Het ministerie van VWS en Z-CERT werken aan een Kwetsbaarheden Analyse Tool (KAT). Z-CERT is het expertisecentrum op het gebied van cybersecurity in de zorg. KAT brengt een aantal programma’s en instrumenten samen die scannen op softwarekwetsbaarheden. Cybercriminelen gebruiken deze fouten in software om een netwerk binnen te dringen. Opsporen en repareren (patchen) ervan wordt steeds belangrijker gezien de groeiende omvang van het aantal cyberaanvallen. KAT moet het werk van een security-expert eenvoudiger en overzichtelijker maken.
20 developers vanuit overheid en bedrijfsleven werken samen aan het KAT-project, waaronder Z-CERT-analist Saskia Ton. Zij zet haar expertise in om van KAT een handige tool te maken voor de zorgsector. “KAT is nog in ontwikkeling, maar de meerwaarde zit nu al in de samenwerking aan het project. Gezamenlijk kom je sneller tot een compleet product. Voor de zorg is de meerwaarde vooral in de snelheid en de bredere blik die we krijgen op het digitale speelveld van de zorgsector.”
Kwetsbaarheden vinden
KAT is een initiatief van VWS, vertelt Brenno de Winter, Chief Security Officer bij het ministerie. “Het mooie aan KAT is dat we de ontwikkeling van beveiliging goed kunnen volgen en kwetsbaarheden vinden die vaak gemist worden. We zien zo in de praktijk hoe systemen door continue monitoring snel verbeteren. Dit alles zonder een negatieve privacy-bijsmaak.”
KAT ontstond toen de vraag voor security alsmaar opliep – onder meer door de snelle digitalisering door op afstand werken tijdens de coronacrisis. Het aanvalsoppervlak voor cybercriminelen groeide toen sneller dan security-experts konden bijhouden, stelt Jan Klopper, projectleider KAT bij VWS: “Gekoppeld aan de bredere vraag voor compliancy groeide de nood voor een informatie en monitoring-omgeving zoals we nergens kregen aangeboden.”
Verschillende tools
KAT scant met verschillende tools, waarbij ook bestaande security-componenten worden gebruikt. Zo sluit het aan op Shodan, Binary Edge, WordPress-plugins, SSL-certificaten, maar ook op zaken als verouderde software en diverse nieuw ontwikkelde security-tests.
Verder sluit volgens Z-Cert aan op de processen binnen organisaties, zodat kwetsbaarheden gewogen worden op basis van de belangen van een organisatie. Zo gebruikt VWS zelf KAT momenteel voor het verbeteren van de informatiebeveiliging en het voortdurend monitoren van het CoronaCheck-stelsel.
VWS en Z-Cert hebben het voornemen om de tool in de eerste helft van 2022 opensource beschikbaar te stellen voor alle security specialisten in Nederland. Op www.Openkat.nl kunnen geïnteresseerden zich aanmelden voor het opensource traject.