Z-CERT: "Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen"

Gepubliceerd op 3 december 2021 om 07:00

Interview met de directeur Wim Hafkamp en security specialist Jan Hanstede van Z-CERT door de DeCrisismanager

Je wapenen tegen cybercriminelen doe je het beste door samen te werken. Zorginstellingen, zoals ziekenhuizen en een groot deel van de GGZ, doen dat sinds 2017 in het samenwerkingsverband Z-CERT. Wat doet Z-CERT precies? En waar zien zij nog kansen voor verbetering? Een interview met de directeur Wim Hafkamp en security specialist Jan Hanstede.

Ik ontmoet Wim Hafkamp en Jan Hanstede op het Z-CERT-kantoor in hartje Amersfoort. Het is vrij stil op het kantoor. Lege bureaus domineren het beeld. “Maar schijn bedriegt”, vertelt Jan. Zo’n 30 collega’s werken, veelal vanuit huis, voor deze organisatie. “En we zijn nog altijd groeiende”, voegt Wim toe. “Steeds meer zorginstellingen en zorgkoepels sluiten zich bij ons aan. Ook groeien we doordat we steeds meer producten en diensten toevoegen.”

Kun je uitleggen wat jullie precies doen?

“Onze core business is dat we continu op zoek zijn naar kwetsbaarheden die een gevaar kunnen zijn voor de IT-systemen waar zorginstellingen mee werken. We informeren onze deelnemers over alle kwetsbaarheden die we vinden. Zo kunnen zij maatregelen nemen om te voorkomen dat zij gehackt worden.

Soms wordt een kwetsbaarheid actief misbruikt door cybercriminelen. Dan slaan we groot alarm. We nemen contact op met alle aangesloten zorginstellingen zodat ze meteen de juiste maatregelen kunnen treffen. Ook benaderen we geregeld niet-deelnemers die gevaar lopen om hen te waarschuwen.

Het is dan echt een kat- en muisspel, want de hackers weten dan ook dat er een kwetsbaarheid in één van de systemen zit. Zij zullen er alles aan doen om via die kwetsbaarheid binnen te dringen bij organisaties. Zorginstellingen die niet snel genoeg handelen, lopen een groter risico om gehackt te worden.”

Hoe gaan zorginstellingen over het algemeen met dat soort situaties om?

"Onze deelnemers pakken dat soort signalen vaak direct goed op. Zij begrijpen dat het belangrijk is om meteen maatregelen te nemen en doen dat ook.

Het is lastiger om niet-deelnemers snel te bereiken. Dan bellen we bijvoorbeeld met een huisartsenpraktijk die op dat moment gevaar loopt. Zij weten meestal niet meteen wie we zijn en waar het over gaat. Daardoor handelen ze vaak niet snel genoeg. Ook zijn de problemen veelal complex, waardoor er soms fouten worden gemaakt. Dus dan denken zorginstellingen dat zij het hebben opgelost. Maar omdat ze iets over het hoofd hebben gezien, lopen ze een langere tijd een verhoogd risico dan deelnemers die wel meteen de juiste maatregelen hebben genomen.”

Welk type zorginstellingen zijn voor jullie gevoel het meest kwetsbaar bij zo’n dreiging?

“Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen. Dat komt omdat zij minder feeling hebben met IT. Vaak hebben zij de IT uitbesteed en liften ze mee op de beveiliging van hun leverancier. Ze vertrouwen erop dat hun leverancier de cybersecurity op orde heeft. Dat is lang niet altijd het geval.”

Hoe weet je dat je met een leverancier werkt die zijn cybersecurity op orde heeft?

“In ieder geval niet door volledig te vertrouwen op een certificaat. Het is goed als een organisatie bijvoorbeeld ISO 27001 of NEN-75 gecertificeerd is. Dit is een goede kapstok waarlangs de security van organisatie opgebouwd kan worden. Echter dit moet niet het enigste zijn. Een ISO-certificaat geeft namelijk alleen weer dát een leverancier cybersecurity-maatregelen heeft genomen. In de norm staat niet omschreven hóe hij dat moet doen.

Om een voorbeeld te geven: in de NEN 7510-norm staat dat een leverancier back-ups moet maken. Maar er staat niet in omschreven hoe vaak hij dat moet doen en waar die back-ups staan. Als die back-ups online bewaard worden, loop je als zorginstelling nog steeds het risico dat ze bij een hack vernietigd worden.

Daarom is het, bij het selecteren van een leverancier, belangrijk om de juiste vragen te stellen. Komen zij bijvoorbeeld meteen in actie als wij een kwetsbaarheid aan hen doorgeven? Of handelen ze alle kwetsbaarheden eens per maand af? Misschien is het als zorginstelling lastig om de juiste vragen te stellen. Je hebt enige kennis van IT nodig om goed te doorgronden wat een leverancier daadwerkelijk voor je doet. Daarom kan het raadzaam zijn om een adviseur te vragen om te helpen.”

Hoe vaak worden zorginstellingen aangevallen?

“Zorginstellingen worden dagelijks aangevallen, bijvoorbeeld met kwaadaardige mail. Meestal wordt dat onderschept. Toch zijn er het hele jaar door ook serieuze incidenten, zoals een succesvolle aanval met gijzelsoftware of een gehackte mailbox van een bestuurder. Eens per twee of drie maanden komen er zeer ernstige kwetsbaarheden aan het licht, zoals we dat bijvoorbeeld gezien hebben met Citrix en Microsoft Exchange.”

Hoe gaan jullie om met die serieuze incidenten?

“Dan nemen we maatregelen. Bij een phishing-mail halen we bijvoorbeeld de domeinnaam uit de lucht, zodat anderen geen slachtoffer meer kunnen worden. Ook helpen we de getroffen zorginstelling met het doen van aangifte. En we waarschuwen de andere deelnemers zodat ook zij weten dat deze mail rond gaat. Daardoor kunnen zij daar extra alert op zijn.”

Sinds vorig jaar werken jullie ook met een ZorgDetectieNetwerk (ZDN). Hoe werkt dat?

“Dat is echt ons paradepaardje. Grote zorginstellingen, zoals ziekenhuizen, monitoren continu hun eigen systemen. Als cybercriminelen hun systemen benaderen, zien zij dat gebeuren. Deze cybercriminelen laten een digitaal spoor achter. De zorginstellingen zien bijvoorbeeld door welk IP-adres ze benaderd zijn en welke kenmerken dat IP-adres heeft.

Het is belangrijk om die digitale sporen snel met elkaar te delen. Zo weten ook andere zorginstellingen dat zij dit IP-adres moeten weren. Om het delen van die informatie zo snel mogelijk te laten verlopen, hebben zo’n 70 grote zorginstellingen hun monitoringsysteem aangesloten op ons ZorgDetectieNetwerk. Via deze applicatie kunnen zij hun digitale sporen direct met elkaar delen. We zijn hier vorig jaar mee gestart en we zagen meteen dat het werkte. Een van onze deelnemers werd aangevallen en het spoor werd direct gedeeld. Zo’n 5 minuten later probeerde de hacker het bij een andere zorginstelling. Hij had daar geen kans van slagen meer, omdat het systeem van de tweede zorginstelling hem herkende en uit het systeem weerde.”

Dat is een mooie ontwikkeling. Zijn er meer initiatieven waar jullie mee bezig zijn?

“We zijn bezig met het opzetten van een red team-programma voor onze leden. Het doel van dit programma is het structureel verhogen van de weerbaarheid van de deelnemende zorginstellingen door de cybersecurity te testen tegen realistische dreigingen in een dagelijkse operationele (ICT-)omgeving van de instellingen. Met andere woorden zorginstellingen worden gehackt op een manier die we ook in het echt vaak zien. Daar leert de zorginstelling heel veel van. In de financiële sector in Nederland gebeurt dit al een aantal jaren. We zouden het goed vinden om dit ook voor onze leden te doen.”

Zorginstellingen kunnen ook een commerciële partij vragen om een red team-actie bij hen uit te voeren. Welk voordeel heeft het om mee te doen met een red team-programma dat door jullie gecoördineerd wordt?

“Het grote voordeel is dat wij hun systemen kennen. Ook een vriendelijke hacker kan schade toebrengen aan ICT-systemen. Zeker in de zorg kan dat ernstige gevolgen hebben. Wij kennen de systemen in de zorg goed, waardoor we een programma zorgvuldig kunnen opzetten en mogelijke schade kunnen voorkomen. Ook is het gemakkelijker om de lessons learned van de diverse testen met elkaar te delen, als wij het programma coördineren.”

Wanneer willen jullie hiermee starten?

“We zijn nu de haalbaarheid aan het onderzoeken. Vervolgens leggen we dit voor aan het Ministerie van VWS en de aangesloten zorginstellingen. Als zij hun commitment geven en voldoende financiële middelen ter beschikking stellen, kunnen we het volgend jaar al van start laten gaan.”

Hebben jullie meer ambities?

“We willen onze rol als expertisecentrum op het gebied van cybersecurity voor zorginstellingen nog verder uitbreiden. Daarom organiseren we seminars en verspreiden we whitepapers. Ook beheren we online community’s waarin de deelnemers kennis met elkaar kunnen delen.”

Is er ook nog iets wat jullie missen in het cybersecurity-landschap in Nederland?

“Ja. Een gecoördineerde aanpak, zoals je dat bij andere dreigingen ook hebt. Bij een brand heb je in Nederland een goed GRIP-systeem waarbij je steeds hoger kunt opschalen. Voor cybersecurity is dat er niet en dat is een gemis. Ook bij een grote cyberaanval is het belangrijk om op te schalen en beter met elkaar samen te werken. Wij zijn niet de aangewezen partij om zo’n gecoördineerde aanpak op te zetten. Het zou bijvoorbeeld wel passen bij de veiligheidsregio’s, de NCTV of het NCSC.”

Is er nog een laatste advies dat je graag aan zorginstellingen zou willen geven?

“Ja. Sluit je bij ons aan. Deelnemers betalen weliswaar een onkostenvergoeding maar we zijn geen commerciële partij. Dus we zeggen dit niet omdat we eraan willen verdienen. Maar als een zorginstelling zich bij ons heeft aangesloten, hebben we een contactpersoon. Daardoor kunnen we hen bij een grote dreiging sneller bereiken en ondersteunen.

En als tweede: deel zo veel mogelijk informatie met ons. Dit klinkt misschien als een open deur, maar het is wel belangrijk. Hoe meer informatie we krijgen, hoe sneller we kunnen reageren en hoe groter de kans is dat we een cyberaanval kunnen voorkomen.”

Bron: decrisismanager.nl | Maaike Tindemans

Zorg gerelateerde artikelen 》

 

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Rapporten bekijken of downloaden 》

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws

Overzicht cyberaanvallen week 06-2022

Universiteit inventariseert 1100 ransomware-aanvallen op vitale infrastructuur, zestien Nederlandse zorginstellingen hadden last van ransomware bij leverancier en Vlaamse mkb’ers (kmo'ers) zwaarder getroffen door cyberaanvallen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Cybercrime nieuwsbrief 196 week 06-2022

Stijging van ruim 47 procent met nieuwe malware, een onbereikbare website het is de nachtmerrie van elke online ondernemer en bankieren en betalen via de smartphone is dat eigenlijk nog wel veilig? Dit en meer lees je in nieuwsbrief 196.

Lees meer »

Phishing, nepshop en fraude meldingen week 06-2022

Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.

Lees meer »

Zaak 26Hain: “What’s up pedos? :)”

“What’s up pedos?” gevolgd door een smiley. Zo begon de nu 38-jarige verdachte uit Tilburg, die afgelopen woensdag terechtstond in kinderpornozaak '26Hain', geregeld zijn chat-gesprekken op kinderpornosites op het darkweb. Het Landelijk Parket van het Openbaar Ministerie (OM) eiste in de rechtbank Rotterdam 48 maanden gevangenisstraf, waarvan 8 voorwaardelijk en een proeftijd van 5 jaar met reclasseringstoezicht en psychische behandeling. Het OM verdenkt hem van deelname aan een criminele organisatie in de sleutelpositie van administrator en moderator op diverse kinderpornosites op het darkweb.

Lees meer »

Hoe beschermt u uw iPhone of Android-smartphone tegen spyware

Wellicht het grootste verhaal van 2021 – een onderzoek door The Guardian en 16 andere mediaorganisaties, gepubliceerd in juli – suggereerde dat meer dan 30.000 mensenrechtenactivisten, journalisten en advocaten over de hele wereld het doelwit van 'Pegasus' kunnen zijn geweest. Pegasus is zogeheten “legale surveillancesoftware” ontwikkeld door het Israëlische bedrijf NSO. In het rapport, dat de naam Pegasus Project draagt, wordt beweerd dat de malware op grote schaal is verspreid via een verscheidenheid aan exploits, waaronder verschillende iOS zero-click zero-days.

Lees meer »

Een onbereikbare website het is de nachtmerrie van elke online ondernemer

Op die angst speelde een 25-jarige verdachte uit Veenendaal op slinkse wijze in. Hij wordt ervan verdacht DDOS-aanvallen uitgevoerd te hebben op meer dan twintig websites van internetondernemingen, waarbij klanten online bijvoorbeeld bloemen, meubels of verf kunnen bestellen. Na de eerste aanval eiste de verdachte betalingen in bitcoins van de getroffen bedrijven. Daarmee zouden ze nieuwe aanvallen – en een langdurig onbereikbare website – kunnen voorkomen (RDDOS).

Lees meer »

Stijging van ruim 47 procent met nieuwe malware

Er komen steeds meer verschillende soorten malware samples op de markt blijkt uit een analyse van G DATA CyberDefense. In totaal werden er vorig jaar meer dan 23,7 miljoen verschillende soorten malware samples geïdentificeerd. Dit staat gelijk aan bijna 65.000 nieuwe varianten malware per dag, oftewel 45 nieuwe aanvalsvectoren per minuut. Vergeleken met 2020 is dit een stijging van ruim 47 procent.

Lees meer »