De zorgsector heeft steeds vaker te maken met cyberaanvallen. In de strijd tegen cyberaanvallen is het van belang om vroegtijdig aanvallen vast te kunnen stellen. Om die reden voert Z-CERT, het cybersecurity expertisecentrum voor de zorg, een aanbesteding uit van security monitoring dienstverlening.
De recente DDoS-aanvallen op de zorgsector1 eind januari hebben opnieuw aangetoond dat ook de zorgsector doelwit kan worden van cybercriminelen. De impact van cyberaanvallen op instellingen kan aanzienlijk zijn.
Waar DDoS-aanvallen met name impact hebben op de beschikbaarheid van internet-afhankelijke diensten, kunnen andere typen cyberaanvallen een verregaande impact hebben op de beschikbaarheid van zorgverlening. Zo kunnen ransomware-aanvallen de hele IT-infrastructuur van een zorginstelling stil leggen, met alle gevolgen voor de beschikbaarheid en de patiëntveiligheid die daar bij horen.
Strategie met meer lagen
In de strijd tegen cyberaanvallen is een strategie nodig met meerdere lagen:
Preventie. Dit betreft het implementeren van maatregelen en processen die de beveiliging van infrastructuur moeten waarborgen. Bijvoorbeeld technische componenten zoals firewalls, e-mail gateways en malware-bescherming. Maar denk ook aan processen zoals het vinden van kwetsbaarheden met vulnerability management, het aanpakken van deze kwetsbaarheden met patch management en het implementeren van security baselines om systemen veilig te configureren.
Detectie. Dit gaat om maatregelen die, wanneer preventieve acties gefaald hebben, zo vroeg mogelijk moeten detecteren dat een cyberaanval plaatsvindt. Detectie van deze aanvallen gebeurt in meestal in een security monitoring-functie, ondersteund door technieken zoals endpoint detectie en respons (EDR), monitoring op basis van logging met een Security Information en Event Management (SIEM) tooling of componenten in het network, zoals een intrusion detection systeem (IDS). Security monitoring kan complex zijn, vooral in een landschap met veel leveranciers en apparatuur die afwijkt van de gangbare standaard.
Respons. Dit zijn maatregelen die er voor moeten zorgen, dat wanneer een cyberaanval opgemerkt is, er snel en adequaat gehandeld kan worden. Zo kan de impact van incidenten als gevolg van cyberaanvallen zoveel mogelijk beperkt worden.
Veel organisaties hebben goede stappen gezet in security basishygiëne om cyberaanvallen te voorkomen, onder andere met behulp van het CIS control-raamwerk2 en de maatregelen beschreven in de NEN7510-standaard. Maar detectie van cyberaanvallen met behulp van security monitoring is een stap die nog niet overal gezet is. De complexiteit van de dienstverlening en een gebrek aan kennis en kunde rondom het onderwerp kunnen daarbij een rol spelen. Daarnaast betreft het vaak dure dienstverlening, waar sturing op nodig is om maximale waarde te kunnen realiseren.
Marktconsultatie
Om instellingen in de zorgsector te helpen bij de stap om naast preventie ook detectie in te richten, is Z-CERT een ‘marktconsultatie security monitoring & respons’ begonnen. Deze marktconsultatie is de eerste concrete stap naar het realiseren van een mantelcontract met meerdere partijen die hun security monitoring dienstverlening aanbieden aan de zorgsector.
Zorginstellingen kunnen gebruik maken van het voorwerk dat Z-CERT al heeft gedaan en één van de partijen uit het mantelcontract selecteren om die dienstverlening af te nemen. Bij de marktconsultatie en het traject tot het komen tot een mantelcontract zijn meerdere zorginstellingen betrokken, die hun input en feedback kunnen geven. Op die manier wordt de best mogelijke aansluiting met de behoefte uit de sector geborgd.
Whitepaper
Ter ondersteuning van de marktconsultatie heeft Z-CERT een whitepaper gepubliceerd. In deze whitepaper wordt meer uitleg gegeven over security monitoring. Daarbij wordt ingegaan op de processen, de techniek en uiteraard ook de mensen die betrokken zijn bij de security monitoring dienst. Daarnaast wordt uiteengezet welke bijzonderheden en regels er gelden voor security monitoring voor de zorgsector. Tot slot worden tien best practices beschreven voor security monitoring.
Lees hier de whitepaper ‘Security monitoring in de zorgsector'.
