waar zien zij nog kansen voor verbetering? Een interview met de directeur Wim Hafkamp en security specialist Jan Hanstede.

Ik ontmoet Wim Hafkamp en Jan Hanstede op het Z-CERT-kantoor in hartje Amersfoort. Het is vrij stil op het kantoor. Lege bureaus domineren het beeld. “Maar schijn bedriegt”, vertelt Jan. Zo’n 30 collega’s werken, veelal vanuit huis, voor deze organisatie. “En we zijn nog altijd groeiende”, voegt Wim toe. “Steeds meer zorginstellingen en zorgkoepels sluiten zich bij ons aan. Ook groeien we doordat we steeds meer producten en diensten toevoegen.”

Kun je uitleggen wat jullie precies doen?

“Onze core business is dat we continu op zoek zijn naar kwetsbaarheden die een gevaar kunnen zijn voor de IT-systemen waar zorginstellingen mee werken. We informeren onze deelnemers over alle kwetsbaarheden die we vinden. Zo kunnen zij maatregelen nemen om te voorkomen dat zij gehackt worden.

Soms wordt een kwetsbaarheid actief misbruikt door cybercriminelen. Dan slaan we groot alarm. We nemen contact op met alle aangesloten zorginstellingen zodat ze meteen de juiste maatregelen kunnen treffen. Ook benaderen we geregeld niet-deelnemers die gevaar lopen om hen te waarschuwen.

Het is dan echt een kat- en muisspel, want de hackers weten dan ook dat er een kwetsbaarheid in één van de systemen zit. Zij zullen er alles aan doen om via die kwetsbaarheid binnen te dringen bij organisaties. Zorginstellingen die niet snel genoeg handelen, lopen een groter risico om gehackt te worden.”

Hoe gaan zorginstellingen over het algemeen met dat soort situaties om?

"Onze deelnemers pakken dat soort signalen vaak direct goed op. Zij begrijpen dat het belangrijk is om meteen maatregelen te nemen en doen dat ook.

Het is lastiger om niet-deelnemers snel te bereiken. Dan bellen we bijvoorbeeld met een huisartsenpraktijk die op dat moment gevaar loopt. Zij weten meestal niet meteen wie we zijn en waar het over gaat. Daardoor handelen ze vaak niet snel genoeg. Ook zijn de problemen veelal complex, waardoor er soms fouten worden gemaakt. Dus dan denken zorginstellingen dat zij het hebben opgelost. Maar omdat ze iets over het hoofd hebben gezien, lopen ze een langere tijd een verhoogd risico dan deelnemers die wel meteen de juiste maatregelen hebben genomen.”

Welk type zorginstellingen zijn voor jullie gevoel het meest kwetsbaar bij zo’n dreiging?

“Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen. Dat komt omdat zij minder feeling hebben met IT. Vaak hebben zij de IT uitbesteed en liften ze mee op de beveiliging van hun leverancier. Ze vertrouwen erop dat hun leverancier de cybersecurity op orde heeft. Dat is lang niet altijd het geval.”

Hoe weet je dat je met een leverancier werkt die zijn cybersecurity op orde heeft?

“In ieder geval niet door volledig te vertrouwen op een certificaat. Het is goed als een organisatie bijvoorbeeld ISO 27001 of NEN-75 gecertificeerd is. Dit is een goede kapstok waarlangs de security van organisatie opgebouwd kan worden. Echter dit moet niet het enigste zijn. Een ISO-certificaat geeft namelijk alleen weer dát een leverancier cybersecurity-maatregelen heeft genomen. In de norm staat niet omschreven hóe hij dat moet doen.

Om een voorbeeld te geven: in de NEN 7510-norm staat dat een leverancier back-ups moet maken. Maar er staat niet in omschreven hoe vaak hij dat moet doen en waar die back-ups staan. Als die back-ups online bewaard worden, loop je als zorginstelling nog steeds het risico dat ze bij een hack vernietigd worden.

Daarom is het, bij het selecteren van een leverancier, belangrijk om de juiste vragen te stellen. Komen zij bijvoorbeeld meteen in actie als wij een kwetsbaarheid aan hen doorgeven? Of handelen ze alle kwetsbaarheden eens per maand af? Misschien is het als zorginstelling lastig om de juiste vragen te stellen. Je hebt enige kennis van IT nodig om goed te doorgronden wat een leverancier daadwerkelijk voor je doet. Daarom kan het raadzaam zijn om een adviseur te vragen om te helpen.”

Hoe vaak worden zorginstellingen aangevallen?

“Zorginstellingen worden dagelijks aangevallen, bijvoorbeeld met kwaadaardige mail. Meestal wordt dat onderschept. Toch zijn er het hele jaar door ook serieuze incidenten, zoals een succesvolle aanval met gijzelsoftware of een gehackte mailbox van een bestuurder. Eens per twee of drie maanden komen er zeer ernstige kwetsbaarheden aan het licht, zoals we dat bijvoorbeeld gezien hebben met Citrix en Microsoft Exchange.”

Hoe gaan jullie om met die serieuze incidenten?

“Dan nemen we maatregelen. Bij een phishing-mail halen we bijvoorbeeld de domeinnaam uit de lucht, zodat anderen geen slachtoffer meer kunnen worden. Ook helpen we de getroffen zorginstelling met het doen van aangifte. En we waarschuwen de andere deelnemers zodat ook zij weten dat deze mail rond gaat. Daardoor kunnen zij daar extra alert op zijn.”

Sinds vorig jaar werken jullie ook met een ZorgDetectieNetwerk (ZDN). Hoe werkt dat?

“Dat is echt ons paradepaardje. Grote zorginstellingen, zoals ziekenhuizen, monitoren continu hun eigen systemen. Als cybercriminelen hun systemen benaderen, zien zij dat gebeuren. Deze cybercriminelen laten een digitaal spoor achter. De zorginstellingen zien bijvoorbeeld door welk IP-adres ze benaderd zijn en welke kenmerken dat IP-adres heeft.

Het is belangrijk om die digitale sporen snel met elkaar te delen. Zo weten ook andere zorginstellingen dat zij dit IP-adres moeten weren. Om het delen van die informatie zo snel mogelijk te laten verlopen, hebben zo’n 70 grote zorginstellingen hun monitoringsysteem aangesloten op ons ZorgDetectieNetwerk. Via deze applicatie kunnen zij hun digitale sporen direct met elkaar delen. We zijn hier vorig jaar mee gestart en we zagen meteen dat het werkte. Een van onze deelnemers werd aangevallen en het spoor werd direct gedeeld. Zo’n 5 minuten later probeerde de hacker het bij een andere zorginstelling. Hij had daar geen kans van slagen meer, omdat het systeem van de tweede zorginstelling hem herkende en uit het systeem weerde.”

Dat is een mooie ontwikkeling. Zijn er meer initiatieven waar jullie mee bezig zijn?

“We zijn bezig met het opzetten van een red team-programma voor onze leden. Het doel van dit programma is het structureel verhogen van de weerbaarheid van de deelnemende zorginstellingen door de cybersecurity te testen tegen realistische dreigingen in een dagelijkse operationele (ICT-)omgeving van de instellingen. Met andere woorden zorginstellingen worden gehackt op een manier die we ook in het echt vaak zien. Daar leert de zorginstelling heel veel van. In de financiële sector in Nederland gebeurt dit al een aantal jaren. We zouden het goed vinden om dit ook voor onze leden te doen.”

Zorginstellingen kunnen ook een commerciële partij vragen om een red team-actie bij hen uit te voeren. Welk voordeel heeft het om mee te doen met een red team-programma dat door jullie gecoördineerd wordt?

“Het grote voordeel is dat wij hun systemen kennen. Ook een vriendelijke hacker kan schade toebrengen aan ICT-systemen. Zeker in de zorg kan dat ernstige gevolgen hebben. Wij kennen de systemen in de zorg goed, waardoor we een programma zorgvuldig kunnen opzetten en mogelijke schade kunnen voorkomen. Ook is het gemakkelijker om de lessons learned van de diverse testen met elkaar te delen, als wij het programma coördineren.”

Wanneer willen jullie hiermee starten?

“We zijn nu de haalbaarheid aan het onderzoeken. Vervolgens leggen we dit voor aan het Ministerie van VWS en de aangesloten zorginstellingen. Als zij hun commitment geven en voldoende financiële middelen ter beschikking stellen, kunnen we het volgend jaar al van start laten gaan.”

Hebben jullie meer ambities?

“We willen onze rol als expertisecentrum op het gebied van cybersecurity voor zorginstellingen nog verder uitbreiden. Daarom organiseren we seminars en verspreiden we whitepapers. Ook beheren we online community’s waarin de deelnemers kennis met elkaar kunnen delen.”

Is er ook nog iets wat jullie missen in het cybersecurity-landschap in Nederland?

“Ja. Een gecoördineerde aanpak, zoals je dat bij andere dreigingen ook hebt. Bij een brand heb je in Nederland een goed GRIP-systeem waarbij je steeds hoger kunt opschalen. Voor cybersecurity is dat er niet en dat is een gemis. Ook bij een grote cyberaanval is het belangrijk om op te schalen en beter met elkaar samen te werken. Wij zijn niet de aangewezen partij om zo’n gecoördineerde aanpak op te zetten. Het zou bijvoorbeeld wel passen bij de veiligheidsregio’s, de NCTV of het NCSC.”

Is er nog een laatste advies dat je graag aan zorginstellingen zou willen geven?

“Ja. Sluit je bij ons aan. Deelnemers betalen weliswaar een onkostenvergoeding maar we zijn geen commerciële partij. Dus we zeggen dit niet omdat we eraan willen verdienen. Maar als een zorginstelling zich bij ons heeft aangesloten, hebben we een contactpersoon. Daardoor kunnen we hen bij een grote dreiging sneller bereiken en ondersteunen.

En als tweede: deel zo veel mogelijk informatie met ons. Dit klinkt misschien als een open deur, maar het is wel belangrijk. Hoe meer informatie we krijgen, hoe sneller we kunnen reageren en hoe groter de kans is dat we een cyberaanval kunnen voorkomen.”

Bron: decrisismanager.nl | Maaike Tindemans

Zorg gerelateerde artikelen 》

 

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Rapporten bekijken of downloaden 》

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws