image

Zorro-test moet digitale weerbaarheid Nederlandse ziekenhuizen vergroten

dinsdag 25 januari 2022, 12:26 door Redactie, 3 reacties

Om de digitale weerbaarheid van Nederlandse ziekenhuizen en zorginstellingen te vergroten is er een nieuw framework ontwikkeld dat eind vorig jaar voor het eerst bij het Antoni van Leeuwenhoek ziekenhuis is ingezet. Het Zorro-framework, wat staat voor "ZOrg Redteaming Resilience Oefeningen", heeft als doel om de digitale weerbaarheid van deelnemende zorginstellingen en de zorgsector in zijn geheel structureel te verhogen.

Tijdens een Zorro-test worden de cybersecurity en weerbaarheid van de operationele omgeving van de zorginstelling met realistische dreigingen en scenario's getest. Op een klein kernteam binnen de zorginstelling na wordt tijdens een Zorro-test niemand over de gesimuleerde aanval geïnformeerd. Ook het securityteam of Security Operations Center (SOC) zijn niet op de hoogte.

Hierdoor zou een Zorro-test een realistisch beeld van de detectie- en verdedigingscapaciteit van de instelling moeten opleveren. Na afloop van de test wordt die in een gezamenlijke sessie geëvalueerd en waar mogelijk nagespeeld. "In de praktijk levert dit goede inzichten op waarmee de instelling zijn beveiliging verder kan verstevigen, met een focus op de maatregelen die er echt toe doen", stelt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg dat Zorro samen met de Nederlandse zorgsector ontwikkelde.

"Omdat in een ‘live’ omgeving wordt gewerkt, staan risicobeheersing en patiëntveiligheid altijd voorop tijdens een Zorro-test", zo laat Z-CERT verder weten. Voor het uitvoeren van de test wordt gebruikgemaakt van commerciële partijen. Z-CERT zal het Zorro-programma verder doorontwikkelen en stelt het framework dit jaar open voor meer deelnemers. Een aantal zorginstellingen heeft inmiddels aangegeven in de komende jaren deel te zullen nemen.

Reacties (3)
25-01-2022, 17:06 door Anoniem
Echt een goede stap, had al veel eerder moeten gebeuren.
Gaat zeker weten bij heel veel organisaties erg "boeiende" resultaten opleveren.
Nou hopen dat Z-Cert rapportage over een en ander kan en mag publiceren (natuurlijk zonder specifieke zaken of organisaties te noemen, maar over de toestand qua beveiliging in "zorgland").
26-01-2022, 13:30 door Anoniem
Z-CERT kan beter in zetten op het patchbeleid van software leveranciers in de zorg.
Veel wordt nog gewerkt met software dat zo oud is als de weg naar Rome. leveranciers zeggen dan, FDA approved dus mag je niet patchen. XP is nog normaal voor veel leveranciers ook oude java versies, of adobe reader of 2012 ingebakken in de software zodra je upgrade doet de software het niet meer. meer regel dan uitzondering in de zorg. Vorig jaar werd er bij een Device nog een rack met 2012R2 naar binnen gereden als 'State of the art ' proberen dit tegen te houden werd als onbelangrijk door het management beschouwd. 'we hebben toch een firewall'
27-01-2022, 11:02 door Anoniem
Door Anoniem: Z-CERT kan beter in zetten op het patchbeleid van software leveranciers in de zorg.
Veel wordt nog gewerkt met software dat zo oud is als de weg naar Rome. leveranciers zeggen dan, FDA approved dus mag je niet patchen. XP is nog normaal voor veel leveranciers ook oude java versies, of adobe reader of 2012 ingebakken in de software zodra je upgrade doet de software het niet meer. meer regel dan uitzondering in de zorg. Vorig jaar werd er bij een Device nog een rack met 2012R2 naar binnen gereden als 'State of the art ' proberen dit tegen te houden werd als onbelangrijk door het management beschouwd. 'we hebben toch een firewall'

Helemaal eens, patching/lifecycle management is een van de grote uitdagingen in de zorg.
Feit is wel dat apparatuur een langere levensduur heeft dan "normaal" is in IT. Dat speelt ook in de energiesector en bij maak-bedrijven - apparatuur moet soms 30 jaar of langer meegaan.
Op zich hoeft dat geen probleem te zijn voor (cyber)beveiliging, alleen moet dat soort apparatuur dan in echt gescheiden zones staan. "Echt gescheiden" == niet alleen achter een firewall (ja, die reactie heb ook ik al vaak gehoord...), maar in een aparte zone met aparte identiteiten en aparte beheertools. Dat kost meer en is ook op sommige punten lastiger in gebruik, maar het is geen optie meer. Want met stokoude Unix, Windows, Java, Oracle, etc versies in de kantooromgeving is het eigenlijk geen inbraak meer.
In de praktijk zie ik in de zorg dat ICT primair op gebruiksgemak is ingericht - en struktureel veel te weinig mensen en geld heeft om beveiliging serieus in te vullen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.