Kwetsbaarheden in de digitale zorg-infrastructuur kunnen leiden tot bijvoorbeeld ‘ransomware aanvallen’ waardoor hele ziekenhuizen op slot gaan of datadiefstal waarbij onderzoeks- of patiëntengegevens op straat komen te liggen. Stichting ZCERT rolt momenteel ZORRO-tests uit bij een aantal grotere ziekenhuizen. Daarmee worden op maat voor elke organisatie de kwetsbaarheden blootgelegd.

ZORRO staat voor ‘ZOrg Redteaming Resilience Oefeningen’ een methodiek waarin een extern ‘red team’ een onaangekondigde maatwerk­aanval uitvoert binnen een zorgorganisatie. De eerste test is eind 2021 afgerond in het Antoni van Leeuwenhoek (AVL). Sinds begin 2022 is de ZORRO­methodiek breed beschikbaar gemaakt voor de deelnemers van Z­CERT. Naar verwachting hebben eind 2023 zo’n vijf à tien grote zorgorganisaties het hele testtraject doorlopen.

Scenario vanuit dreigingsanalyse
Marcel Tegelaar van Z­CERT: “ZORRO is afgeleid van TIBER, een beproefde manier van testen in de financiële sector. ZORRO is aangepast aan de zorgsector, waar de budgetten en security teams vaak kleiner zijn. We gebruiken zorg­specifieke scenario’s en kijken per organisatie welke dreigingen te verwachten zijn om zo een echte aanval te kunnen simuleren. Z­CERT maakt een dreigingsanalyse waarin uitgezocht wordt wat het aanvalsoppervlak van de organisatie is, hoe een reële aanvaller binnen kan komen en welke route hij zou volgen binnen de digitale infrastructuur. Daarbij kijken we welke bedreigingen en aanvalsgroepen actueel zijn voor dit type organisatie. Wat zijn de doelen van deze aanvaller? Hoe geavanceerd is deze groep? En wat is hun werkwijze? Naast cybercrimegroepen die zich richten op afpersing met ransomware, zijn statelijke actoren (door staten aangestuurde personen, groepen of organisaties) actief die de dienstverlening willen verstoren. Ook onderzoeksonderdelen kunnen doelwit zijn.” Nadat de analyse is gemaakt, werkt Z­CERT een scenario uit voor het begin van de aanval. Daarin staat wat er in de test aangevallen wordt en hoe. Het kan bijvoorbeeld beginnen met een phishing mail. Dit scenario gaat naar het externe red team, dat vervolgens de verdere aanvalsroute uitstippelt en de aanval uitvoert.

‘De instelling is eigenaar van de test en van de testresultaten’

Geheim
ZORRO­testen blijven voor het grootste gedeelte van een organisatie geheim, totdat ze zijn afgerond. Vrijwel niemand wordt geïnformeerd over de gesimuleerde aanval, behalve een klein kernteam binnen de organisatie. Ook het securityteam of Security Operations Center (SOC) zijn niet op de hoogte. Dat geeft een realistisch beeld van de detectieen verdedigingscapaciteit van de zorginstelling. Tegelaar: “De instelling is eigenaar van de test en van de testresultaten. Een ziekenhuis bepaalt dus zelf wat ze daarover naar buiten brengen en delen met andere zorginstellingen. Wij gaan daarnaast een ZORRO­community
opbouwen, waarbinnen deelnemers kennis en ervaringen uit de ZORRO­testen kunnen uitwisselen. Uiteindelijk maken we hiermee de gehele sector veiliger. En wanneer een generieke kwetsbaarheid in software wordt gedetecteerd tijdens een test, dan delen we dat, in overleg met de ZORRO­deelnemer, met de hele sector én met de leverancier.”

Patiëntveiligheid gewaarborgd
Tijdens een ZORRO­test is patiëntveiligheid essentieel. “Dat is het allerbelangrijkste” zegt Tegelaar. “Binnen de organisatie is een kernteam, het ‘white team’, op de hoogte van de test­aanval. In dat team zitten een bestuurder, een security officer en een ICT­expert, maar ook een of meerdere clinici. Zij worden dagelijks door het red team op de hoogte gehouden over de stand van zaken. Bij elke stap die het red team in de aanval zet, voert het white team het risicomanagement uit. Op elk moment kunnen zij de test pauzeren of stoppen, bijvoorbeeld als er simultaan een echte aanval plaatsvindt.” Het white team geeft ook aan welke apparatuur en systemen essentieel zijn voor de patiëntveiligheid

Tijdens een ZORROtest is patiëntveiligheid
essentieel

Waarheidsgetrouw
De aanval door het ingehuurde red team is zo realistisch mogelijk. Tegelaar: “Zij krijgen de dreigingsanalyse van ons, maar hebben in principe geen ingang in de organisatie die de aanval in gang zet door bijvoorbeeld een phishingmail aan te klikken. Het gaat er in de ZORROtest echt om dat organisaties, die in principe een geavanceerd detectieen responsesysteem hebben, kunnen testen of het allemaal goed werkt. Zijn de processen voor opvolging goed geregeld? Worden de juiste handelingen uitgevoerd en kun je de aanval stoppen? Bij een volledige red team oefening wordt een verborgen infrastructuur opgezet, zodat de verdediging van de zorginstelling ­ het blue team genoemd ­ niet zomaar kan herleiden dat het een aanval is. Geavanceerde cybercriminelen doen dat namelijk ook zo.” Aan het einde van een ZORRO­test komen aanvallers en verdedigers (red en blue team) bij elkaar. De teams spelen delen van de aanval na en het red team laat zien hoe de aanval is uitgevoerd. De teams vergelijken hun aantekeningen en er worden ook alternatieve aanvalsroutes besproken. Tegelaar: “Het red team laat bijvoorbeeld zien waar ze een andere route hadden kunnen kiezen en vraagt dan aan het blue team of ze de aanval in dat geval ook gedetecteerd hadden. Dat levert vaak nog heel veel extra informatie op, die direct aangeeft waar je de cyberveiligheid verder kunt verstevigen.”

Lessons learned
De eerste resultaten van de ZORRO­testen zijn positief. “Een ZORRO­test geeft een goed beeld van de weerbaarheid van de organisatie. Dat is ook aangetoond bij de test in 2021 bij het AVL, het heeft echt meerwaarde en levert op wat we ervan verwachten. Het uiteindelijke doel van de ZORRO­testen is het verhogen van de cyberweerbaarheid van de gehele zorgsector. We zitten allemaal in ketens en door goed en realistisch te testen verbeter je de respons en veiligheid van de hele sector” aldus Tegelaar. Naar aanleiding van een rondgang door de sector, is er inmiddels ook een beperktere versie van de test voor wat minder geavanceerde of kleinere organisaties. “In deze light­versie van ZORRO zijn een aantal stappen vereenvoudigd of overgeslagen” vertelt Tegelaar. “In sommige gevallen wordt de aanval dan bijvoorbeeld wel ingezet doordat iemand bewust op een linkje klikt. Ook is er geen verborgen infrastructuur, waardoor de kans bestaat dat het verdedigende team de server van de aanvallers ontdekt. Deze versie van ZORRO is meer gericht op de technische beveiliging en detectiemogelijkheden en minder op de processen.”

ZORRO-test inzetten?
Een (volledige) ZORRO­test is met name geschikt voor (middel)grote zorginstellingen. Geïnteresseerde organisaties kunnen zich melden bij Z­CERT. De stichting helpt bij het vinden van een goede commerciële partner die een red team kan leveren en de toepassing van de ZORROmethodiek. De instelling heeft de regie in handen, het ZORRO Cyber Team begeleidt de organisatie bij het traject . Het gehele traject duurt ongeveer zes maanden, waarbij de test zelf zo’n acht à tien weken in beslag neemt.


‘Sluitend verhaal’
Joost Boele, CISO van het AVL over de ZORRO-test: “Zo krijg je inzichten die je met losse testen nooit zou kunnen krijgen. Bovendien heb je als instelling een sluitend verhaal, gebaseerd op een realistische dreiging, om het informatiebeveiligingsbewustzijn van zorgverleners, onderzoekers, technici en managers mee te vergroten.”


Wat is Z-CERT?
Z-CERT is het expertisecentrum voor cybersecurity in de zorg. De stichting heeft geen winstoogmerk en is opgericht op initiatief van de Nederlandse Vereniging van Ziekenhuizen (NVZ), de Nederlandse Federatie van Universitair Medische Centra (NFU), de Nederlandse GGZ (GGZ) en het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Z-CERT brengt – onder meer – jaarlijks een rapport uit met het cyber-dreigingsbeeld voor de zorg. Z-CERT begeleidt en coördineert de ZORRO testen en levert per organisatie de ‘Targeted Threat Intelligence’ aan op basis waarvan een door de instelling ingehuurd red team de maatwerk-test voorbereidt en ontwerpt. Voor meer informatie ga naar www.z-cert.nl