Paul Verlaek, informatiemanager Joris Zorg, herinnert het zich nog als de dag van gisteren: op kerstavond 2022 werd de zorgorganisatie voor ouderen gehackt. Hoewel de belangrijkste toepassingen snel weer toegankelijk waren, was de impact groot. De harde wake up call bracht verbetering van de beveiliging van het steeds belangrijker wordende netwerk in een stroomversnelling. Daarbij maakt Joris Zorg gebruik van de externe expertise van HOB ICT Security en Cisco. “Ik weet wel dat ik de komende kerstperiode een stuk geruster slaap.”
Joris Zorg Is een kleinschalige, persoonlijke zorgorganisatie voor ouderen in de regio De Kempen. De hoofdlocatie staat in Oirschot. Hier was het waar op kerstavond 2022 een hack plaatsvond. “Op dat moment waren we bezig met een volledige cloud-migratie”, weet Verlaek nog goed. “De enige server die nog bij ons op locatie draaide, werd aangevallen door Lockbit. Heel veel archiefdata werd gestolen, terwijl de hackers ook toegang kregen tot de SSO-toepassing1 die toegang voor medewerkers tot applicaties regelde.”
Met vereende krachten waren een dag later de belangrijkste applicaties weer toegankelijk. Daaronder het ECD en de medicatie-toedienregistratie. Ook alle Microsoft-applicaties in de cloud waren weer benaderbaar. “Wel bleek later, in april 2023, veel archiefdata op het dark web terecht gekomen te zijn”, vertelt Verlaek. “Het was veruit het grootste negatieve gevolg van de hack. Dat gun ik geen enkele organisatie.”
Harde wake up call
De harde wake up call bracht Joris Zorg ertoe haar cybersecurity te optimaliseren. Zeker met het groeiend aantal domotica-toepassingen – zo maakt Joris Zorg bij ruim 450 cliënten gebruik van slimme sensors – werd het risico van een aanval op het netwerk simpelweg te groot.
Z-CERT, die zorgpartijen helpt met security-advies en -beleid, raadde de Joris Zorg aan om te gaan voor een MDR-XDR-toepassing2,3, die het kleine ICT-team in staat zou stellen om toch de juiste mate van detectie van malware en de reactie hierop in te regelen.
Ook de hulp van Maik Berkelmans was belangrijk, stelt Verlaek. “Hij werkt één dag in de week bij ons als ICT-architect en de overige dagen bij andere zorgaanbieders, waaronder Oktober. Hij is heel goed bekend met de integratie van ons Cisco Meraki-netwerk met MDR/XDR-toepassingen en heeft ons in contact gebracht met HOB ICT Security. Zij gebruiken Cisco’s XDR- en MDR-toepassingen voor monitoring van ons Cisco-netwerk, wat voor onze leverancier van MDR voor de Microsoft-omgeving niet mogelijk was.”
Arjan Benschop, oprichter en mede-eigenaar van HOB ICT Security, benadrukt dat Joris Zorg helaas niet bepaald uniek is in haar harde leerschool. “Er zijn wekelijks van dergelijke aanvallen. Weerbaarheid om snel weer op te krabbelen is belangrijk, maar allereerst moet je detectie van malware en reactie hierop zo goed mogelijk ingericht zijn. Je kunt niet alles voorkomen, maar je wil wel zo snel mogelijk kunnen zien dat er een aanval plaatsvindt en hierop ingrijpen om erger te voorkomen.”
Zorg steeds vaker aangevallen
Z-CERT stelt dat de zorg inmiddels wereldwijd een van de meest aangevallen sectoren is, mede dankzij het enorme en diverse aanvalsoppervlak. Z-CERT maakt hiervoor onder meer gebruik van de Cisco Talos threat intelligence feed. Talos is één van ’s werelds grootste threat intelligence-organisaties. Daarnaast hebben zorgaanbieders vaak slechts kleine IT-teams met beperkte security-capaciteit. Zo heeft Joris Zorg een team van vier ICT’ers, die alles van applicatie- en systeem- tot en met werkplek-beheer moeten doen. Dan is het een must om gebruik te maken van externe capaciteit en expertise, zeker voor gespecialiseerde zaken zoals security.
De zorg is bovendien een divers en gefragmenteerd landschap, met daarnaast veel legacy-apparatuur. Die is niet zo eenvoudig naar de cloud te brengen. En zeker in de zorg is het cruciaal dat alles altijd 24/7 werkt. Het gaat hier om mensenlevens. Verlaek: "In zo'n cocktail heb je een zeer groot aanvalsoppervlak te beschermen. Dat kunnen we veel beter als een grote AI-, netwerk-, security en cloud-technologiepartner zoals Cisco achter ons staat.”
Eén reden dat HOB ICT Security graag samenwerkt met Cisco, is hun wereldwijde slagkracht en Talos threat intelligence die ze kunnen vertalen naar hun oplossingen. Benschop: “Cisco heeft zicht op zo’n 80 procent van het wereldwijde internetverkeer. Wij hebben de kennis van zaken van de zorg in Nederland en ontwikkelen hiervoor ook eigen dienstverlening zoals dashboards en ons voor klanten gepersonaliseerde mijnHOB-portaal. Maar wat Cisco kan bieden, krijg je als middelgrote ICT-partij nooit voor elkaar.”
Holistische visie
Als je cybersecurity goed wil aanpakken, is volgens Benschop een holistische visie nodig op de organisatie. “Wat je niet ziet, kun je niet beschermen. Veel partijen bieden MDR/XDR-oplossingen die alleen endpoints beveiligen, de Microsoft 365-omgeving of een cloud-omgeving. En mogelijke risico’s voor je slimme sensors ga je niet detecteren met MDR voor je Microsoft-omgeving, daarvoor moet je echt het netwerk analyseren, zoals we nu bij Joris Zorg doen.”
Het netwerk biedt voor dergelijke analyses een schat aan informatie, schetst Benschop. “Als we bijvoorbeeld op een ongebruikelijk tijdstip en locatie in het netwerk een enorm aantal uploads registreren, dan kan dat een voorbode zijn van een hack, of een hack die al aan de gang is. De combinatie van het Cisco-netwerk en Cisco’s security-producten kan dat complete plaatje geven. Het netwerk werkt hierbij als een sensor.”
Rol bestuurders
De rol van bestuurders is dat ze een zorgorganisatie in de breedte goed laten draaien. Je kunt niet van ze verwachten dat ze alle ins en outs van security begrijpen, maar wel het besef dat bovengenoemde holistische security-aanpak en -beleid nodig zijn, meent Verlaek. Denk hierbij ook aan de impact van privacy- en security-wetgeving zoals de AVG en NIS2. De hack van Joris Zorg was wat dat betreft voor haar bestuurders ook een wake up-call.
“Ik heb geen verkooppraatje hoeven te houden om met HOB IT Security in zee te gaan”, stelt Verlaek. “Het bestuur begrijpt zeker sinds de hack heel goed wat de risico’s zijn en het belang om die zo veel mogelijk tegen te gaan of te beperken. Zij houden nu via ons zowel voor wat betreft digitalisering in zijn algemeenheid de vinger aan de pols, als voor onze security-aanpak in het bijzonder.”
Medewerkers betrokken
Ook de zorgprofessional zelf wordt meer betrokken bij digitalisering - denk aan de aanschaf van domotica-producten zoals slimme sensoren of medicijn-dispensers – én de security-risico’s hiervan, benadrukt Verlaek. “Ook dat veranderde na de hack. We werken nu met een change advisory board. Alle wijzigingen op het gebied van digitalisering lopen via dit CAB, dat de voors en tegens afweegt en de risico’s bespreekt. Pas als iedereen het eens is, wordt een product of dienst ingezet, en dan nog pas na uitgebreide testen. Een goed voorbeeld is de afhandeling van domotica-meldingen via een app op telefoon of tablet. Die wordt voortdurend doorontwikkeld op basis van feedback van zorgmedewerkers.”
Joris Zorg kijkt inmiddels weer vooral naar de manier waarop de organisatie voor haar zorgprofessionals en cliënten verder kan digitaliseren. Hoewel – zoals Benschop al zei – een hack altijd kan plaatsvinden – heeft Verlaek het vertrouwen dat de dienstverlening van HOB ICT Security en Cisco samen de meeste security-vraagstukken voor zijn kleine team oppakt, inclusief bovengenoemde compliance- en privacy-zaken. “Laat ik het zo zeggen: de komende kerstavond slaap ik een heel stuk beter dan twee jaar geleden.”
Samen beter
Sinds de hack heeft Joris Zorg regelmatig haar ervaringen gedeeld met andere zorgpartijen. Dat wordt volgens Paul Verlaek altijd positief ontvangen. “Het is weliswaar niet altijd prettig om zelf aan zo’n hack herinnerd te worden. Maar de ervaringen delen met anderen, zodat zij hier hun voordeel mee kunnen doen, is belangrijk.”
Arjan Benschop benadrukt dat schaamte voor het delen van zo’n incident absoluut niet nodig is. “Dit kan iedereen overkomen. Je staat pas sterk in je schoenen, wanneer je als organisatie durft te delen wat je is overkomen, wat de geleerde lessen zijn, en dat iedereen zich bewust moet zijn van het gevaar dat ze kunnen lopen.”
Nog een paar algemene adviezen van Arjan Benschop:
- Weet wat je kroonjuwelen en kritieke systemen zijn, die je primaire proces ondersteunen en zonder welke je zorg stilvalt. Geef die prioriteit in je risicobeeld.
- Ga er niet vanuit dat je IT-partij – zoals de leverancier van je netwerk of je cloud-omgeving – ook de security hiervan regelt. Bespreek met collega-zorgorganisaties en security-specialisten wie er verantwoordelijk is voor beveiliging van je netwerk, data et cetera, wie moet wat doen als het onverhoopt mis gaat.
CV
Paul Verlaek is informatiemanager bij Joris Zorg.
Arjan Benschop is oprichter/mede-eigenaar van HOB IT Security.
Referenties
1. SSO: single sign-on-software stelt eindgebruikers in staat om eenmalig in te loggen waarna automatisch toegang wordt verschaft tot meerdere applicaties en resources in het netwerk.
2. XDR (Extended Detection & Response): een geïntegreerd platform voor beveiligingsincidenten dat gebruik maakt van AI en automatisering. Het biedt organisaties een holistische, efficiënte manier om zich te beschermen tegen en te reageren op geavanceerde cyberaanvallen.
3. MDR (Managed Detection and Response): cyberbeveiligingsservice die organisaties proactief beschermt tegen cyberbedreigingen met behulp van geavanceerde detectie- en snelle incidentrespons, beheerd door een security-aanbieder.
