Tekst BKB
Foto Aron Vellekoop León, Moze Mertens & Robin Utrecht
Jeroen Vulto (CISO en privacy officer bij Bernhoven, ziekenhuis voor de regio Oss, Uden, Meierijstad) en Steven van Baardewijk (ISO en security specialist bij Z-CERT) vertellen hoe de samenwerking tussen Z-CERT en het NCSC de afgelopen maanden in een stroomversnelling is geraakt en hoe zij zich samen en binnen de eigen organisatie ingezet hebben om een digitale crisis bovenop een medische crisis te voorkomen.
Sinds begin dit jaar bestaat er een ministeriële regeling waardoor intensievere informatie-uitwisseling tussen het Nationaal Cyber Security Centrum (NCSC) en vier sectorale computercrisisteams wettelijk mogelijk is: met die van gemeenten, waterschappen, zorg en onderwijs & onderzoek. Een belangrijke stap op weg naar een Landelijk Dekkend Stelsel waarin publieke en private partijen informatie en kennis uitwisselen. Voor de zorgsector werd deze aanwijzing eind februari plotseling extra relevant.
Steven: “Het was al snel duidelijk dat bepaalde criminele partijen wilden inspringen op deze coronacrisis. Je zag bijvoorbeeld dat ziekenhuizen in het buitenland slachtoffer werden van ransomware en ook in Nederland zag je een toename van het aantal phishing e-mails met COVID als onderwerp. We maakten ons zorgen over onze ziekenhuizen, maar bijvoorbeeld ook over instellingen die onderzoek doen naar een vaccin.”
Jeroen: “De digitalisering in ziekenhuizen is vergevorderd. De beschikbaarheidseisen voor onze online systemen, zoals het Elektronisch Patiëntendossier (EPD), werden door de coronacrisis groter. Dat maakt je als ziekenhuis extra bewust van het belang van digitale veiligheid. Juist tijdens een crisis als deze kun je niet hebben dat je ziekenhuis plat gaat.”
Steven: “Wij zijn met Z-CERT aan het begin van de crisis als het ware preventief opgeschaald in onze samenwerking met het NCSC. De bereidheid om te helpen was meteen groot. Ons belangrijkste doel: meer relevante informatie op een veilige manier bij instellingen krijgen, zodat ze criminelen buiten kunnen houden. Vaak zijn ziekenhuizen geen bewust doelwit. Het NCSC heeft als nationaal CERT een breder blikveld op het cyberdomein en toegang tot informatiestromen die voor de zorg van belang kunnen zijn. Daarom was en is de aansluiting van ziekenhuizen op het Nationaal Detectie Netwerk (NDN) via het Zorg Detectie Netwerk (ZDN) en Z-CERT zo belangrijk.”
Jeroen: “Ons ziekenhuis stond in de brandhaard van corona. We hadden al snel een crisisorganisatie die werkte aan het vergroten van de capaciteit voor coronapatiënten. In no time werd er een hele nieuwe organisatie uit de grond gestampt. Er werd extra IC-capaciteit gecreëerd, er kwam nieuw personeel en bestaand personeel kreeg andere functies. Daardoor was ook veel extra werk voor onze ICT-afdeling: van de inrichting van extra IC-ruimten tot personeel toegang verschaffen tot systemen. Updates en vernieuwingstrajecten hebben we toen on hold gezet, tenzij ze relevant waren voor de doorgang van de zorg. We hadden al genoeg aan ons hoofd en wilden absoluut geen tijd verdoen aan ICT-systemen die omvallen door niet noodzakelijke wijzigingen.
“Er kwamen ook allerlei nieuwe informatie-uitwisselingen op gang, zoals met de GGD en landelijke uitwisselingssystemen voor zorgcapaciteit en verwijzen van patiënten. De systemen en procedures die we daarvoor gebruiken, moeten veilig zijn. Daarin is Z-CERT een belangrijke partner geweest. Zij hebben systemen voor ziekenhuizen centraal gecontroleerd en ons geadviseerd om aansluiting op het NDN via het ZDN mogelijk te maken.”
Steven: “Tot aan de coronacrisis gebruikten we voornamelijk twee self-hosted chatkanalen op Mattermost om informatie over Indicators of Compromise (IOC’s) te delen met de ons netwerk. Zo’n chatkanaal werkt goed, maar is niet geautomatiseerd. Als je op grote schaal informatie wilt delen, is bij de ontvanger een bepaalde interne infrastructuur nodig of aansluiting bij bijvoorbeeld een Managed Security Service Provider (MSSP) of Security Operations Center (SOC). Dat was bij lang niet iedere organisatie al geregeld, dus daar lag een grote uitdaging. Iedere instelling is anders georganiseerd en we proberen elke instelling te helpen op een manier die bij hen past. Dat is veel maatwerk.”
In 2019...
- Hebben de deelnemers van Z-CERT 176 keer een incident gemeld;
- Heeft Z-CERT in totaal 105 deelnemers;
- Had Z-CERT 9 medewerkers. In 2020 zijn dit er 15.
Zie de infographic voor meer gegevens.
Jeroen: “Wij hebben in ons ziekenhuis bijvoorbeeld niet de expertise en capaciteit in huis voor 24-uurs monitoring. Daarom hebben we ervoor gekozen een belangrijk deel extern te beleggen bij een SOC. We waren daar al mee bezig toen de coronacrisis uitbrak. Om informatie van Z-CERT te kunnen ontvangen, is dit proces in een hogere versnelling gezet. Informatiebeveiliging was al een belangrijk onderdeel van de bedrijfsvoering van ziekenhuizen, maar de ontwikkeling van de informatiebeveiligingsorganisatie heeft door deze crisis een extra impuls gekregen.”
Steven: “Nu de ziekenhuizen via het ZDN aangesloten zijn op het NDN is het zaak om de wederkerigheid van informatiestromen goed op gang te brengen. Wij proberen voor de zorg een zo compleet mogelijk plaatje te krijgen van wat er in Nederland speelt. Het NCSC doet dat voor haar doelgroepen. Als indicatoren door het NCSC worden gedeeld en wij die bij ons ook zien, kunnen wij dat terugmelden. Op die manier kun je een zo compleet mogelijk dreigingsbeeld creëren."
Martijn Jonk (Coördinator Landelijk Dekkend Stelsel en voorzitter kernteam COVID-19 bij het NCSC) over de samenwerking met Z-CERT:
“Ziekenhuizen werkten de afgelopen periode op de toppen van hun kunnen. Ons was er alles aan gelegen om te voorkomen dat zij niet ook nog eens een cybercrisis voor de kiezen zouden krijgen. We wilden bijdragen aan hun digitale weerbaarheid door ziekenhuizen van de juiste informatie te voorzien en hen versneld aan te sluiten op relevante NCSC-dienstverlening, zoals onze dienst die risico-informatie deelt, Megatron, en het Nationaal Detectie Netwerk. Het was logisch om dat via Z-CERT te doen: met de ministeriele aanwijzing van sectorale CERT’s waren de juridische hobbels voor samenwerking al genomen. Door de coronacrisis hebben we de praktische hobbels, zoals alle technische aspecten die komen kijken bij het aansluiten op NCSC-informatievoorziening en -dienstverlening, nog sneller kunnen nemen. Een geluk bij een ongeluk zou je kunnen zeggen.”
“We willen nadrukkelijk de samenwerking aangaan: niet alleen informatie zenden, maar ook sparringpartner zijn. Z-CERT heeft kennis van de eigen sector, van de applicaties die daar draaien, van werkwijzen en organisatiestructuren. Ze zijn daardoor voor ons van toegevoegde waarde. Wij kunnen hen vanuit onze rol als expertisecentrum en nationaal contactpunt van zoveel mogelijk relevante informatie voorzien. Veel cyberdreigingen, zoals ransomware, zijn immers vaak niet sectorspecifiek. Het mooie is dat we met de informatie die terugkomt van Z-CERT weer een verschil kunnen maken voor andere sectoren. De samenwerking vormt een belangrijke bouwsteen voor het landelijk dekkend stelsel.”
“Hier geldt: hoe meer informatie, hoe beter. Binnen de zorg moet dit bewustzijn nog groeien, maar dat is een kwestie van tijd en van vertrouwen winnen. Sommige partijen zijn bijvoorbeeld nog huiverig om informatie te delen. Dat moeten we respecteren, maar we moedigen wel aan om informatie, desnoods anoniem, te delen. Wat nu nog een kabbelend beekje is, moet uitgroeien tot een stroom van relevante informatie.”
Jeroen: “Ik vind het fijn dat mensen nu zien dat zorgsector vitaal kan zijn voor Nederland. Als ik een ding heb geleerd van deze crisis is het dat als iedereen dezelfde focus heeft, je veel sneller kunt schakelen en veel gedaan kunt krijgen. ‘Never waste a good crisis’, zeggen ze weleens. Inmiddels wordt de reguliere zorg weer opgestart en krijgen mensen weer andere dingen aan hun hoofd. Dat is natuurlijk positief, maar die focus raak je dan langzaamaan weer kwijt. Gelukkig is er de afgelopen tijd flink wat in gang gezet waar we op kunnen voortbouwen.”
Steven: “Ja een flinke crisis kan goed zijn voor de informatiebeveiliging, dat is andermaal bevestigd. Je wilt geen crisis natuurlijk, maar ze brengt wel sneller vooruitgang. Z-CERT bestaat relatief kort: pas drie jaar. Ons netwerk breidt zich langzamerhand uit, dat gaat ook vaak naar aanleiding van incidenten. Organisaties melden zich bij ons als ze een probleem hebben. Het gebeurt bijvoorbeeld weleens dat een niet aan Z-CERT gekoppelde zorginstelling geïnfecteerd is en een van onze aangesloten zorginstellingen onbewust aan het spammen is. Dan bellen we die onbekende instelling om hen te waarschuwen. Het is voor hen dan wel even schrikken om een wildvreemde aan de telefoon te krijgen over zoiets kwetsbaars als informatiebeveiliging. Maar vaak is het ook het begin van een samenwerking."
“We hebben nu veel ziekenhuizen in ons netwerk, maar er zijn nog 10.000 organisaties in Nederland die niet bij ons zijn aangesloten, met name in de GGZ, de langdurige zorg en de eerstelijnszorg. Voor kleinere zorgorganisaties, zoals lokale huisartsenpraktijken, zullen onze inhoudelijke en veelal zeer technische adviezen waarschijnlijk niet opportuun zijn. Maar we onderzoeken hoe we ook voor hen relevant kunnen worden en ook zij kunnen nu al bij ons terecht voor advies. Voor zorgorganisaties in het algemeen is het goed te weten dat wij bestaan. Ik nodig ze bij deze van harte uit zich aan te sluiten. Verder hoop ik dat we snel stappen kunnen maken met de aansluiting op het Nationaal Responsnetwerk dat incidenten oppakt. Daar zou de zorg erg gebaat bij zijn.”