image

Minister onderzoekt verplichte deelname ziekenhuizen aan Z-CERT

vrijdag 8 maart 2019, 11:21 door Redactie, 16 reacties

Minister Bruins voor Medische Zorg laat onderzoeken of alle ziekenhuizen en andere zorginstellingen in Nederland verplicht moeten deelnemen aan Z-CERT, het Computer Emergency Response Team voor de zorg. Dat laat Bruins weten op vragen van 50Plus naar aanleiding van een artikel in Elsevier dat Nederlandse ziekenhuizen kwetsbaar zijn voor cyberaanvallen.

Elsevier liet securitybedrijf Cybersprint een onderzoek uitvoeren naar websites, servers en ip-adressen van de acht academische, de tien grote en de tien kleinste ziekenhuizen van Nederland. Academische ziekenhuizen blijken gemiddeld 766 websites te gebruiken. Bij één academisch ziekenhuis draaide een kwart van de websites op verouderde software. Bij vijf grote ziekenhuizen werd verouderde software aangetroffen. Ook ontdekten de onderzoekers allerlei configuratiefouten die een aanvaller zouden kunnen helpen.

Om zorginstellingen bij cybersecurity-incidenten te ondersteunen werd vorig jaar de stichting Z-CERT gestart. Z-CERT helpt instellingen ook om hun weerbaarheid op het gebied van cybersecurity structureel te verbeteren. Op dit moment zijn de diensten van Z-CERT beschikbaar voor ziekenhuizen en GGZ-instellingen. De bedoeling is dat de diensten voor de gehele zorgsector beschikbaar worden.

Z-CERT werd mede met ondersteuning van het ministerie van Volksgezondheid opgezet en Bruins vindt dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT en gaat onderzoeken of dit verplicht moet worden. "Zoals toegezegd op de aangenomen motie Ellemeet zal ik in 2019 het verplicht stellen van de deelname van zorginstellingen aan Z-CERT onderzoeken en tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Ik zal hier in de loop van het jaar op terug komen", aldus de minister.

Reacties (16)
08-03-2019, 11:36 door Anoniem
Z-CERT is weer typisch door lobby aangedragen clubje waar uitsluitend dure consultancy uren uitkomen. Toegevoegde waarde: 0.
Ja, men draait in het wild vaak verouderde software. Vaak draait men verouderde software omdat daar een goede reden voor is. Hang alles nu weer eens los het boze internet en segmenteer interne netwerken. Daanbij: gebruikersbeheer en logging.

Datalekken in de zorg gaat tegenwoordig via externe partijtjes die handgeschreven papiertjes overtypen, medewerkers die oud papier buiten zetten en via het LSP DAT VIA EEN PARTIJ IN HET BUITENLAND IS GEKOPPELD.
08-03-2019, 12:05 door Anoniem
Door Anoniem: Z-CERT is weer typisch door lobby aangedragen clubje waar uitsluitend dure consultancy uren uitkomen. Toegevoegde waarde: 0.
Ja, men draait in het wild vaak verouderde software. Vaak draait men verouderde software omdat daar een goede reden voor is. Hang alles nu weer eens los het boze internet en segmenteer interne netwerken. Daanbij: gebruikersbeheer en logging.

Datalekken in de zorg gaat tegenwoordig via externe partijtjes die handgeschreven papiertjes overtypen, medewerkers die oud papier buiten zetten en via het LSP DAT VIA EEN PARTIJ IN HET BUITENLAND IS GEKOPPELD.

Wat praat je? Als je niet weet waar je het over hebt, wees stil dan.
Z-Cert zijn professionals die zich inzetten om die shit te verbeteren, niets consultancy of iets. Zijn gewoon een eigen team met enthausiaste jonge mensen die het belangrijk vinden om de security bij de ziekenhuizen op een hoger niveau te krijgen.

Maar de rest van je post laat ook zien dat je niet echt weet waar je het over hebt... I rest my case.
08-03-2019, 12:21 door Anoniem
Bestaat er ook een serieuze dienst die ziekenhuizen n Nederland alert maakt op stomme medische fouten met kwalijke gevolgen voor de patiënt die eigenlijk niet zouden mogen gebeuren?

Lijkt me minstens zo belangrijk.
08-03-2019, 12:31 door Anoniem
Door Anoniem:
Door Anoniem: Z-CERT is weer typisch door lobby aangedragen clubje waar uitsluitend dure consultancy uren uitkomen. Toegevoegde waarde: 0.
Ja, men draait in het wild vaak verouderde software. Vaak draait men verouderde software omdat daar een goede reden voor is. Hang alles nu weer eens los het boze internet en segmenteer interne netwerken. Daanbij: gebruikersbeheer en logging.

Datalekken in de zorg gaat tegenwoordig via externe partijtjes die handgeschreven papiertjes overtypen, medewerkers die oud papier buiten zetten en via het LSP DAT VIA EEN PARTIJ IN HET BUITENLAND IS GEKOPPELD.

Wat praat je? Als je niet weet waar je het over hebt, wees stil dan.
Z-Cert zijn professionals die zich inzetten om die shit te verbeteren, niets consultancy of iets. Zijn gewoon een eigen team met enthausiaste jonge mensen die het belangrijk vinden om de security bij de ziekenhuizen op een hoger niveau te krijgen.

Maar de rest van je post laat ook zien dat je niet echt weet waar je het over hebt... I rest my case.

Agreed, hij heeft echt geen flauw benul waar hij het over heeft.
08-03-2019, 13:26 door Anoniem
Door Anoniem: Z-CERT is weer typisch door lobby aangedragen clubje waar uitsluitend dure consultancy uren uitkomen. Toegevoegde waarde: 0.
Ja, men draait in het wild vaak verouderde software. Vaak draait men verouderde software omdat daar een goede reden voor is. Hang alles nu weer eens los het boze internet en segmenteer interne netwerken. Daanbij: gebruikersbeheer en logging.

Datalekken in de zorg gaat tegenwoordig via externe partijtjes die handgeschreven papiertjes overtypen, medewerkers die oud papier buiten zetten en via het LSP DAT VIA EEN PARTIJ IN HET BUITENLAND IS GEKOPPELD.
Och hemel. Wat een 'overtuigende' bijdrage zeg.
08-03-2019, 13:39 door Anoniem
Door Anoniem: Wat praat je? Als je niet weet waar je het over hebt, wees stil dan.
Wees jij maar zelf stil, want behalve lange teentjes neem je zelf niets mee.

Maar de rest van je post laat ook zien dat je niet echt weet waar je het over hebt... I rest my case.
Dit was je kans om niet alleen te zeggen, maar ook te laten zien, dat jij het wel beter weet. Heb je niet gedaan.

Wat mij betreft is zo'n initiatiefje allemaal goed en wel, maar ziekenhuizen etc. hebben al de plicht het goed te doen, en als dit clubje daaraan bijdraagt dan zullen ze er wellicht wel bij uitkomen. Dus waarom dan die verplichting, wat voegt dat toe?

Wat maakt dit clubje nou zo bijzonder dat een verplichting over alle ziekenhuizen en andere zorgverleners uitgieten om dit clubje in te schakelen redelijk maakt? Beantwoord die vraag eens, en dan graag een beetje overtuigend.


Door Anoniem:
Agreed, hij heeft echt geen flauw benul waar hij het over heeft.
Ook jij hebt hier een kans laten schieten.
08-03-2019, 14:26 door Anoniem

Ook jij hebt hier een kans laten schieten.

Stap 1: wat betekent CERT

Stap 2: zoek zelf eens op wat een CERT doet, dat kun je prima zelf zonder hier uitleg te moeten krijgen. Dit is zo ontzettend basaal...

Stap 3: dan kom je er ook vanzelf achter waarom het zinvol is om een centrale CERT te hebben. Tipje van de sluier: geen enkel ziekenhuis kan zich een zelfstandig CERT veroorloven.

Het kan echt geen kwaad om zelf eens wat research te doen voordat je achteroverleunend in je luie stoel gaat roepen dat anderen het maar uit moeten leggen. We moeten het niveau van security.nl toch maar eens wat omhoog krijgen en de luiaards verwijderen. ;)
08-03-2019, 15:24 door Anoniem
Wat mij betreft is zo'n initiatiefje allemaal goed en wel, maar ziekenhuizen etc. hebben al de plicht het goed te doen, en als dit clubje daaraan bijdraagt dan zullen ze er wellicht wel bij uitkomen. Dus waarom dan die verplichting, wat voegt dat toe?

Het is nogal naïef om te denken dat de "plicht om het goed te doen" genoeg is om dit soort logge organisaties in beweging te krijgen, vooral omdat deze (bijna) monopolisten zich nauwelijks zorgen hoeven te maken om concurrentie. De patiënten blijven toch wel komen. Ik heb alle smoesjes voor onveilige situaties al een keer gehoord. Van de makkelijkste "het kan nu eenmaal niet anders" tot subtielere, "we hebben het risico en de kosten zorgvuldig afgewogen en besloten nu nog even niets te doen". Ik ben blij dat de overheid hier de belangen van de patiënten behartigt en er wat extra druk op zet.
08-03-2019, 17:17 door Anoniem
Datalekken in de zorg.. Modder gooien ad hominen is natuurlijk makkelijk, vooral aan een anoniempje.
Het was voorspelbaar, maar lekkere reacties weer op dit artikel.

Datalek bij patientgegevens digitaliseren: gelijk meerdere hits in enkele minuten: OLV en de IGUANA zaak.
Recent ek: ISALA.
Dit had anoniempje kunnen aandragen.

CERT, ja; verplicht en landelijk iets optuigen, liever niet.

Tegen het LSP heb ik ook wel bezwaren, maar het ver om daar nu snel een heel epistel over te schrijven.
08-03-2019, 17:25 door Anoniem
Door Anoniem:

Ook jij hebt hier een kans laten schieten.

Stap 1: wat betekent CERT

Stap 2: zoek zelf eens op wat een CERT doet, dat kun je prima zelf zonder hier uitleg te moeten krijgen. Dit is zo ontzettend basaal...
Dan is het vast doodsimpel om uit te leggen zonder je lezers te schofferen.

Stap 3: dan kom je er ook vanzelf achter waarom het zinvol is om een centrale CERT te hebben. Tipje van de sluier: geen enkel ziekenhuis kan zich een zelfstandig CERT veroorloven.
Dat weet ik niet, maar stel, dan is het iig "best practice" contact met zo'n team te onderhouden. Bijvoorbeeld het nationale. Dus waarom heeft deze branche-organisatie z'n eigen verzonnen? Da's toch dubbel werk en nodeloos duur?

Dus waarom heb je dan nog die verplichting nodig, ze komen uit eigen beweging toch wel mits ze iemand hebben om hun systemen te onderhouden. En als ze die niet hebben, heeft verplicht contact met dit ene clubje ook geen zin.

Het gaat er dus ook niet om of deze functie al dan niet nuttig is, maar of a) dit specifieke clubje daar meer nuttig kan zijn dan andere clubjes en b) er reden toe is daar een verplichting aan te hangen. Beide zaken heb je geen antwoord op gegeven. Mischien omdat je te druk was je neus in de lucht te steken zodat je erlangs naar beneden kon kijken.

Het kan echt geen kwaad om zelf eens wat research te doen voordat je achteroverleunend in je luie stoel gaat roepen dat anderen het maar uit moeten leggen. We moeten het niveau van security.nl toch maar eens wat omhoog krijgen en de luiaards verwijderen. ;)
Mischien maar beginnen met een verplichte cursus begrijpend lezen voor iedere anoniem, hm?


Door Anoniem: Het is nogal naïef om te denken dat de "plicht om het goed te doen" genoeg is om dit soort logge organisaties in beweging te krijgen, vooral omdat deze (bijna) monopolisten zich nauwelijks zorgen hoeven te maken om concurrentie.
Dit is een hele rare opmerking wat betreft de zorg aangezien de overheid daar de laatste watishet dertien jaar in volle vaart "marktwerking" heeft willen introduceren. Wat ondertussen tot wat failliete ziekenhuizen heeft geleid.

De patiënten blijven toch wel komen. Ik heb alle smoesjes voor onveilige situaties al een keer gehoord. Van de makkelijkste "het kan nu eenmaal niet anders" tot subtielere, "we hebben het risico en de kosten zorgvuldig afgewogen en besloten nu nog even niets te doen". Ik ben blij dat de overheid hier de belangen van de patiënten behartigt en er wat extra druk op zet.
Doen ze dat? Ik zie het eigenlijk niet. Ik zie namelijk wel plannen om dit clubje verplicht aan ziekenhuizen op te dringen en daarmee nog maar eens een monopolist te creëeren, maar geen duidelijke motivatie.
11-03-2019, 09:02 door Anoniem
Foute / achterhaalde informatie. Alle ziekenhuizen zijn inmiddels lid vanaf 1-1-2019 voor de duur van (voorlopig) 2 jaar via de NVZ (de Nederlandse Vereniging van Ziekenhuizen).
11-03-2019, 10:53 door Anoniem
Z-Cert zijn professionals die zich inzetten om die shit te verbeteren, niets consultancy of iets. Zijn gewoon een eigen team met enthausiaste jonge mensen die het belangrijk vinden om de security bij de ziekenhuizen op een hoger niveau te krijgen.
In mijn observering correct.
CERT, ja; verplicht en landelijk iets optuigen, liever niet.
Waar dus de enthausiaste mensen ineens een authoriteit worden.
Lijkt mij meer iets voor de werkelijke authoriteiten - waarbij het niet slecht is op de expertise van deze organisatie te leunen.
En niet zoals bij PCI compliance dat je "vinkje" min-of-meer van je licentie-afname afhangt en goedgezinde sales-managers.
11-03-2019, 14:51 door Anoniem
Door Anoniem:
Z-Cert zijn professionals die zich inzetten om die shit te verbeteren, niets consultancy of iets. Zijn gewoon een eigen team met enthausiaste jonge mensen die het belangrijk vinden om de security bij de ziekenhuizen op een hoger niveau te krijgen.
In mijn observering correct.
CERT, ja; verplicht en landelijk iets optuigen, liever niet.
Waar dus de enthausiaste mensen ineens een authoriteit worden.
Mwa, ik denk niet dat er een autoriteitspetje opgezet wordt. Een voorkeur uitgesproken dan weer wel.

En waarom zou jouw voorkeur beter zijn dan de zijne? Omdat je iets over "authoriteit"[sic] roept?

Lijkt mij meer iets voor de werkelijke authoriteiten - waarbij het niet slecht is op de expertise van deze organisatie te leunen.
Je bent wel een voorstander van WC-eend adviesjes?

En niet zoals bij PCI compliance dat je "vinkje" min-of-meer van je licentie-afname afhangt en goedgezinde sales-managers.
De ene misstand maakt de andere nog niet goed.

Ik denk dat je een hele rare jijbak probeert te richten tot iemand die expliciet geen problemen heeft met gebruikmaken van expertise maar wel een probleem heeft met dat overheidsmatig opdringen. Ik trouwens ook: Vanwaar die verplichtstelling? Niemand die dat nog heeft weten uit te leggen. Ook jij niet.
11-03-2019, 19:21 door Anoniem
De oplosssing is heel eenvoudig. Met de invoering van de NIS-Directive heeft iedere memberstate de mogelijkheid om kritische sectoren onder onafhankelijk cyber- toezicht te plaatsen. Menig land heeft daarom de zorgsector, transport zoals de Spoorwegen, scheepvaart, waterschappen, voedselvoorziening, energie als olie, gas, elektra en bijv media als nationale omroep aangewezen.
Dat scheelt per member state enorm veel gedoe per ministerie, afzonderlijke vragen, aparte onderzoeken, verschillen in benaderingen, problemen met samenwerkingen, etc etc.
Een prachtige kans ook om Europese samenwerking hier bij te betrekken zodat er een Europees level playing field ontstaat.
Zo eenvoudig. Vreemd dat ons anders zo creatieve en praktische land dat niet eventjes oppakt.
12-03-2019, 10:10 door Anoniem
En waarom zou jouw voorkeur beter zijn dan de zijne? Omdat je iets over "authoriteit"[sic] roept?
Ik ben niet direct tegenstander van anarchisme in de gezondheidszorg, maar waarom ik toch liever een authoriteit zie -welke niet blind is voor ervaring van de werkvloer- is, is om overbodige commerciele invloed buiten de deur te houden.

Je bent wel een voorstander van WC-eend adviesjes?
Nee, van democratie, controleerbaarheid, openbaarheid van bestuur versus een WC Eend Multinational B.V. met een CERT stichting als vuistdiepe facade die vervolgens de hele ziekhuissector dicteert.
Nu jij weer, want ik begrijp dat je valide argumenten hebt tegen mijn mening - of (wederom) mijn mening precies andersom weet uit te leggen?

Ik denk dat je een hele rare jijbak probeert te richten tot iemand die expliciet geen problemen heeft met gebruikmaken van expertise maar wel een probleem heeft met dat overheidsmatig opdringen. Ik trouwens ook: Vanwaar die verplichtstelling? Niemand die dat nog heeft weten uit te leggen. Ook jij niet.
Inmiddels al een beeld van mijn beeldvorming?

Maar als je het niet wilt begrijpen; omdat een ziekenhuis ook niet een compleet garagebedrijf moet willen runnen omdat ze een paar autos hebben, zoals de PTT en Politie dat ooit hadden.
Plus ik denk dat centraliseren gebundelde krachten oplevert. Een interne CERT zal onder het tapijt willen vegen. Genoeg Tegenlicht gezien om daar een beeld bij te kunnen verzinnen.
En een eigen CERT zal juist WC-eend praktijken opleveren: "wij zijn veilig, want we hebben duurbetaald personeel die dat desgevraagt kan bevestigen."
Verder ben ik bekend met de R in CERT. Staat voor in actie moeten komen als het te laat is. Nadat er gefaald is. Het lijkt mij vrij evident dat het beter is dat dat iets minder vrijblijvend dan middels een consortium-club aangepakt wordt.
12-03-2019, 17:14 door Anoniem
Door Anoniem: Inmiddels al een beeld van mijn beeldvorming?
Nee, eigenlijk helemaal niet. Wat je hier zegt strookt absoluut niet met wat je eerder zei, dus is er iets mis gegaan in de kommuniekaasie ergens.

Maar als je het niet wilt begrijpen;
Wel een beetje erg gemakkelijk om je eigen gebrek aan communicatievaardigheid als onwil van je lezers te framen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.