Zorro-test moet digitale weerbaarheid Nederlandse ziekenhuizen vergroten
Om de digitale weerbaarheid van Nederlandse ziekenhuizen en zorginstellingen te vergroten is er een nieuw framework ontwikkeld dat eind vorig jaar voor het eerst bij het Antoni van Leeuwenhoek ziekenhuis is ingezet. Het Zorro-framework, wat staat voor "ZOrg Redteaming Resilience Oefeningen", heeft als doel om de digitale weerbaarheid van deelnemende zorginstellingen en de zorgsector in zijn geheel structureel te verhogen.
Tijdens een Zorro-test worden de cybersecurity en weerbaarheid van de operationele omgeving van de zorginstelling met realistische dreigingen en scenario's getest. Op een klein kernteam binnen de zorginstelling na wordt tijdens een Zorro-test niemand over de gesimuleerde aanval geïnformeerd. Ook het securityteam of Security Operations Center (SOC) zijn niet op de hoogte.
Hierdoor zou een Zorro-test een realistisch beeld van de detectie- en verdedigingscapaciteit van de instelling moeten opleveren. Na afloop van de test wordt die in een gezamenlijke sessie geëvalueerd en waar mogelijk nagespeeld. "In de praktijk levert dit goede inzichten op waarmee de instelling zijn beveiliging verder kan verstevigen, met een focus op de maatregelen die er echt toe doen", stelt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg dat Zorro samen met de Nederlandse zorgsector ontwikkelde.
"Omdat in een ‘live’ omgeving wordt gewerkt, staan risicobeheersing en patiëntveiligheid altijd voorop tijdens een Zorro-test", zo laat Z-CERT verder weten. Voor het uitvoeren van de test wordt gebruikgemaakt van commerciële partijen. Z-CERT zal het Zorro-programma verder doorontwikkelen en stelt het framework dit jaar open voor meer deelnemers. Een aantal zorginstellingen heeft inmiddels aangegeven in de komende jaren deel te zullen nemen.
Gaat zeker weten bij heel veel organisaties erg "boeiende" resultaten opleveren.
Nou hopen dat Z-Cert rapportage over een en ander kan en mag publiceren (natuurlijk zonder specifieke zaken of organisaties te noemen, maar over de toestand qua beveiliging in "zorgland").
Veel wordt nog gewerkt met software dat zo oud is als de weg naar Rome. leveranciers zeggen dan, FDA approved dus mag je niet patchen. XP is nog normaal voor veel leveranciers ook oude java versies, of adobe reader of 2012 ingebakken in de software zodra je upgrade doet de software het niet meer. meer regel dan uitzondering in de zorg. Vorig jaar werd er bij een Device nog een rack met 2012R2 naar binnen gereden als 'State of the art ' proberen dit tegen te houden werd als onbelangrijk door het management beschouwd. 'we hebben toch een firewall'
Veel wordt nog gewerkt met software dat zo oud is als de weg naar Rome. leveranciers zeggen dan, FDA approved dus mag je niet patchen. XP is nog normaal voor veel leveranciers ook oude java versies, of adobe reader of 2012 ingebakken in de software zodra je upgrade doet de software het niet meer. meer regel dan uitzondering in de zorg. Vorig jaar werd er bij een Device nog een rack met 2012R2 naar binnen gereden als 'State of the art ' proberen dit tegen te houden werd als onbelangrijk door het management beschouwd. 'we hebben toch een firewall'
Helemaal eens, patching/lifecycle management is een van de grote uitdagingen in de zorg.
Feit is wel dat apparatuur een langere levensduur heeft dan "normaal" is in IT. Dat speelt ook in de energiesector en bij maak-bedrijven - apparatuur moet soms 30 jaar of langer meegaan.
Op zich hoeft dat geen probleem te zijn voor (cyber)beveiliging, alleen moet dat soort apparatuur dan in echt gescheiden zones staan. "Echt gescheiden" == niet alleen achter een firewall (ja, die reactie heb ook ik al vaak gehoord...), maar in een aparte zone met aparte identiteiten en aparte beheertools. Dat kost meer en is ook op sommige punten lastiger in gebruik, maar het is geen optie meer. Want met stokoude Unix, Windows, Java, Oracle, etc versies in de kantooromgeving is het eigenlijk geen inbraak meer.
In de praktijk zie ik in de zorg dat ICT primair op gebruiksgemak is ingericht - en struktureel veel te weinig mensen en geld heeft om beveiliging serieus in te vullen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
