In onze vorige blogposts over informatiebeveiliging in de zorgsector bekeken we de eerste vier functies van het NIST-raamwerk. In deze afsluitende bijdrage richten we ons op de laatste functie: herstel van een beveiligingsincident in de zorg.
Op een dag gebeurt waar u altijd al rekening mee heeft gehouden: een beveiligingsincident. Systemen zijn geïnfecteerd, patiëntgegevens zijn niet langer beschikbaar, de organisatie valt stil. De nachtmerrie van elk ziekenhuis. Doel is uiteraard om na constatering zo snel mogelijk over te gaan tot herstel, in NIST-termen recovery. NIST omschrijft deze functie als volgt: “De ontwikkeling en implementatie van plannen, processen en procedures voor volledig en tijdig herstel van alle mogelijkheden en diensten die zijn aangetast als gevolg van een cyberevent.”
Inzet CERT na een beveiligingsincident in de zorg
Het is bij een succesvol beveiligingsincident in de zorg net als bij een brand: u schakelt professionals in die direct ingrijpen. Dat is in de praktijk wat een CERT-team (Computer Emergency Response Team) doet. CERT is een beschermde term van het Software Engineering Institute van de Carnegie Mellon University in Pittsburg (VS). Hier ontstond het allereerste CERT. Inmiddels zijn er wereldwijd veel van deze teams. Om als CERT te mogen opereren, moet aan bepaalde eisen worden voldaan – die door Carnegie Mellon zijn vastgesteld.
Bij een aanval zal een CERT enkele vaste stappen ondernemen:
* Triage: doel hier is om de bron(nen) en getroffen apparaten en/of systemen van het beveiligingsincident in de zorg in kaart te brengen. Aan de hand daarvan zijn prioriteiten te stellen en is een plan van aanpak te bepalen voor verder onderzoek. Ook legt het team in deze fase alle forensische data op verantwoorde wijze vast, voor eventueel nader onderzoek.
* Containment: hier gaat het om het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden zo snel mogelijk weer kunnen worden hervat.
* Post-incident activiteiten: wanneer het beveiligingsincident is opgelost, werkt het team aan een forensisch onderzoeksrapport. In een dergelijk rapport draagt het oplossingen aan waarmee een soortgelijke gebeurtenis in de toekomst te voorkomen is. Een CERT kan ook ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.
Logdata als basis voor analyse
Voor een goede triage door een CERT is loginformatie van groot belang. In veel gevallen komen die gegevens uit een Central Log Management (CLM)-platform of -dienst. CLM geeft via verschillende dashboards snel en eenvoudig inzicht in allerlei gebeurtenissen die plaatsvinden in de aangesloten logbronnen. Het is voor security-professionals praktisch als ze over zoveel mogelijk loginformatie kunnen beschikken. Het is daarom belangrijk om deze data zo lang mogelijk te bewaren. Immers, deze informatie is essentieel om snel de oorzaak van een geslaagde aanval te achterhalen en de impact van het incident zoveel mogelijk te verkleinen. Voor een security-analist zijn drie tot zes maanden aan loginformatie nodig om goed onderzoek te kunnen doen. Aangezien logs zonder CLM-dienst vaak na 24 uur al worden overschreven, is het daarom raadzaam hier aandacht aan te besteden.
Belang van back-up
Het lijkt een open deur: het belang van een goede back-up. Toch is er nog regelmatig sprake van aanvallen waarbij zowel de productiesystemen als de back-ups door hackers versleuteld werden, omdat ze online te benaderen waren. Dat onderstreept nog eens het belang van air-gapped back-ups (volledige offline back-ups) of de zogenaamde immutable back-ups in cloudplatforms. Daarnaast is het belangrijk om back-ups regelmatig te controleren en te testen op herstel. Hierdoor zijn fouten snel op te lossen en is snel en effectief herstel mogelijk.
Security awareness
Technologie is weliswaar cruciaal in het beveiligen van applicaties en data, maar daarnaast is het belang van security awareness binnen een organisatie enorm toegenomen. Uit onderzoek naar geslaagde cyberaanvallen blijkt dat de mens in veel gevallen de zwakke schakel is. De voorbeelden van geslaagde phishing-aanvallen zijn talloos. Daarom is permanente aandacht voor bewustwording rond dataveiligheid noodzakelijk.
Er is tegenwoordig een veelheid van awareness-activiteiten beschikbaar die medewerkers veiligheidsbewust maken via serious gaming of andere campagnes. Deze hebben bijvoorbeeld als doel medewerkers op phishingmails te wijzen, door dit type mails de organisatie in te sturen en te bekijken hoe hierop wordt gereageerd.
Proactieve aanpak
100% veilig bestaat niet, maar u kunt veel doen om een beveiligingsincident in de zorg zoveel mogelijk te beperken. Een proactieve aanpak van beveiligingsrisico’s kan risico’s zoveel mogelijk minimaliseren en bestaat idealiter uit verschillende security-oplossingen. In deze blogserie hebben we u hier een aantal voorbeelden van gegeven. Uiteraard gaan we graag met u in gesprek indien u meer advies zoekt over de juiste oplossing voor uw zorginstelling. Neem hiervoor contact met ons op via de knop rechts bovenaan dit artikel.