image

Z-CERT en Nederlandse ggz gaan samenwerken rond cybersecurity

vrijdag 29 januari 2021, 11:42 door Redactie, 13 reacties

Z-CERT en de Nederlandse geestelijke gezondheidszorg (ggz) gaan samenwerken rond cybersecurity en informatiebeveiliging. Vanaf 1 januari dit jaar zijn 64 lid-instellingen van de Nederlandse ggz aangesloten bij Z-CERT, het Computer Emergency Response Team voor de zorg.

Z-CERT is als expertisecentrum houdt zich bezig met het weerbaarder maken van zorgorganisaties op het gebied van informatiebeveiliging en cyberdreigingen. Met de collectieve aansluiting van de Nederlandse ggz, Nederlandse Federatie van Universitair Medische Centra (NFU) en de Nederlandse Vereniging van Ziekenhuizen (NVZ) zijn in totaal nu meer dan 160 zorginstellingen aangesloten bij de organisatie. Het gaat onder andere ook om ziekenhuizen.

Z-CERT voorziet zorginstellingen van informatie over cyberdreigingen zoals ransomware en phishing, maar ook kwetsbaarheden en actuele aanvallen. Leden kunnen daarnaast gebruikmaken van het ZorgDetectieNetwerk dat bekende malware-exemplaren en andere dreigingen blokkeert op basis van Indicators of Compromise (IoC). Samen met ruim honderd zorginstellingen, het Nationaal Cyber Security Centrum (NCSC) en private partijen werkt Z-CERT aan dit netwerk.

"Voor ggz-instellingen neemt de inzet van zorgtechnologie snel toe: E-health, cliëntportalen, de Persoonlijke Gezondheids Omgeving (PGO) en het Elektronisch Patiëntendossier (EPD). Hiermee verandert het risicoprofiel van ggz-instellingen. Het is van groot belang om op het gebied van informatieveiligheid en cybersecurity samen op te trekken", zegt Veronique Esman, directeur van de Nederlandse ggz. Vorig jaar lekte een Gelderse ggz-instelling nog cliëntgegevens door een phishingaanval.

Reacties (13)
29-01-2021, 11:57 door Anoniem
Krijgen ze hun datalekken niet alleen voor elkaar? Of kan de roverheid niet makkelijk genoeg grasduinen in die gegevens?
29-01-2021, 13:04 door Anoniem
Heel verstandig, samen staat de Health sector sterk. Het is een hele uitdaging om onder de enorme werkdruk die de Corona periode met zich mee brengt de IT beveiliging op orde te houden. Succes met deze enorme uitdagingen en dank voor de enorme inzet van alle zorginstellingen!
29-01-2021, 16:07 door Anoniem
Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.

Daarover vier opmerkingen:

1. Op dat moment zijn de GGD systemen al 8 maanden lek, vanaf april 2020 tot januari 2021.
Want de GGD systemen "CoronIT" (gebruikt in de test-straten) en "HPzone Light" (Engelse software voor bron- en contactonderzoek) zijn al sinds april 2020 lek, omdat de "export-functie" open staat voor alle medewerkers van het door de GGD ingehuurde callcentrum TelePerformance, die weer medewerkers inhuurt bij de uitzendbureau's Olympia en YoungCapital.
https://nos.nl/nieuwsuur/artikel/2348581-testlijnmedewerkers-kunnen-bij-persoonsgegevens-ook-als-dat-niet-mag.html
Typisch een geval waar het spreekwoord "als het kalf verdronken is dempt men de put" van toepassing is.

2. Een soortgelijk geval herkennen we in Maastricht (Clop-ransomware) en MCL Leeuwarden (Citrix). De Universiteit Maastricht liet FoxIT onderzoek doen en presenteerde het onderzoeksverslag op een symposium:
https://www.security.nl/posting/642452/Universiteit+Maastricht+werd+besmet+via+phishingmail+en+verouderde+software
https://www.security.nl/posting/642572/Fox-IT+rapport+Maastricht

Op dat symposium werd ook de rol van het NCSC toegelicht (1:07:04-1:10:05 in de YouTube video):
https://www.youtube.com/watch?v=ik-ZVvZ2-xU&feature=youtu.be
Een samenvatting van dat stukje video over de bijdrage van van het NCSC :
- Het NCSC richt zich primair op vitale processen en rijksoverheid "maar dat laat onverlet dat we andere organisaties zoals universiteiten kunnen bijstaan",
- Adviezen en richtlijnen van het NCSC staan op de website van het NCSC,
- Onlangs is een aantal organisaties waaronder SURF aangewezen als organisatie waar we vertrouwelijke informatie over dreigingen en kwetsbaarheden mee kunnen delen, dus vertrouwelijke IoC (indicator of compromise) worden gedeeld via SURF zodat zij mitigerende maatregelen kunnen nemen,
- Nu is een viertal organisaties aangewezen, dat willen we uitbreiden tot een landelijk dekkend stelsel van informatieknooppunten,
- Ook werken we samen met SURF in een Nationaal Response Netwerk, samen met de Belasting, Rijkswaterstaat en Defensie, dat als een incident zich voordoet, we elkaar kunnen bijstaan met het verlenen van capaciteit en kennis.

Vraag: Heeft u dat in deze specifieke situatie ook gedaan?
Antwoord van het NCSC: "Nee, want SURF was pas aangewezen als organisatie om informatie mee te delen nadat dit incident zich voordeed, en ook dat Nationaal Response Netwerk daar hebben we pas heel recent een convenant voor afgesloten."

Met deze vier organisaties worden bedoeld:
".. Als computercrisisteams als bedoeld in de artikelen (..) van de Wet beveiliging netwerk- en informatiesystemen worden aangewezen:
a. de Informatiebeveiligingsdienst (IBD), onderdeel van VNG (Vereniging Ned.Gemeenten) Realisatie B.V.;
b. de Stichting Z-CERT;
c. SURFcert, onderdeel van SURFnet B.V.;
d. CERT Watermanagement, onderdeel van het openbaar lichaam Het Waterschapshuis .."
https://zoek.officielebekendmakingen.nl/stcrt-2020-4410.html

Dus het NCSC heeft als kerntaak het waarschuwen van de vitale infrastructuur, maar nu worden ook sinds 13 januari 2020 via deze vier CERT (computer emergency response teams) a. de gemeenten b. de gezondheidsinstellingen c. de universiteiten en d. de waterschappen gewaarschuwd.
https://www.ncsc.nl/actueel/nieuws/2020/januari/27/aanwijzing-certs

Overigens werd de oprichting van Z_CERT al in 2016 aangekondigd, en ging Z-CERT officieel van start op 24 januari 2018:
https://www.icthealth.nl/nieuws/z-cert-moet-zorg-sectorbreed-ondersteunen-cyberaanvallen/
"Al jaren blijken ICT-systemen en websites van zorginstellingen kwetsbaar voor datalekken, onder meer door cyberaanvallen. Zo heeft de sector gezondheid en welzijn volgens de Autoriteit Persoonsgegevens de meeste meldingen van datalekken gedaan sinds begin 2016 de meldplicht datalekken ging gelden, bijna 30 procent van het totaal. Het aantal meldingen van datalekken is gestaag gestegen, van ruim duizend in het eerste kwartaal van 2016 tot 2600 in het derde kwartaal van 2017."

3. Is men bij Z-CERT (maar ook bij de andere vier organisaties) niet teveel gericht op cyberaanvallen? Terwijl een grote (de grootste) kwetsbaarheid achter een toetsenbord zit (nu toevallig een goedkope callcenter medewerker die een "export" functie heeft ontdekt in de GGD systemen) ?

4. Is Marion Koopmans ook beveiligd tegen (cyber) aanvallen, nu zij in China onderzoek doet?
https://nos.nl/artikel/2364311-onderzoekers-in-wuhan-begin-van-wetenschappelijke-speurtocht-naar-ontstaan-corona.html
Of kunnen we straks lezen over "diefstal onderzoekgegevens van Erasmus Medisch Centrum en RIVM" ?
Want ik kan mij voorstellen dat zij tijdens de quarantaine periode op haar Chinese hotelkamer toch wel contact heeft onderhouden met haar thuisbasis. Welke instantie is daar verantwoordelijk voor? Z-CERT of SURF? Of toch het NCSC? AIVD? MIVD?
Hopelijk is hier het spreekwoord "Een gewaarschuwd mens telt voor twee" van toepassing.
29-01-2021, 16:50 door Anoniem
Door Anoniem: Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.

Het is de GGZ en niet de GGD.
29-01-2021, 16:58 door Anoniem
Door Anoniem: Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.

Daarover vier opmerkingen:

KNIP

Hopelijk is hier het spreekwoord "Een gewaarschuwd mens telt voor twee" van toepassing.

Goed verhaal. En wat vind je van de samenwerking tussen Z-CERT en de GGZ?
29-01-2021, 17:15 door Anoniem
Door Anoniem: Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.

Daarover vier opmerkingen:

1. Op dat moment zijn de GGD systemen al 8 maanden lek, vanaf april 2020 tot januari 2021.
Want de GGD systemen "CoronIT" (gebruikt in de test-straten) en "HPzone Light" (Engelse software voor bron- en contactonderzoek) zijn al sinds april 2020 lek, omdat de "export-functie" open staat voor alle medewerkers van het door de GGD ingehuurde callcentrum TelePerformance, die weer medewerkers inhuurt bij de uitzendbureau's Olympia en YoungCapital.
https://nos.nl/nieuwsuur/artikel/2348581-testlijnmedewerkers-kunnen-bij-persoonsgegevens-ook-als-dat-niet-mag.html
Typisch een geval waar het spreekwoord "als het kalf verdronken is dempt men de put" van toepassing is.

2. Een soortgelijk geval herkennen we in Maastricht (Clop-ransomware) en MCL Leeuwarden (Citrix). De Universiteit Maastricht liet FoxIT onderzoek doen en presenteerde het onderzoeksverslag op een symposium:
https://www.security.nl/posting/642452/Universiteit+Maastricht+werd+besmet+via+phishingmail+en+verouderde+software
https://www.security.nl/posting/642572/Fox-IT+rapport+Maastricht

Op dat symposium werd ook de rol van het NCSC toegelicht (1:07:04-1:10:05 in de YouTube video):
https://www.youtube.com/watch?v=ik-ZVvZ2-xU&feature=youtu.be
Een samenvatting van dat stukje video over de bijdrage van van het NCSC :
- Het NCSC richt zich primair op vitale processen en rijksoverheid "maar dat laat onverlet dat we andere organisaties zoals universiteiten kunnen bijstaan",
- Adviezen en richtlijnen van het NCSC staan op de website van het NCSC,
- Onlangs is een aantal organisaties waaronder SURF aangewezen als organisatie waar we vertrouwelijke informatie over dreigingen en kwetsbaarheden mee kunnen delen, dus vertrouwelijke IoC (indicator of compromise) worden gedeeld via SURF zodat zij mitigerende maatregelen kunnen nemen,
- Nu is een viertal organisaties aangewezen, dat willen we uitbreiden tot een landelijk dekkend stelsel van informatieknooppunten,
- Ook werken we samen met SURF in een Nationaal Response Netwerk, samen met de Belasting, Rijkswaterstaat en Defensie, dat als een incident zich voordoet, we elkaar kunnen bijstaan met het verlenen van capaciteit en kennis.

Vraag: Heeft u dat in deze specifieke situatie ook gedaan?
Antwoord van het NCSC: "Nee, want SURF was pas aangewezen als organisatie om informatie mee te delen nadat dit incident zich voordeed, en ook dat Nationaal Response Netwerk daar hebben we pas heel recent een convenant voor afgesloten."

Met deze vier organisaties worden bedoeld:
".. Als computercrisisteams als bedoeld in de artikelen (..) van de Wet beveiliging netwerk- en informatiesystemen worden aangewezen:
a. de Informatiebeveiligingsdienst (IBD), onderdeel van VNG (Vereniging Ned.Gemeenten) Realisatie B.V.;
b. de Stichting Z-CERT;
c. SURFcert, onderdeel van SURFnet B.V.;
d. CERT Watermanagement, onderdeel van het openbaar lichaam Het Waterschapshuis .."
https://zoek.officielebekendmakingen.nl/stcrt-2020-4410.html

Dus het NCSC heeft als kerntaak het waarschuwen van de vitale infrastructuur, maar nu worden ook sinds 13 januari 2020 via deze vier CERT (computer emergency response teams) a. de gemeenten b. de gezondheidsinstellingen c. de universiteiten en d. de waterschappen gewaarschuwd.
https://www.ncsc.nl/actueel/nieuws/2020/januari/27/aanwijzing-certs

Overigens werd de oprichting van Z_CERT al in 2016 aangekondigd, en ging Z-CERT officieel van start op 24 januari 2018:
https://www.icthealth.nl/nieuws/z-cert-moet-zorg-sectorbreed-ondersteunen-cyberaanvallen/
"Al jaren blijken ICT-systemen en websites van zorginstellingen kwetsbaar voor datalekken, onder meer door cyberaanvallen. Zo heeft de sector gezondheid en welzijn volgens de Autoriteit Persoonsgegevens de meeste meldingen van datalekken gedaan sinds begin 2016 de meldplicht datalekken ging gelden, bijna 30 procent van het totaal. Het aantal meldingen van datalekken is gestaag gestegen, van ruim duizend in het eerste kwartaal van 2016 tot 2600 in het derde kwartaal van 2017."

3. Is men bij Z-CERT (maar ook bij de andere vier organisaties) niet teveel gericht op cyberaanvallen? Terwijl een grote (de grootste) kwetsbaarheid achter een toetsenbord zit (nu toevallig een goedkope callcenter medewerker die een "export" functie heeft ontdekt in de GGD systemen) ?

4. Is Marion Koopmans ook beveiligd tegen (cyber) aanvallen, nu zij in China onderzoek doet?
https://nos.nl/artikel/2364311-onderzoekers-in-wuhan-begin-van-wetenschappelijke-speurtocht-naar-ontstaan-corona.html
Of kunnen we straks lezen over "diefstal onderzoekgegevens van Erasmus Medisch Centrum en RIVM" ?
Want ik kan mij voorstellen dat zij tijdens de quarantaine periode op haar Chinese hotelkamer toch wel contact heeft onderhouden met haar thuisbasis. Welke instantie is daar verantwoordelijk voor? Z-CERT of SURF? Of toch het NCSC? AIVD? MIVD?
Hopelijk is hier het spreekwoord "Een gewaarschuwd mens telt voor twee" van toepassing.

Het gaat over GGZ, niet over GGD.
30-01-2021, 01:54 door Anoniem
Door Anoniem: Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.

Daarover vier opmerkingen:

[knip hoop opmerking]

Je hebt duidelijk een misverstand over de rol/taak van een NCSC of Z-CERT.

Die organisaties gaan niet "de security" 'doen' van hun aangesloten partijen.
Ze zijn een kennis/advies/informatie en bij paniek hulpbron voor hun achterban.

Lees dat op https://www.z-cert.nl/diensten/


3. Is men bij Z-CERT (maar ook bij de andere vier organisaties) niet teveel gericht op cyberaanvallen? Terwijl een grote (de grootste) kwetsbaarheid achter een toetsenbord zit (nu toevallig een goedkope callcenter medewerker die een "export" functie heeft ontdekt in de GGD systemen) ?

Niemand (hopelijk) zal zeggen dat je 'klaar' bent met security als je maar aangesloten bent bij Z_CERT/NCSC/Surf-CERT/DefCERT.
Laat staan dat je je eigen security team kunt of moet opdoeken want dat doet cert team nu - zo werkt het niet.
Zorgen dat je organisatie veilig werkt - en dat je geen lekke dingen bouwt is en blijft de verantwoording van de organisatie.


4. Is Marion Koopmans ook beveiligd tegen (cyber) aanvallen, nu zij in China onderzoek doet?
https://nos.nl/artikel/2364311-onderzoekers-in-wuhan-begin-van-wetenschappelijke-speurtocht-naar-ontstaan-corona.html
Of kunnen we straks lezen over "diefstal onderzoekgegevens van Erasmus Medisch Centrum en RIVM" ?

Uh, de gegevens die in China verzameld gaan worden zijn min of meer per definitie (en afspraak) al van de Chinezen.
Je gaat daar echt geen dingen verzamelen die de Chinezen niet zelf (ook) verzameld hebben.
Alleen in interpretatie / analyse achteraf vind je misschien iets dat de Chinezen gemist hebben - of niet, en is je meerwaarde alleen dat je geen Chinees bent die het zegt.



Want ik kan mij voorstellen dat zij tijdens de quarantaine periode op haar Chinese hotelkamer toch wel contact heeft onderhouden met haar thuisbasis. Welke instantie is daar verantwoordelijk voor? Z-CERT of SURF? Of toch het NCSC? AIVD? MIVD?

De security afdeling van haar werkgever. Die eventueel aanvullend advies kunnen vragen aan Surfcert .
Het kan best dat dat betekent dat ze feitelijk geen toegang krijgt tot de normale werkomgeving totdat ze weer terug is.


Misschien dat de AIVD wat algemene adviezen heeft/geeft voor mensen met een heel hoog profiel die naar een spionage-gevoelige omgeving gaan .
Maar ik denk dat zij alleen in detail betrokken worden bij de voorbereiding van missies van landsbelang.
30-01-2021, 13:40 door Anoniem
Er verandert hierdoor dus feitelijk niets.

Als malware al vele malen superieur is aan legale software ook in de update routines, wat dan?
http://web.archive.org/web/20201111214916/https://sysdig.com/blog/hiding-linux-processes-for-fun-and-profit/

In dergelijke gevallen is dit dus allemaal mosterd na de maaltijd en wel in flinke dosis geconsumeerd.

Mosterd helpt trouwens ook bij gevallen van constipatie.

Vroeger stond op het potje niet voor niets een reiger
en ontbrak het op geen enkele Franse adellijke tafel aan de Marne bijvoorbeeld.

Nu moeten we het verhaal wel met een flinke dosis mosterd nemen,
Privacy of geen privacy, dat is de vraag vandaag.

Analoge gezondheidszorg wordt digitaal of is het uiteindelijk heel moeilijk te digitaliseren?

Wat zal het zijn en wie zal het zeggen?

Tytus (de aap)
30-01-2021, 23:02 door -Peter-
Door Anoniem: Er verandert hierdoor dus feitelijk niets.

Je weet dus niet hoe branchebrede CSIRT's werken.
Ze geven advies, verzamelen informatie en verspreiden dat onder de aangesloten organisaties. Door hun contacten zijn ze vaak al zeer vroeg op de hoogte van kwetsbaahreden en kunnen ze soms dagen van tevoren waarschuwen dat er capaciteit beschikbaar gesteld moet worden. CSIRT's wereldwijd delen ook IoC's, zodat besmettingen gedetecteerd kunnen worden, voordat er grote schade aangericht kan worden.

In het kort kun je middels een branchegerichte CSIRT (en sommige commerciele CSIRT's) veel meer aan preventie doen.

Peter
31-01-2021, 15:37 door Anoniem
Door Anoniem:
Door Anoniem: Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.

Het is de GGZ en niet de GGD.

Klopt, excuus voor dit misverstand.
GGZ = geestelijke gezondheids zorg
GGD = gemeentelijke gezondheidsdienst, tegenwoordig in regio verband georganiseerd
https://nl.wikipedia.org/wiki/Gemeentelijke_gezondheidsdienst

Mijn opmerkingen slaan op de GGD, de club van Sjaak de Gouw (bekend van zijn presentaties in diverse Technische Briefingen van de Tweede Kamer) en Andre Rouvoet (directeur van de overkoepelende organisatie GGD-GHOR sinds 26 juni 2020).

De GGZ is nu dus aangesloten bij Z-CERT, de GGD nog niet.

Onderstaand een citaat:
"... In februari van 2019 riep uw Kamer mij op om te verkennen of deelname van zorgaanbieders aan Z-CERT verplicht kan worden. Met dit middel, verplichte aansluiting, moet een betere informatiebeveiliging in de zorg bereikt worden, ook in geval een zorginstelling niet wil aansluiten. Zoals ik in mijn brief Informatieveiligheid en Privacy van oktober 2019 heb aangegeven wil ik deelname aan Z-CERT in beheerst tempo laten verlopen, zodat de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred kan houden. Om een beheerst tempo te kunnen aanhouden onderzoek ik samen met Z-CERT welke sectoren in de zorg nu de meeste risico’s lopen en baat hebben bij een versnelde aansluiting bij Z-CERT. Hiermee bereik ik een gepast tempo van aansluiten én het zoveel mogelijk terugdringen van risico’s. De eerste bevindingen wijzen er op dat de jeugdzorg (met name de gecertificeerde instellingen), de huisartsenzorg en de GGD-en prioriteit moeten krijgen bij aansluiten bij Z-CERT ...."
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2020/10/02/kamerbrief-over-vierde-brief-elektronische-gegevensuitwisseling-in-de-zorg/kamerbrief-over-vierde-brief-elektronische-gegevensuitwisseling-in-de-zorg.pdf

Dus de goede bedoelingen staan al op papier.

CERT betekent Computer Emergency Response Team, een soort ICT brandweer. Goed dat die er zijn. Maar wie helpt bij het voorkomen van de brand?

Wat mij betreft worden de volgende elementen verplicht:
- Security By Design
- Open Standaarden
- Periodieke pentesten, met Responsible Disclosure en beloning.

Anoniem van 29-01-2021, 16:07
01-02-2021, 01:07 door Anoniem
Hoi Anoniem,

De vergelijking met de brandweer is zo gek nog niet. Echter, de brandweer doet meer dan enkel een brand blussen - Ze spenderen juist veel tijd aan brandpreventie. Ik denk dat dit in dit geval niet anders is.

Er zit natuurlijk wel een verschil in bepaalde principes verplicht stellen en een bijdrage te leveren aan incidentpreventie en het verhogen van de weerbaarheid. Ook hier kun je prima vergelijkingen maken met de brandweer, als je zou willen.

Daarnaast ook de notie dat iets verplichten (zoals een lidmaatschap van Z-CERT) ook daadwerkelijk motiveert om het onderliggende probleem aan te pakken. Mijn inziens zou het beter zijn als men zich hier intrinsiek voor inzet en dan ook vrijwillig aansluit bij een partij als Z-CERT.

Als laatste, laten we vooral blij zijn dat er steeds meer aandacht en organisatie is om de weerbaarheid in deze in deze tijd kwetsbare sector te vergroten, en niet enkel kritisch zijn.
01-02-2021, 18:07 door Anoniem
Door Anoniem: Hoi Anoniem,

De vergelijking met de brandweer is zo gek nog niet. Echter, de brandweer doet meer dan enkel een brand blussen - Ze spenderen juist veel tijd aan brandpreventie. Ik denk dat dit in dit geval niet anders is.

Er zit natuurlijk wel een verschil in bepaalde principes verplicht stellen en een bijdrage te leveren aan incidentpreventie en het verhogen van de weerbaarheid. Ook hier kun je prima vergelijkingen maken met de brandweer, als je zou willen.

Daarnaast ook de notie dat iets verplichten (zoals een lidmaatschap van Z-CERT) ook daadwerkelijk motiveert om het onderliggende probleem aan te pakken. Mijn inziens zou het beter zijn als men zich hier intrinsiek voor inzet en dan ook vrijwillig aansluit bij een partij als Z-CERT.

Als laatste, laten we vooral blij zijn dat er steeds meer aandacht en organisatie is om de weerbaarheid in deze in deze tijd kwetsbare sector te vergroten, en niet enkel kritisch zijn.

Grotendeels eens.

De vergelijking met de brandweer is zo gek nog niet. Echter, de brandweer doet meer dan enkel een brand blussen - Ze spenderen juist veel tijd aan brandpreventie. Ik denk dat dit in dit geval niet anders is.
Als je de site van Z-CERT bekijkt komt dit preventie-aspect denk ik tot uitdrukking in de kennisdeling via chatgroepen?
https://www.z-cert.nl/dienst/kennisdeling/
Nu kan ik ook tegelijk de vraag beantwoorden van 29-01-2021, 16:58 door Anoniem:
Goed verhaal. En wat vind je van de samenwerking tussen Z-CERT en de GGZ?
Geen misverstand daarover: dat is een hele goede zaak. Kennisdeling met collega-beheerders is laagdrempelig, goedkoop en verloopt via korte lijnen. Daarvan kan iedere deelnemer profiteren. Mijn punt is meer dat deze samenwerking zo traag tot stand komt, en kennelijk ook incident-gedreven.
https://www.security.nl/posting/642914/Gelderse+ggz-instelling+lekt+cli%C3%ABntgegevens+door+phishingaanval
Dus ik zie toch een patroon: een groot ICT probleem leidt tot aansluiting bij een CERT.
Ransomware aanval Universiteit Maastricht -> SURF, phishingmail Gelderse GGZ en Citrix-kwetsbaarheid MCL Leeuwarden -> Z-Cert. Het datalek bij de GGD zal nu dus ongetwijfeld ook "versneld" leiden tot aansluiting bij Z-CERT. Dat bedoel ik met "Als het kalf verdronken is dempt men de put".
Daarnaast ook de notie dat iets verplichten (zoals een lidmaatschap van Z-CERT) ook daadwerkelijk motiveert om het onderliggende probleem aan te pakken. Mijn inziens zou het beter zijn als men zich hier intrinsiek voor inzet en dan ook vrijwillig aansluit bij een partij als Z-CERT.
Dit vind ik te voorzichtig, te afwachtend geformuleerd. De ziekenhuizen, GGZ-instellingen en ook de GGD beheren zeer vertrouwelijke data, dus daar mogen (moeten) ook strenge eisen aan worden gesteld. Daarom stelde ik het volgende voor:
Wat mij betreft worden de volgende elementen verplicht:
- Security By Design
- Open Standaarden
- Periodieke pentesten, met Responsible Disclosure en beloning
Want hoewel onderlinge kennisdeling prima kan uitwerken, kan het nodig zijn dat er lekken of kwetsbaarheden aanwezig zijn waar (nog) niemand van de groep kennis-delers aan heeft gedacht. Een frisse blik op de zaak van buitenaf door een audit of ethische pentester kan verhelderend werken.

Als laatste, laten we vooral blij zijn dat er steeds meer aandacht en organisatie is om de weerbaarheid in deze in deze tijd kwetsbare sector te vergroten, en niet enkel kritisch zijn.
Er zijn zeker goede ontwikkelingen gaande, zoals de recente samenwerking tussen de GGZ en Z-CERT, maar een (opbouwend bedoelde) kritische noot moet altijd mogelijk blijven. De belangen zijn te groot. Dat toont het datalek bij de GGD aan.

Het datalek bij de GGD (die niet is aangesloten bij Z-CERT) is qua omvang ongekend, tast het vertrouwen in de overheid aan, en weerhoudt mensen om zich te laten testen. Hopelijk niet, maar de kans is levensgroot aanwezig.
https://nos.nl/nieuwsuur/artikel/2366397-waakhond-stelt-ggd-onder-verscherpt-toezicht-problemen-al-maanden-bekend.html
"...Ook een commissie van het ministerie van Volksgezondheid die adviseert over IT-gebruik, waarschuwde de GGD begin december over de risico's en stelde verbeteringen voor. De GGD heeft de commissie nog niet gezegd wat zij met het advies hebben gedaan...."
Dat advies (audit-rapport?) is niet openbaar voor zover mij bekend. Staat daar iets in over de kwetsbare export/printfunctie? Als dat er wel in staat, maar niet tot actie (uitschakeling) door de GGD heeft geleid, valt dat de beleidsmakers bij de GGD te verwijten.

Het optreden van directeur Rouvoet bij Nieuwsuur waarin hij stelde dat deze export/printfunctie noodzakelijk was om "het Coronavirus te kunnen analyseren", draagt niet bij aan herstel van vertrouwen. Rouvoet begrijpt niets van "Security by Design, waarbij voor iedere gebruiker apart de (toegangs)rechten tot (delen van) het systeem worden vastgesteld.
https://www.npostart.nl/nieuwsuur/29-01-2021/VPWON_1324112

Maar binnen een dag is Rouvoet alweer bijgedraaid:
https://nos.nl/nieuwsuur/artikel/2366663-ggd-schakelt-printfunctie-toch-uit-na-datalek.html
Wie of wat heeft hem tot dit voortschrijdende inzicht gebracht?

Mijn advies aan Rouvoet: Nu nog (zo snel mogelijk) aansluiten bij Z-CERT !! En neem de adviezen en conclusies van een audit ter harte.


Anoniem van 29-01-2021, 16:07
02-02-2021, 13:44 door Anoniem
Door Anoniem van 30-01-2021, 01:54:
Door Anoniem: Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.

Daarover vier opmerkingen:

[knip hoop opmerking]

Je hebt duidelijk een misverstand over de rol/taak van een NCSC of Z-CERT.

Die organisaties gaan niet "de security" 'doen' van hun aangesloten partijen.
Ze zijn een kennis/advies/informatie en bij paniek hulpbron voor hun achterban.

Lees dat op https://www.z-cert.nl/diensten/

Dank voor deze link. Met name de kennisdeling door die door Z-CERT wordt ondersteund kon als "stille kracht" op de achtergrond wel eens zijn vruchten afwerpen. Maar om even de vergelijking met de brandweer door te trekken: de brandweer stelt ook brand-veiligheidseisen aan bijvoorbeeld gebouwen, en bij evenementen. En de naleving van die veiligheids-eisen kan afgedwongen worden. Dat mis ik nu bij Z-CERT. Het kunnen afdwingen van Security-By-Design in de ontwerpfase, of voldoende differentiatie van gebruikersrechten.

Helaas is de GGD (nog) niet aangesloten bij Z-CERT, maar ook dat zou verplicht moeten worden. Verplicht voor alle organisaties in de gezondheidszorg die werken met privacy-gevoelige data. Dat zijn ze allemaal.

Je ziet die gevaarlijke openstaande "Exportfunctie" in de systemen van de GGD, en niemand heeft daar kennelijk in de ontwerpfase een opmerking over gemaakt? Of die opmerkingen zijn in de haast van de Corona-pandemie door de programmeurs terzijde geschoven? Rouvoet is daar behoorlijk vaag over.
Een brandweer die constateert dat de vereiste brandtrap of brandhaspel ontbreekt zal de bouw kunnen afkeuren of stil leggen. Die bevoegdheid ontbreekt nu bij Z-CERT (correct me if I am wrong).

Door Anoniem van 30-01-2021, 01:54:
3. Is men bij Z-CERT (maar ook bij de andere vier organisaties) niet teveel gericht op cyberaanvallen? Terwijl een grote (de grootste) kwetsbaarheid achter een toetsenbord zit (nu toevallig een goedkope callcenter medewerker die een "export" functie heeft ontdekt in de GGD systemen) ?

Niemand (hopelijk) zal zeggen dat je 'klaar' bent met security als je maar aangesloten bent bij Z_CERT/NCSC/Surf-CERT/DefCERT.
Laat staan dat je je eigen security team kunt of moet opdoeken want dat doet cert team nu - zo werkt het niet.
Zorgen dat je organisatie veilig werkt - en dat je geen lekke dingen bouwt is en blijft de verantwoording van de organisatie.
Hmmm ... ik vind dan dat de bevoegdheid van Z-CERT moet worden uitgebreid. Wat mij betreft worden de volgende elementen verplicht en afdwingbaar door Z-CERT:
- Security By Design
- Open Standaarden
- Periodieke pentesten, met Responsible Disclosure en beloning.
Dat geldt niet alleen voor Z-CERT, maar ook voor de andere drie CERT organisaties: de Informatiebeveiligingsdienst (IBD), SURFcert, CERT Watermanagement.

Door Anoniem van 30-01-2021, 01:54:
4. Is Marion Koopmans ook beveiligd tegen (cyber) aanvallen, nu zij in China onderzoek doet?
https://nos.nl/artikel/2364311-onderzoekers-in-wuhan-begin-van-wetenschappelijke-speurtocht-naar-ontstaan-corona.html
Of kunnen we straks lezen over "diefstal onderzoekgegevens van Erasmus Medisch Centrum en RIVM" ?

Uh, de gegevens die in China verzameld gaan worden zijn min of meer per definitie (en afspraak) al van de Chinezen.
Je gaat daar echt geen dingen verzamelen die de Chinezen niet zelf (ook) verzameld hebben.
Alleen in interpretatie / analyse achteraf vind je misschien iets dat de Chinezen gemist hebben - of niet, en is je meerwaarde alleen dat je geen Chinees bent die het zegt.
Dat klopt,maar is niet wat ik bedoel.
Marion Koopmans is een autoriteit op het gebied van virussen, maar weet zij ook wat een "PineApple" is?
https://searchsecurity.techtarget.com/definition/Wi-Fi-Pineapple
Die meende ik ook te ontdekken op de hoedenplank van de huurauto die de Russische GROe geparkeerd had naast het OPCW gebouw in Den Haag.
https://nos.nl/collectie/13693/artikel/2253313-mivd-we-hebben-russische-hack-van-opcw-in-den-haag-voorkomen
Dus als Marion Koopmans op haar hotelkamer denkt een goede WiFi verbinding te hebben, lift de "MitM" gewoon mee richting de netwerken van het RIVM en het Erasmus MC.
Welke instantie met kennis van ICT beschermt Marion daartegen?

Door Anoniem van 30-01-2021, 01:54:
Want ik kan mij voorstellen dat zij tijdens de quarantaine periode op haar Chinese hotelkamer toch wel contact heeft onderhouden met haar thuisbasis. Welke instantie is daar verantwoordelijk voor? Z-CERT of SURF? Of toch het NCSC? AIVD? MIVD?
De security afdeling van haar werkgever. Die eventueel aanvullend advies kunnen vragen aan Surfcert .
Het kan best dat dat betekent dat ze feitelijk geen toegang krijgt tot de normale werkomgeving totdat ze weer terug is.

Misschien dat de AIVD wat algemene adviezen heeft/geeft voor mensen met een heel hoog profiel die naar een spionage-gevoelige omgeving gaan .
Maar ik denk dat zij alleen in detail betrokken worden bij de voorbereiding van missies van landsbelang.
Dat zou inderdaad de huidige situatie kunnen beschrijven. Ik vind dit te afwachtend. Want een meer pro-actieve houding van diverse instanties zou een hoop ellende kunnen voorkomen.

Marion Koopmans maakt op haar hotelkamer verbinding met een krachtig acces-point.
De systeembeheerder van het RIVM ziet dat Marion keurig volgens de regels inlogt ...
(en kan vervolgens nooit meer het verschil zien tussen Marion en de MitM, want ze gebruiken beide dezelfde inloggegevens).

Een software-engineer staat onder druk want de GGD wil een werkbaar programma, voor een Audit Comittee of een pentester hebben we nu even geen tijd ...
(en vervolgens worden privacy-gevoelige gegevens van op Corona geteste burgers te koop aangeboden).

Nogmaals, een meer pro-actieve houding van diverse instanties zou een hoop ellende kunnen voorkomen. We vinden het niet leuk als iedereen overal rondsnuffelt en bestanden exporteert, of dat nu een oproepkracht is in een GGD callcenter, een Rus of een Chinees.

Anoniem van 29-01-2021 16:07
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.