Z-CERT: "Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen"

Gepubliceerd op 3 december 2021 om 07:00

Interview met de directeur Wim Hafkamp en security specialist Jan Hanstede van Z-CERT door de DeCrisismanager

Je wapenen tegen cybercriminelen doe je het beste door samen te werken. Zorginstellingen, zoals ziekenhuizen en een groot deel van de GGZ, doen dat sinds 2017 in het samenwerkingsverband Z-CERT. Wat doet Z-CERT precies? En waar zien zij nog kansen voor verbetering? Een interview met de directeur Wim Hafkamp en security specialist Jan Hanstede.

Ik ontmoet Wim Hafkamp en Jan Hanstede op het Z-CERT-kantoor in hartje Amersfoort. Het is vrij stil op het kantoor. Lege bureaus domineren het beeld. “Maar schijn bedriegt”, vertelt Jan. Zo’n 30 collega’s werken, veelal vanuit huis, voor deze organisatie. “En we zijn nog altijd groeiende”, voegt Wim toe. “Steeds meer zorginstellingen en zorgkoepels sluiten zich bij ons aan. Ook groeien we doordat we steeds meer producten en diensten toevoegen.”

Kun je uitleggen wat jullie precies doen?

“Onze core business is dat we continu op zoek zijn naar kwetsbaarheden die een gevaar kunnen zijn voor de IT-systemen waar zorginstellingen mee werken. We informeren onze deelnemers over alle kwetsbaarheden die we vinden. Zo kunnen zij maatregelen nemen om te voorkomen dat zij gehackt worden.

Soms wordt een kwetsbaarheid actief misbruikt door cybercriminelen. Dan slaan we groot alarm. We nemen contact op met alle aangesloten zorginstellingen zodat ze meteen de juiste maatregelen kunnen treffen. Ook benaderen we geregeld niet-deelnemers die gevaar lopen om hen te waarschuwen.

Het is dan echt een kat- en muisspel, want de hackers weten dan ook dat er een kwetsbaarheid in één van de systemen zit. Zij zullen er alles aan doen om via die kwetsbaarheid binnen te dringen bij organisaties. Zorginstellingen die niet snel genoeg handelen, lopen een groter risico om gehackt te worden.”

Hoe gaan zorginstellingen over het algemeen met dat soort situaties om?

"Onze deelnemers pakken dat soort signalen vaak direct goed op. Zij begrijpen dat het belangrijk is om meteen maatregelen te nemen en doen dat ook.

Het is lastiger om niet-deelnemers snel te bereiken. Dan bellen we bijvoorbeeld met een huisartsenpraktijk die op dat moment gevaar loopt. Zij weten meestal niet meteen wie we zijn en waar het over gaat. Daardoor handelen ze vaak niet snel genoeg. Ook zijn de problemen veelal complex, waardoor er soms fouten worden gemaakt. Dus dan denken zorginstellingen dat zij het hebben opgelost. Maar omdat ze iets over het hoofd hebben gezien, lopen ze een langere tijd een verhoogd risico dan deelnemers die wel meteen de juiste maatregelen hebben genomen.”

Welk type zorginstellingen zijn voor jullie gevoel het meest kwetsbaar bij zo’n dreiging?

“Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen. Dat komt omdat zij minder feeling hebben met IT. Vaak hebben zij de IT uitbesteed en liften ze mee op de beveiliging van hun leverancier. Ze vertrouwen erop dat hun leverancier de cybersecurity op orde heeft. Dat is lang niet altijd het geval.”

Hoe weet je dat je met een leverancier werkt die zijn cybersecurity op orde heeft?

“In ieder geval niet door volledig te vertrouwen op een certificaat. Het is goed als een organisatie bijvoorbeeld ISO 27001 of NEN-75 gecertificeerd is. Dit is een goede kapstok waarlangs de security van organisatie opgebouwd kan worden. Echter dit moet niet het enigste zijn. Een ISO-certificaat geeft namelijk alleen weer dát een leverancier cybersecurity-maatregelen heeft genomen. In de norm staat niet omschreven hóe hij dat moet doen.

Om een voorbeeld te geven: in de NEN 7510-norm staat dat een leverancier back-ups moet maken. Maar er staat niet in omschreven hoe vaak hij dat moet doen en waar die back-ups staan. Als die back-ups online bewaard worden, loop je als zorginstelling nog steeds het risico dat ze bij een hack vernietigd worden.

Daarom is het, bij het selecteren van een leverancier, belangrijk om de juiste vragen te stellen. Komen zij bijvoorbeeld meteen in actie als wij een kwetsbaarheid aan hen doorgeven? Of handelen ze alle kwetsbaarheden eens per maand af? Misschien is het als zorginstelling lastig om de juiste vragen te stellen. Je hebt enige kennis van IT nodig om goed te doorgronden wat een leverancier daadwerkelijk voor je doet. Daarom kan het raadzaam zijn om een adviseur te vragen om te helpen.”

Hoe vaak worden zorginstellingen aangevallen?

“Zorginstellingen worden dagelijks aangevallen, bijvoorbeeld met kwaadaardige mail. Meestal wordt dat onderschept. Toch zijn er het hele jaar door ook serieuze incidenten, zoals een succesvolle aanval met gijzelsoftware of een gehackte mailbox van een bestuurder. Eens per twee of drie maanden komen er zeer ernstige kwetsbaarheden aan het licht, zoals we dat bijvoorbeeld gezien hebben met Citrix en Microsoft Exchange.”

Hoe gaan jullie om met die serieuze incidenten?

“Dan nemen we maatregelen. Bij een phishing-mail halen we bijvoorbeeld de domeinnaam uit de lucht, zodat anderen geen slachtoffer meer kunnen worden. Ook helpen we de getroffen zorginstelling met het doen van aangifte. En we waarschuwen de andere deelnemers zodat ook zij weten dat deze mail rond gaat. Daardoor kunnen zij daar extra alert op zijn.”

Sinds vorig jaar werken jullie ook met een ZorgDetectieNetwerk (ZDN). Hoe werkt dat?

“Dat is echt ons paradepaardje. Grote zorginstellingen, zoals ziekenhuizen, monitoren continu hun eigen systemen. Als cybercriminelen hun systemen benaderen, zien zij dat gebeuren. Deze cybercriminelen laten een digitaal spoor achter. De zorginstellingen zien bijvoorbeeld door welk IP-adres ze benaderd zijn en welke kenmerken dat IP-adres heeft.

Het is belangrijk om die digitale sporen snel met elkaar te delen. Zo weten ook andere zorginstellingen dat zij dit IP-adres moeten weren. Om het delen van die informatie zo snel mogelijk te laten verlopen, hebben zo’n 70 grote zorginstellingen hun monitoringsysteem aangesloten op ons ZorgDetectieNetwerk. Via deze applicatie kunnen zij hun digitale sporen direct met elkaar delen. We zijn hier vorig jaar mee gestart en we zagen meteen dat het werkte. Een van onze deelnemers werd aangevallen en het spoor werd direct gedeeld. Zo’n 5 minuten later probeerde de hacker het bij een andere zorginstelling. Hij had daar geen kans van slagen meer, omdat het systeem van de tweede zorginstelling hem herkende en uit het systeem weerde.”

Dat is een mooie ontwikkeling. Zijn er meer initiatieven waar jullie mee bezig zijn?

“We zijn bezig met het opzetten van een red team-programma voor onze leden. Het doel van dit programma is het structureel verhogen van de weerbaarheid van de deelnemende zorginstellingen door de cybersecurity te testen tegen realistische dreigingen in een dagelijkse operationele (ICT-)omgeving van de instellingen. Met andere woorden zorginstellingen worden gehackt op een manier die we ook in het echt vaak zien. Daar leert de zorginstelling heel veel van. In de financiële sector in Nederland gebeurt dit al een aantal jaren. We zouden het goed vinden om dit ook voor onze leden te doen.”

Zorginstellingen kunnen ook een commerciële partij vragen om een red team-actie bij hen uit te voeren. Welk voordeel heeft het om mee te doen met een red team-programma dat door jullie gecoördineerd wordt?

“Het grote voordeel is dat wij hun systemen kennen. Ook een vriendelijke hacker kan schade toebrengen aan ICT-systemen. Zeker in de zorg kan dat ernstige gevolgen hebben. Wij kennen de systemen in de zorg goed, waardoor we een programma zorgvuldig kunnen opzetten en mogelijke schade kunnen voorkomen. Ook is het gemakkelijker om de lessons learned van de diverse testen met elkaar te delen, als wij het programma coördineren.”

Wanneer willen jullie hiermee starten?

“We zijn nu de haalbaarheid aan het onderzoeken. Vervolgens leggen we dit voor aan het Ministerie van VWS en de aangesloten zorginstellingen. Als zij hun commitment geven en voldoende financiële middelen ter beschikking stellen, kunnen we het volgend jaar al van start laten gaan.”

Hebben jullie meer ambities?

“We willen onze rol als expertisecentrum op het gebied van cybersecurity voor zorginstellingen nog verder uitbreiden. Daarom organiseren we seminars en verspreiden we whitepapers. Ook beheren we online community’s waarin de deelnemers kennis met elkaar kunnen delen.”

Is er ook nog iets wat jullie missen in het cybersecurity-landschap in Nederland?

“Ja. Een gecoördineerde aanpak, zoals je dat bij andere dreigingen ook hebt. Bij een brand heb je in Nederland een goed GRIP-systeem waarbij je steeds hoger kunt opschalen. Voor cybersecurity is dat er niet en dat is een gemis. Ook bij een grote cyberaanval is het belangrijk om op te schalen en beter met elkaar samen te werken. Wij zijn niet de aangewezen partij om zo’n gecoördineerde aanpak op te zetten. Het zou bijvoorbeeld wel passen bij de veiligheidsregio’s, de NCTV of het NCSC.”

Is er nog een laatste advies dat je graag aan zorginstellingen zou willen geven?

“Ja. Sluit je bij ons aan. Deelnemers betalen weliswaar een onkostenvergoeding maar we zijn geen commerciële partij. Dus we zeggen dit niet omdat we eraan willen verdienen. Maar als een zorginstelling zich bij ons heeft aangesloten, hebben we een contactpersoon. Daardoor kunnen we hen bij een grote dreiging sneller bereiken en ondersteunen.

En als tweede: deel zo veel mogelijk informatie met ons. Dit klinkt misschien als een open deur, maar het is wel belangrijk. Hoe meer informatie we krijgen, hoe sneller we kunnen reageren en hoe groter de kans is dat we een cyberaanval kunnen voorkomen.”

Bron: decrisismanager.nl | Maaike Tindemans

Zorg gerelateerde artikelen 》

 

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Rapporten bekijken of downloaden 》

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws

Politie houdt negen verdachten aan in onderzoek naar bankhelpdesk fraude

De politie heeft op 14 september en 19 oktober in totaal 9 aanhoudingen verricht. Dit is gedaan naar aanleiding van een onderzoek door het cybercrimeteam van de Eenheid Rotterdam in samenwerking met de eenheden Noord-Holland en Midden-Nederland. In deze onderzoeken kwamen meerdere verdachten naar voren. Zij worden verdacht van o.a. oplichting en witwassen en hebben daarbij mensen opgelicht door zich voor te doen als medewerker van de helpdesk van een bank.

Lees meer »

VDL Nedcar: de stand van zaken

Sinds woensdagmiddag rollen er weer auto's van de band in de autofabriek van VDL Nedcar in Born. Maar tot het concern, toeleverancier van ASML, Philips en DAF, behoren wereldwijd nog 104 bedrijven die nog altijd last hebben van de brutale digitale aanval. Acht vragen en antwoorden over gijzelsoftware.

Lees meer »

Ransomware: Laag risico hoge beloning

Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore.

Lees meer »

Overzicht cyberaanvallen week 41-2021

Drama bij VDL NedCar na cyberaanval duurt voort, de Belgisch bouwgroep Besix getroffen door cyberaanval en losgeld verbod is druppel op gloeiende plaat. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Cybercrime nieuwsbrief 180 week 41-2021

Niet alleen meer blauw op straat, maar ook online, 17 jarige phisher aangehouden die woningzoekende in de val lokte en hij ontsnapte aan de grootste politie actie op het Darkweb - Deel 3: 'Het AlphaGuard systeem'. Dit en meer lees je in nieuwsbrief 180. Nog niet ingeschreven voor de nieuwsbrief over cybercrime en darkweb? Schrijf je dan hier in.

Lees meer »

Phishing, nepshop en fraude meldingen week 41-2021

Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.

Lees meer »

"Vijftig procent van de ondervraagden gebruiken een zelfde wachtwoord voor alle online accounts"

Tweederde van de consumenten gebruikt tenminste drie devices om in te loggen op hun online accounts. Een kwart gebruikt daarvoor ook een device van hun werk. Dat is niet opmerkelijk, maar in het kader van cybersecurity wel een punt van aandacht. Veel mensen blijken namelijk nog altijd slechte wachtwoorden te gebruiken of hun inloggegevens te delen. Ook is het beveiligen van hun mobiele telefoons nog niet vanzelfsprekend.

Lees meer »

17 jarige phisher aangehouden die woningzoekende in de val lokte

Op 12 oktober 2021 heeft de politie een 17-jarige jongen uit Amsterdam aangehouden op verdenking van phishing. De verdachte deed zich onder andere voor als WoningNet en heeft zo in de afgelopen maanden vermoedelijk tientallen slachtoffers in heel Nederland opgelicht voor tot dusver bekend minimaal 20.000 euro. De aanhouding kwam mede door een nauwe samenwerking met verschillende banken tot stand.

Lees meer »