Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Eerste red teaming oefening Antoni van Leeuwenhoek ziekenhuis en Z-CERT

Z-CERT heeft in nauwe samenwerking met de instellingen van de Nederlandse Zorgsector een raamwerk voor red teaming in de zorg ontwikkeld. Dit raamwerk heet ZORRO, wat staat voor “ZOrg Redteaming Resilience Oefeningen”. Het doel van ZORRO is het structureel verhogen van de weerbaarheid van deelnemende zorginstellingen en de sector als geheel. Het Antoni van Leeuwenhoek ziekenhuis en Z-CERT hebben eind vorig jaar een eerste red teaming oefening gehouden.

Realistische oefening

Tijdens een ZORRO-test worden de cybersecurity en weerbaarheid getest tegen realistische dreigingen in de dagelijkse operationele omgeving van de instellingen. Hierbij worden de Tactieken, Technieken en Procedures (TTP’s) van cybercriminelen op een realistische wijze nagebootst. Dit wordt red teaming genoemd. Het ZORRO-raamwerk is gebaseerd op de zeer succesvolle TIBER-methode uit de financiële sector en is op maat gemaakt voor de zorg.

Tijdens een ZORRO-test wordt niemand geïnformeerd over de gesimuleerde aanval, op een klein kernteam binnen de instelling na. Ook securityteam of Security Operations Center (SOC) zijn niet op de hoogte. Hierdoor levert een ZORRO-test een realistisch beeld van de detectie- en verdedigingscapaciteit van de instelling op. Na afloop van de test wordt in een gezamenlijke sessie met het red team, securityteam en Z-CERT de gesimuleerde aanval doorgenomen en waar mogelijk nagespeeld. In de praktijk levert dit goede inzichten op waarmee de instelling zijn beveiliging verder kan verstevigen, met een focus op de maatregelen die er echt toe doen.

Risicobeheersing

Een commerciële leverancier voert de aanval uit binnen de kaders van de ZORRO-methodiek. Z-CERT onderhoudt een lijst met leveranciers die bewezen hebben met de juiste kwaliteit, diepgang en voorzichtigheid te werk te gaan. Tijdens de ZORRO-test voert het kernteam binnen de instelling op detailniveau de regie over de aanval. Omdat in een ‘live’ omgeving wordt gewerkt, staan risicobeheersing en patiëntveiligheid altijd voorop tijdens een ZORRO-test.

Geslaagde proef

Het Antoni van Leeuwenhoekziekenhuis (AVL) heeft in 2021 als eerste partij in Nederland een ZORRO-test uitgevoerd. Binnen het AVL werd het initiatief om een realistische aanval uit te voeren op alle niveaus gedragen. De ZORRO-test is zeer goed verlopen, waarbij de verschillende partijen intensief samenwerkten om op een veilige wijze een realistische aanval uit te voeren. De test leverde nieuwe inzichten op en vergrootte de aandacht voor informatiebeveiliging binnen de organisatie tot op bestuursniveau.

Volgens Joost Boele, CISO van het AVL ligt de kracht van red teaming erin dat de beveiliging van de gehele keten op de proef wordt gesteld. “Zo krijg je inzichten die je met losse testen nooit zou kunnen krijgen. Bovendien heb je als instelling een sluitend verhaal, gebaseerd op een realistische dreiging, om het informatiebeveiligingsbewustzijn van zorgverleners, onderzoekers, technici en managers mee te vergroten.” Tijdens de evaluatie kwam duidelijk naar voren dat ZORRO effectief is en grote meerwaarde biedt.

Bredere inzet vanaf 2022

Het ZORRO-programma wordt door Z-CERT doorontwikkeld. Z-CERT levert aan deelnemers de methodiek, ondersteunende documenten, threat intelligence, een realistisch aanvalsscenario en begeleiding bij de leveranciersselectie en de implementatie.

Vanaf 2022 stelt Z-CERT het ZORRO-programma open voor meer deelnemers. Een aantal zorginstellingen heeft inmiddels aangegeven in de komende jaren deel te zullen nemen.