Digitaal pleisters plakken: het kaf van het koren scheiden

do 26 augustus 2021
Digitaal pleisters plakken: het kaf van het koren scheiden
Security
Premium

Eén van de pilaren van informatiebeveiliging is goed patch- en kwetsbaarhedenmanagement. Het is echter niet makkelijk om te bepalen wanneer je in actie moet komen en hoe snel. Soms lijkt het wel of softwarekwetsbaarheden elkaar sneller opvolgen dan de series op Netflix. Hoe onderscheid je het kaf van het koren? En waarin verschilt de zorgsector van andere sectoren? Steven van Baardewijk (Security Specialist Z-CERT) vertelt hoe Z-CERT kwetsbaarheden analyseert en de zorgsector daarmee ondersteunt.

Bij velen zit de term ‘Citrixfile’ nog vers in het geheugen. De maatregelen, om het misbruik van een kwetsbaarheid in de software van deze veelgebruikte VPN-oplossing tegen te gaan, zorgden voor zoveel extra verkeer dat er files door ontstonden. Kwetsbaarheden die leiden tot een dergelijke impact op de maatschappij komen gelukkig niet al te vaak voor, maar ernstige kwetsbaarheden zijn er helaas genoeg. 

Waar komen al die kwetsbaarheden eigenlijk vandaan? De meeste kwetsbaarheden worden ontdekt door onderzoekers, leveranciers, securitybedrijven die aanvallen observeren, en IT’ers die tegen bugs aanlopen. Kwetsbaarheden kunnen een uniek nummer krijgen van The Mitre Corporation, uit de VS. Deze organisatie registreerde in 2020 maar liefst 18.352 zogeheten Common Vulnerabilities and Exposures (CVE’s) middels de zogeheten CVE Numbering Authorities (CNA). 

CNA’s mogen CVE’s aanmelden voor kwetsbaarheden binnen hun scope, vaak hun eigen product. En niet eens alle kwetsbaarheden krijgen een CVE-nummer. Deze moeten namelijk worden aangemeld bij een CNA en dat gebeurt lang niet altijd. Mitre houdt de lijst van CVE’s al bij sinds 1999(1).

Methodes

Met zoveel kwetsbaarheden is het van belang om het kaf van het koren te kunnen scheiden. Hiervoor zijn meerdere methodieken. De meest gebruikelijke is het Common Vulnerability Scoring System (CVSS). Hiermee kan met één cijfer (0-10) de ernst van een kwetsbaarheid worden aangegeven. Die 18.000+ kwetsbaarheden? Ongeveer 15 procent daarvan scoorde een 9 of hoger. Kwetsbaarheden met een dergelijke inschaling zijn vaak makkelijk te misbruiken en geven aanvallers de controle geven over systemen.

Dat ene cijfer is echter niet altijd gemakkelijk te interpreteren. Men komt tot die score door een combinatie van factoren, en dat is niet direct zichtbaar in de score. En hoewel daar een systeem voor is bedacht, kost het toch enig uitzoekwerk om de kans en impact van een kwetsbaarheid te bepalen als zorginstelling. Daarom gebruikt Z-CERT een andere methodiek, waarbij het CVSS als input gebruikt wordt. 

Inschaling kans, impact

De beveiligingsadviezen die Z-CERT beschikbaar stelt om zorginstellingen te attenderen op kwetsbaarheden, zijn daarom voorzien van een inschaling van kans en impact. Z-CERT gebruikt hiervoor hetzelfde systeem als het Nationaal Cyber Security Centrum(2). Hiermee kunnen zorginstellingen in een oogopslag zien wat de kans is dat een kwetsbaarheid misbruikt wordt, en wat de impact daarvan kan zijn. 

Om de kans op misbruik in te schatten, wordt rekening gehouden met het bestaan van patches, of er actief misbruik is waargenomen, hoe moeilijk het is om de kwetsbaarheid te misbruiken, en meer. Om de impact te bepalen wordt er gekeken naar wat een aanvaller na misbruik van de kwetsbaarheid precies kan: of men bijvoorbeeld bij gevoelige gegevens kan, of de soft- of hardware ontoegankelijk kan maken.

Hulpmiddel loopt spaak

Z-CERT geeft echter niet alleen beveiligingsadviezen voor kantoorautomatiseringssoftware, maar ook voor medische soft- en hardware. Hier loopt het CVSS echter spaak als hulpmiddel. Er wordt namelijk geen rekening gehouden met de omgevingsfactoren die in zorginstellingen gemeengoed zijn. Want wat betekent het precies voor een patiënt als een insulinepomp een kwetsbaarheid heeft? En hoe weeg je de impact van het kunnen aanpassen van monitoringsdata van een hartmonitor?

Eind vorig jaar heeft de Amerikaanse Food & Drug Administration (FDA) een door Mitre ontwikkelde methodiek goedgekeurd waarmee het CVSS toegepast kan worden op medische apparatuur(3). Met deze aangepaste versie van het CVSS wordt rekening gehouden met onder andere de impact op medische gegevens en monitoringsdata. Hiermee kunnen kwetsbaarheden in medische apparatuur worden ingeschat, rekening houdend met de gevoelige natuur daarvan. Hiermee kan Z-CERT voortaan de beveiligingsadviezen voor kwetsbaarheden in medische apparatuur nog beter maken.

Verbeteren cyberweerbaarheid 

Z-CERT is in navolging hiervan momenteel bezig om inzicht te krijgen in hoe de cyberweerbaarheid van medische apparatuur kan worden ondersteund en vergroot in het ‘Clinical Workflow Resilience’ project. Het doel is om een raamwerk te creëren bestaande uit meerdere (kennis)producten, zoals webinars, whitepapers en infographics. Het belang van accurate risicobepalingen ten aanzien van medische software- en hardware wordt steeds zichtbaarder. En samen met iets als de Medical CVSS en het Clinical Workflow Resilience project kunnen we de zorgsector hiermee helpen.

Concluderend kunnen we stellen: hou in het patchmanagementbeleid rekening met ernstige kwetsbaarheden, zo voorkom je dat je organisatie onnodig gevaar loopt. Door hierbij ook nog rekening te houden met het belang van specifieke soft- en hardware ten aanzien van de primaire processen, voorkom je dat je alleen nog maar noodpatches aan het doorvoeren bent. Wees je bewust van de verschillen in impact van kwetsbaarheden in medische soft- en hardware en pas ook daar je patchmanagementbeleid op aan. 

Een medische advisory

Enige tijd geleden werd een kwetsbaarheid gemeld in Philips Gemini PET / CT Family-systemen(4). De kwetsbaarheid kreeg het CVE-nummer CVE-2021-27456. De kwetsbaarheid bestond eruit dat patiëntgegevens op verwijderbare media werd gezet, zonder daarbij gebruik te maken van ingebouwd toegangsbeheer. Hierbij werd echter geen rekening gehouden met de mogelijke impact op, bijvoorbeeld, patiëntgegevens. Een normale CVSS score vraagt wel of de vertrouwelijkheid wordt aangetast, maar laat in het midden wat voor data dat is. Aangezien fysieke toegang nodig is, kwam de score uit op een 2.4. 

Met de Medical CVSS calculator kom je echter uit op een score van 6.8, een fors verschil. Dit komt omdat in deze berekening wordt uitgevraagd wat de impact is op medische gegevens, data en/of functionaliteit gerelateerd aan diagnosis en monitoring, het leveren van therapie, en meer. Iets dat de mogelijke impact beter reflecteert. Z-CERT heeft hiervoor dan ook een medische adivsory uitgestuurd met een inschaling van L/H (kans – Laag, impact – Hoog). 

Deze advisory wordt verstuurd aan alle zorginstellingen die er op verschillende manieren mee omgaan. In de ene zorginstelling wordt de melding eerst opgepakt door een Information Security Manager, en in de andere door een Klinisch fysicus. Er wordt dan beoordeeld of het product wordt gebruikt en welke maatregelen getroffen kunnen worden om de kwetsbaarheid te mitigeren of weg te nemen.

Over Z-CERT 

Z-CERT is hét expertisecentrum op het gebied van cybersecurity in de zorg en speelt een belangrijke rol in het cyberweerbaar maken van de zorgsector. Z-CERT heeft specifieke kennis van medische technologie en vormt met haar deelnemers een netwerk om gezamenlijk digitale dreigingen als ransomware, phishing, datalekken of hacken aan te pakken. Het netwerk bestaat behalve de deelnemers uit brancheorganisaties, leveranciers, andere CERTs, internationale contacten en (hackers)communities. Z-CERT verzamelt informatie die nodig is om risico’s of dreigingen snel te signaleren en dreigingen af te slaan.