Kwetsbaarheden in de digitale zorg-infrastructuur kunnen leiden tot bijvoorbeeld ‘ransomware aanvallen’ waardoor hele ziekenhuizen op slot gaan of datadiefstal waarbij onderzoeks- of patiëntengegevens op straat komen te liggen. Stichting ZCERT rolt momenteel ZORRO-tests uit bij een aantal grotere ziekenhuizen. Daarmee worden op maat voor elke organisatie de kwetsbaarheden blootgelegd.
ZORRO staat voor ‘ZOrg Redteaming Resilience Oefeningen’ een methodiek waarin een extern ‘red team’ een onaangekondigde maatwerkaanval uitvoert binnen een zorgorganisatie. De eerste test is eind 2021 afgerond in het Antoni van Leeuwenhoek (AVL). Sinds begin 2022 is de ZORROmethodiek breed beschikbaar gemaakt voor de deelnemers van ZCERT. Naar verwachting hebben eind 2023 zo’n vijf à tien grote zorgorganisaties het hele testtraject doorlopen.
Scenario vanuit dreigingsanalyse
Marcel Tegelaar van ZCERT: “ZORRO is afgeleid van TIBER, een beproefde manier van testen in de financiële sector. ZORRO is aangepast aan de zorgsector, waar de budgetten en security teams vaak kleiner zijn. We gebruiken zorgspecifieke scenario’s en kijken per organisatie welke dreigingen te verwachten zijn om zo een echte aanval te kunnen simuleren. ZCERT maakt een dreigingsanalyse waarin uitgezocht wordt wat het aanvalsoppervlak van de organisatie is, hoe een reële aanvaller binnen kan komen en welke route hij zou volgen binnen de digitale infrastructuur. Daarbij kijken we welke bedreigingen en aanvalsgroepen actueel zijn voor dit type organisatie. Wat zijn de doelen van deze aanvaller? Hoe geavanceerd is deze groep? En wat is hun werkwijze? Naast cybercrimegroepen die zich richten op afpersing met ransomware, zijn statelijke actoren (door staten aangestuurde personen, groepen of organisaties) actief die de dienstverlening willen verstoren. Ook onderzoeksonderdelen kunnen doelwit zijn.” Nadat de analyse is gemaakt, werkt ZCERT een scenario uit voor het begin van de aanval. Daarin staat wat er in de test aangevallen wordt en hoe. Het kan bijvoorbeeld beginnen met een phishing mail. Dit scenario gaat naar het externe red team, dat vervolgens de verdere aanvalsroute uitstippelt en de aanval uitvoert.
‘De instelling is eigenaar van de test en van de testresultaten’
Geheim
ZORROtesten blijven voor het grootste gedeelte van een organisatie geheim, totdat ze zijn afgerond. Vrijwel niemand wordt geïnformeerd over de gesimuleerde aanval, behalve een klein kernteam binnen de organisatie. Ook het securityteam of Security Operations Center (SOC) zijn niet op de hoogte. Dat geeft een realistisch beeld van de detectieen verdedigingscapaciteit van de zorginstelling. Tegelaar: “De instelling is eigenaar van de test en van de testresultaten. Een ziekenhuis bepaalt dus zelf wat ze daarover naar buiten brengen en delen met andere zorginstellingen. Wij gaan daarnaast een ZORROcommunity
opbouwen, waarbinnen deelnemers kennis en ervaringen uit de ZORROtesten kunnen uitwisselen. Uiteindelijk maken we hiermee de gehele sector veiliger. En wanneer een generieke kwetsbaarheid in software wordt gedetecteerd tijdens een test, dan delen we dat, in overleg met de ZORROdeelnemer, met de hele sector én met de leverancier.”
Patiëntveiligheid gewaarborgd
Tijdens een ZORROtest is patiëntveiligheid essentieel. “Dat is het allerbelangrijkste” zegt Tegelaar. “Binnen de organisatie is een kernteam, het ‘white team’, op de hoogte van de testaanval. In dat team zitten een bestuurder, een security officer en een ICTexpert, maar ook een of meerdere clinici. Zij worden dagelijks door het red team op de hoogte gehouden over de stand van zaken. Bij elke stap die het red team in de aanval zet, voert het white team het risicomanagement uit. Op elk moment kunnen zij de test pauzeren of stoppen, bijvoorbeeld als er simultaan een echte aanval plaatsvindt.” Het white team geeft ook aan welke apparatuur en systemen essentieel zijn voor de patiëntveiligheid
Tijdens een ZORROtest is patiëntveiligheid
essentieel
Waarheidsgetrouw
De aanval door het ingehuurde red team is zo realistisch mogelijk. Tegelaar: “Zij krijgen de dreigingsanalyse van ons, maar hebben in principe geen ingang in de organisatie die de aanval in gang zet door bijvoorbeeld een phishingmail aan te klikken. Het gaat er in de ZORROtest echt om dat organisaties, die in principe een geavanceerd detectieen responsesysteem hebben, kunnen testen of het allemaal goed werkt. Zijn de processen voor opvolging goed geregeld? Worden de juiste handelingen uitgevoerd en kun je de aanval stoppen? Bij een volledige red team oefening wordt een verborgen infrastructuur opgezet, zodat de verdediging van de zorginstelling het blue team genoemd niet zomaar kan herleiden dat het een aanval is. Geavanceerde cybercriminelen doen dat namelijk ook zo.” Aan het einde van een ZORROtest komen aanvallers en verdedigers (red en blue team) bij elkaar. De teams spelen delen van de aanval na en het red team laat zien hoe de aanval is uitgevoerd. De teams vergelijken hun aantekeningen en er worden ook alternatieve aanvalsroutes besproken. Tegelaar: “Het red team laat bijvoorbeeld zien waar ze een andere route hadden kunnen kiezen en vraagt dan aan het blue team of ze de aanval in dat geval ook gedetecteerd hadden. Dat levert vaak nog heel veel extra informatie op, die direct aangeeft waar je de cyberveiligheid verder kunt verstevigen.”
Lessons learned
De eerste resultaten van de ZORROtesten zijn positief. “Een ZORROtest geeft een goed beeld van de weerbaarheid van de organisatie. Dat is ook aangetoond bij de test in 2021 bij het AVL, het heeft echt meerwaarde en levert op wat we ervan verwachten. Het uiteindelijke doel van de ZORROtesten is het verhogen van de cyberweerbaarheid van de gehele zorgsector. We zitten allemaal in ketens en door goed en realistisch te testen verbeter je de respons en veiligheid van de hele sector” aldus Tegelaar. Naar aanleiding van een rondgang door de sector, is er inmiddels ook een beperktere versie van de test voor wat minder geavanceerde of kleinere organisaties. “In deze lightversie van ZORRO zijn een aantal stappen vereenvoudigd of overgeslagen” vertelt Tegelaar. “In sommige gevallen wordt de aanval dan bijvoorbeeld wel ingezet doordat iemand bewust op een linkje klikt. Ook is er geen verborgen infrastructuur, waardoor de kans bestaat dat het verdedigende team de server van de aanvallers ontdekt. Deze versie van ZORRO is meer gericht op de technische beveiliging en detectiemogelijkheden en minder op de processen.”
ZORRO-test inzetten?
Een (volledige) ZORROtest is met name geschikt voor (middel)grote zorginstellingen. Geïnteresseerde organisaties kunnen zich melden bij ZCERT. De stichting helpt bij het vinden van een goede commerciële partner die een red team kan leveren en de toepassing van de ZORROmethodiek. De instelling heeft de regie in handen, het ZORRO Cyber Team begeleidt de organisatie bij het traject . Het gehele traject duurt ongeveer zes maanden, waarbij de test zelf zo’n acht à tien weken in beslag neemt.
‘Sluitend verhaal’
Joost Boele, CISO van het AVL over de ZORRO-test: “Zo krijg je inzichten die je met losse testen nooit zou kunnen krijgen. Bovendien heb je als instelling een sluitend verhaal, gebaseerd op een realistische dreiging, om het informatiebeveiligingsbewustzijn van zorgverleners, onderzoekers, technici en managers mee te vergroten.”
Wat is Z-CERT?
Z-CERT is het expertisecentrum voor cybersecurity in de zorg. De stichting heeft geen winstoogmerk en is opgericht op initiatief van de Nederlandse Vereniging van Ziekenhuizen (NVZ), de Nederlandse Federatie van Universitair Medische Centra (NFU), de Nederlandse GGZ (GGZ) en het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Z-CERT brengt – onder meer – jaarlijks een rapport uit met het cyber-dreigingsbeeld voor de zorg. Z-CERT begeleidt en coördineert de ZORRO testen en levert per organisatie de ‘Targeted Threat Intelligence’ aan op basis waarvan een door de instelling ingehuurd red team de maatwerk-test voorbereidt en ontwerpt. Voor meer informatie ga naar www.z-cert.nl
