Z-CERT: "Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen"

Gepubliceerd op 3 december 2021 om 07:00

Interview met de directeur Wim Hafkamp en security specialist Jan Hanstede van Z-CERT door de DeCrisismanager

Je wapenen tegen cybercriminelen doe je het beste door samen te werken. Zorginstellingen, zoals ziekenhuizen en een groot deel van de GGZ, doen dat sinds 2017 in het samenwerkingsverband Z-CERT. Wat doet Z-CERT precies? En waar zien zij nog kansen voor verbetering? Een interview met de directeur Wim Hafkamp en security specialist Jan Hanstede.

Ik ontmoet Wim Hafkamp en Jan Hanstede op het Z-CERT-kantoor in hartje Amersfoort. Het is vrij stil op het kantoor. Lege bureaus domineren het beeld. “Maar schijn bedriegt”, vertelt Jan. Zo’n 30 collega’s werken, veelal vanuit huis, voor deze organisatie. “En we zijn nog altijd groeiende”, voegt Wim toe. “Steeds meer zorginstellingen en zorgkoepels sluiten zich bij ons aan. Ook groeien we doordat we steeds meer producten en diensten toevoegen.”

Kun je uitleggen wat jullie precies doen?

“Onze core business is dat we continu op zoek zijn naar kwetsbaarheden die een gevaar kunnen zijn voor de IT-systemen waar zorginstellingen mee werken. We informeren onze deelnemers over alle kwetsbaarheden die we vinden. Zo kunnen zij maatregelen nemen om te voorkomen dat zij gehackt worden.

Soms wordt een kwetsbaarheid actief misbruikt door cybercriminelen. Dan slaan we groot alarm. We nemen contact op met alle aangesloten zorginstellingen zodat ze meteen de juiste maatregelen kunnen treffen. Ook benaderen we geregeld niet-deelnemers die gevaar lopen om hen te waarschuwen.

Het is dan echt een kat- en muisspel, want de hackers weten dan ook dat er een kwetsbaarheid in één van de systemen zit. Zij zullen er alles aan doen om via die kwetsbaarheid binnen te dringen bij organisaties. Zorginstellingen die niet snel genoeg handelen, lopen een groter risico om gehackt te worden.”

Hoe gaan zorginstellingen over het algemeen met dat soort situaties om?

"Onze deelnemers pakken dat soort signalen vaak direct goed op. Zij begrijpen dat het belangrijk is om meteen maatregelen te nemen en doen dat ook.

Het is lastiger om niet-deelnemers snel te bereiken. Dan bellen we bijvoorbeeld met een huisartsenpraktijk die op dat moment gevaar loopt. Zij weten meestal niet meteen wie we zijn en waar het over gaat. Daardoor handelen ze vaak niet snel genoeg. Ook zijn de problemen veelal complex, waardoor er soms fouten worden gemaakt. Dus dan denken zorginstellingen dat zij het hebben opgelost. Maar omdat ze iets over het hoofd hebben gezien, lopen ze een langere tijd een verhoogd risico dan deelnemers die wel meteen de juiste maatregelen hebben genomen.”

Welk type zorginstellingen zijn voor jullie gevoel het meest kwetsbaar bij zo’n dreiging?

“Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen. Dat komt omdat zij minder feeling hebben met IT. Vaak hebben zij de IT uitbesteed en liften ze mee op de beveiliging van hun leverancier. Ze vertrouwen erop dat hun leverancier de cybersecurity op orde heeft. Dat is lang niet altijd het geval.”

Hoe weet je dat je met een leverancier werkt die zijn cybersecurity op orde heeft?

“In ieder geval niet door volledig te vertrouwen op een certificaat. Het is goed als een organisatie bijvoorbeeld ISO 27001 of NEN-75 gecertificeerd is. Dit is een goede kapstok waarlangs de security van organisatie opgebouwd kan worden. Echter dit moet niet het enigste zijn. Een ISO-certificaat geeft namelijk alleen weer dát een leverancier cybersecurity-maatregelen heeft genomen. In de norm staat niet omschreven hóe hij dat moet doen.

Om een voorbeeld te geven: in de NEN 7510-norm staat dat een leverancier back-ups moet maken. Maar er staat niet in omschreven hoe vaak hij dat moet doen en waar die back-ups staan. Als die back-ups online bewaard worden, loop je als zorginstelling nog steeds het risico dat ze bij een hack vernietigd worden.

Daarom is het, bij het selecteren van een leverancier, belangrijk om de juiste vragen te stellen. Komen zij bijvoorbeeld meteen in actie als wij een kwetsbaarheid aan hen doorgeven? Of handelen ze alle kwetsbaarheden eens per maand af? Misschien is het als zorginstelling lastig om de juiste vragen te stellen. Je hebt enige kennis van IT nodig om goed te doorgronden wat een leverancier daadwerkelijk voor je doet. Daarom kan het raadzaam zijn om een adviseur te vragen om te helpen.”

Hoe vaak worden zorginstellingen aangevallen?

“Zorginstellingen worden dagelijks aangevallen, bijvoorbeeld met kwaadaardige mail. Meestal wordt dat onderschept. Toch zijn er het hele jaar door ook serieuze incidenten, zoals een succesvolle aanval met gijzelsoftware of een gehackte mailbox van een bestuurder. Eens per twee of drie maanden komen er zeer ernstige kwetsbaarheden aan het licht, zoals we dat bijvoorbeeld gezien hebben met Citrix en Microsoft Exchange.”

Hoe gaan jullie om met die serieuze incidenten?

“Dan nemen we maatregelen. Bij een phishing-mail halen we bijvoorbeeld de domeinnaam uit de lucht, zodat anderen geen slachtoffer meer kunnen worden. Ook helpen we de getroffen zorginstelling met het doen van aangifte. En we waarschuwen de andere deelnemers zodat ook zij weten dat deze mail rond gaat. Daardoor kunnen zij daar extra alert op zijn.”

Sinds vorig jaar werken jullie ook met een ZorgDetectieNetwerk (ZDN). Hoe werkt dat?

“Dat is echt ons paradepaardje. Grote zorginstellingen, zoals ziekenhuizen, monitoren continu hun eigen systemen. Als cybercriminelen hun systemen benaderen, zien zij dat gebeuren. Deze cybercriminelen laten een digitaal spoor achter. De zorginstellingen zien bijvoorbeeld door welk IP-adres ze benaderd zijn en welke kenmerken dat IP-adres heeft.

Het is belangrijk om die digitale sporen snel met elkaar te delen. Zo weten ook andere zorginstellingen dat zij dit IP-adres moeten weren. Om het delen van die informatie zo snel mogelijk te laten verlopen, hebben zo’n 70 grote zorginstellingen hun monitoringsysteem aangesloten op ons ZorgDetectieNetwerk. Via deze applicatie kunnen zij hun digitale sporen direct met elkaar delen. We zijn hier vorig jaar mee gestart en we zagen meteen dat het werkte. Een van onze deelnemers werd aangevallen en het spoor werd direct gedeeld. Zo’n 5 minuten later probeerde de hacker het bij een andere zorginstelling. Hij had daar geen kans van slagen meer, omdat het systeem van de tweede zorginstelling hem herkende en uit het systeem weerde.”

Dat is een mooie ontwikkeling. Zijn er meer initiatieven waar jullie mee bezig zijn?

“We zijn bezig met het opzetten van een red team-programma voor onze leden. Het doel van dit programma is het structureel verhogen van de weerbaarheid van de deelnemende zorginstellingen door de cybersecurity te testen tegen realistische dreigingen in een dagelijkse operationele (ICT-)omgeving van de instellingen. Met andere woorden zorginstellingen worden gehackt op een manier die we ook in het echt vaak zien. Daar leert de zorginstelling heel veel van. In de financiële sector in Nederland gebeurt dit al een aantal jaren. We zouden het goed vinden om dit ook voor onze leden te doen.”

Zorginstellingen kunnen ook een commerciële partij vragen om een red team-actie bij hen uit te voeren. Welk voordeel heeft het om mee te doen met een red team-programma dat door jullie gecoördineerd wordt?

“Het grote voordeel is dat wij hun systemen kennen. Ook een vriendelijke hacker kan schade toebrengen aan ICT-systemen. Zeker in de zorg kan dat ernstige gevolgen hebben. Wij kennen de systemen in de zorg goed, waardoor we een programma zorgvuldig kunnen opzetten en mogelijke schade kunnen voorkomen. Ook is het gemakkelijker om de lessons learned van de diverse testen met elkaar te delen, als wij het programma coördineren.”

Wanneer willen jullie hiermee starten?

“We zijn nu de haalbaarheid aan het onderzoeken. Vervolgens leggen we dit voor aan het Ministerie van VWS en de aangesloten zorginstellingen. Als zij hun commitment geven en voldoende financiële middelen ter beschikking stellen, kunnen we het volgend jaar al van start laten gaan.”

Hebben jullie meer ambities?

“We willen onze rol als expertisecentrum op het gebied van cybersecurity voor zorginstellingen nog verder uitbreiden. Daarom organiseren we seminars en verspreiden we whitepapers. Ook beheren we online community’s waarin de deelnemers kennis met elkaar kunnen delen.”

Is er ook nog iets wat jullie missen in het cybersecurity-landschap in Nederland?

“Ja. Een gecoördineerde aanpak, zoals je dat bij andere dreigingen ook hebt. Bij een brand heb je in Nederland een goed GRIP-systeem waarbij je steeds hoger kunt opschalen. Voor cybersecurity is dat er niet en dat is een gemis. Ook bij een grote cyberaanval is het belangrijk om op te schalen en beter met elkaar samen te werken. Wij zijn niet de aangewezen partij om zo’n gecoördineerde aanpak op te zetten. Het zou bijvoorbeeld wel passen bij de veiligheidsregio’s, de NCTV of het NCSC.”

Is er nog een laatste advies dat je graag aan zorginstellingen zou willen geven?

“Ja. Sluit je bij ons aan. Deelnemers betalen weliswaar een onkostenvergoeding maar we zijn geen commerciële partij. Dus we zeggen dit niet omdat we eraan willen verdienen. Maar als een zorginstelling zich bij ons heeft aangesloten, hebben we een contactpersoon. Daardoor kunnen we hen bij een grote dreiging sneller bereiken en ondersteunen.

En als tweede: deel zo veel mogelijk informatie met ons. Dit klinkt misschien als een open deur, maar het is wel belangrijk. Hoe meer informatie we krijgen, hoe sneller we kunnen reageren en hoe groter de kans is dat we een cyberaanval kunnen voorkomen.”

Bron: decrisismanager.nl | Maaike Tindemans

Zorg gerelateerde artikelen 》

 

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Rapporten bekijken of downloaden 》

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws

Koninklijke Reesink: waarschijnlijk gaat het om miljoenen euro’s

De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval. 

Lees meer »

'Elke 7,5 seconden verschijnt er een nieuwe malware Android-app'

Deze week heeft G Data CyberDefense weer zijn jaarlijkse mobile malware analyse uitgebracht. Hieruit blijkt dat er opnieuw een negatief record is aan Android-malware. Het afgelopen jaar identificeerden experts maar liefst 4.18 miljoen nieuwe schadelijke Android-malware apps. Vorig jaar was er ook al een record te melden en lag de hoeveelheid op 4.12 miljoen.

Lees meer »

De Belastingdienst "Uw openstaande schuld is na meerdere herinneringen niet voldaan"

Momenteel komen er veel vragen binnen bij Cybercrimeinfo.nl over het betalen van belastingschuld, de meeste berichten beginnen met "Uw openstaande schuld is na meerdere herinneringen niet voldaan", zo begint een phishing bericht meestal dat recentelijk uit naam van de Belastingdienst werd verstuurd en het is niet de enige. De afgelopen weken ontving de fiscus veel meer meldingen van phishing dan normaal. Het gaat zowel om e-mails als sms'jes, phishing en smishing dus.

Lees meer »

Ethical Hacker PH-CybSec: "Mijn meest dankbare Hack"

Etisch hacker PH-SybSec antwoord meestal met een knipoog en een brede lach, als iemand aan hem vraagt: “Wat doe jij nu eigenlijk precies voor werk?” Eigenlijk ben ik een “legale crimineel!” Ik denk als een boef, maar met het doel om mensen en bedrijven te helpen hun computerbeveiliging te verbeteren. Hacken is per definitie illegaal, mits je vooraf duidelijke toestemming hebt om een hack uit te voeren en is overeengekomen wat er wel en niet bij het onderzoek hoort. Dat heet White-Hat hacken.

Lees meer »

700 aangiften per week "In eerste vier maanden 2020 al meer dan geheel 2019"

De afgelopen maanden is het aantal meldingen en slachtoffers van 'hulpvraagoplichting' sterk toegenomen. Vooral sinds we sociale media als gevolg van de corona-lockdown veel intensiever gebruiken om met vrienden en familie in contact te blijven, slaan oplichters grootschalig toe. De Fraudehelpdesk heeft in de eerste vier maanden van 2020 al meer meldingen over hulpvraagoplichting ontvangen dan in heel 2019. Sinds het eind april mogelijk werd om online aangifte te doen van 'vriend-in-noodoplichting', is het aantal aangiften toegenomen van 300 naar 700 per week. Nederlandse banken hebben in de lockdown-maanden maart, april en mei van dit jaar ruwweg drie keer zoveel meldingen van oplichting via sociale media ontvangen als in de laatste drie maanden van 2019. In mei ontvingen de banken naar schatting zo’n 70 meldingen per dag.

Lees meer »

Politie betrekt Tweakers bij opsporing

Onder de naam ‘Blueweb’ start de politie vanaf 8 juni 2020 een samenwerking met het grootste technologieplatform van Nederland: Tweakers. ‘We vragen communityleden van technologieplatform Tweakers mee te denken in cybercrime-onderzoeken. Daarmee willen we misdrijven proberen op te lossen,’ zegt Franki Klarenbeek, coördinator van het Landelijk Team Opsporingscommunicatie van de politie.

Lees meer »

IT bedrijf moet ransomware schade door zwakke beveiliging betalen

Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.

Lees meer »