Digitale triage; CVE uitgelegd voor de zorgsector
Eén van de pilaren van informatiebeveiliging is goed patch- en kwetsbaarhedenmanagement. Het is echter niet makkelijk om te bepalen wanneer je in actie moet komen en hoe snel. Soms lijkt het wel of softwarekwetsbaarheden elkaar sneller opvolgen dan de series op Netflix. Hoe onderscheid je het kaf van het koren? En waarin verschilt de zorgsector van andere sectoren?
Bij velen zit de term ‘Citrixfile’ nog vers in het geheugen. De maatregelen, om het misbruik van een kwetsbaarheid in de software van deze veelgebruikte VPN-oplossing tegen te gaan, zorgden voor zoveel extra verkeer dat er files door ontstonden. Kwetsbaarheden die leiden tot een dergelijke impact op de maatschappij komen gelukkig niet al te vaak voor, maar ernstige kwetsbaarheden zijn er helaas genoeg.
Waar komen al die kwetsbaarheden eigenlijk vandaan? De meeste kwetsbaarheden worden ontdekt door onderzoekers, leveranciers, securitybedrijven die aanvallen observeren, en IT’ers die tegen bugs aanlopen. Kwetsbaarheden kunnen een uniek nummer krijgen van The Mitre Corporation, uit de VS. Deze organisatie registreerde in 2020 maar liefst 18.352 zogeheten Common Vulnerabilities and Exposures (CVE’s) middels de zogeheten CVE Numbering Authorities (CNA). CNA’s mogen CVE’s aanmelden voor kwetsbaarheden binnen hun scope, vaak hun eigen product. En niet eens alle kwetsbaarheden krijgen een CVE-nummer. Deze moeten namelijk worden aangemeld bij een CNA en dat gebeurt lang niet altijd. Mitre houdt de lijst van CVE’s al bij sinds 1991.
Methodes
Met zoveel kwetsbaarheden is het van belang om het kaf van het koren te kunnen scheiden. Hiervoor zijn meerdere methodieken. De meest gebruikelijke is het Common Vulnerability Scoring System (CVSS). Hiermee kan met één cijfer (0-10) de ernst van een kwetsbaarheid worden aangegeven. Die 18.000+ kwetsbaarheden? Ongeveer 15 procent daarvan scoorde een 9 of hoger. Kwetsbaarheden met een dergelijke inschaling zijn vaak makkelijk te misbruiken en geven aanvallers de controle geven over systemen.
Dat ene cijfer is echter niet altijd gemakkelijk te interpreteren. Men komt tot die score door een combinatie van factoren, en dat is niet direct zichtbaar in de score. En hoewel daar een systeem voor is bedacht, kost het toch enig uitzoekwerk om de kans en impact van een kwetsbaarheid te bepalen als zorginstelling. Daarom gebruikt Z-CERT een andere methodiek, waarbij het CVSS als input gebruikt wordt.
Inschaling kans, impact
De beveiligingsadviezen die Z-CERT beschikbaar stelt om zorginstellingen te attenderen op kwetsbaarheden, zijn daarom voorzien van een inschaling van kans en impact. Z-CERT gebruikt hiervoor hetzelfde systeem als het Nationaal Cyber Security Centrum. Hiermee kunnen zorginstellingen in een oogopslag zien wat de kans is dat een kwetsbaarheid misbruikt wordt, en wat de impact daarvan kan zijn.Om de kans op misbruik in te schatten, wordt rekening gehouden met het bestaan van patches,of er actief misbruik is waargenomen, hoe moeilijk het is om de kwetsbaarheid te misbruiken, en meer. Om de impact te bepalen wordt er gekeken naar wat een aanvaller na misbruik van de kwetsbaarheid precies kan: of men bijvoorbeeld bij gevoelige gegevens kan, of de soft- of hardware ontoegankelijk kan maken.
Hulpmiddel loopt spaak
Z-CERT geeft echter niet alleen beveiligingsadviezenvoor kantoorautomatiseringssoftware, maar ook voor medische soft- en hardware. Hier loopt het CVSS echter spaak als hulpmiddel. Er wordt namelijk geen rekening gehouden met de omgevingsfactoren die in zorginstellingen gemeengoed zijn. Want wat betekent het precies voor een patiënt als een insulinepomp een kwetsbaarheid heeft? En hoe weeg je de impact van het kunnen aanpassen van monitoringsdata van een hartmonitor?
Eind vorig jaar heeft de Amerikaanse Food & Drug Administration (FDA) een door Mitre ontwikkelde methodiek goedgekeurd waarmee het CVSS toegepast kan worden op medische apparatuur. Met deze aangepaste versie van het CVSS wordt rekening gehouden met onder andere de impact op medische gegevens en monitoringsdata. Hiermee kunnen kwetsbaarheden in medische apparatuur worden ingeschat, rekening houdend met de gevoelige natuur daarvan. Hiermee kan Z-CERT voortaan de beveiligingsadviezen voor kwetsbaarheden in medische apparatuur nog beter maken.
Verbeteren cyberweerbaarheid
Z-CERT is in navolging hiervan momenteel bezig om inzicht te krijgen in hoe de cyberweerbaarheid van medische apparatuur kan worden ondersteund en vergroot in het ‘Clinical Workflow Resilience’ project. Het doel is om een raamwerk te creëren bestaande uit meerdere (kennis)producten, zoals webinars, whitepapers en infographics. Het belang van accurate risicobepalingen ten aanzien van medische software- en hardware wordt steeds zichtbaarder. En samen met iets als de Medical CVSS en het Clinical Workflow Resilience project kunnen we de zorgsector hiermee helpen.
Concluderend kunnen we stellen: houd in het patchmanagementbeleid rekening met ernstige kwetsbaarheden, zo voorkom je dat je organisatie onnodig gevaar loopt. Door hierbij ook nog rekening te houden met het belang van specifieke soft- en hardware ten aanzien van de primaire processen, voorkom je dat je alleen nog maar noodpatches aan het doorvoeren bent. Wees je bewust van de verschillen in impact van kwetsbaarheden in medische soft- en hardware en pas ook daar je patchmanagementbeleid op aan.
Dit artikel is eerder gepubliceerd in ICT&Health