In de zorgverlening staat de patiënt centraal, maar tijdens een cyberaanval kan het personeel deze taak soms helemaal niet meer uitvoeren. Ziekenhuizen zijn aantrekkelijke doelwitten geworden voor staatshackers. Het St. Antonius Ziekenhuis zocht naar een oplossing die hun securityteam zou ontlasten en koos uiteindelijk voor Trend Micro’s XDR-technologie. Hoe kwam het ziekenhuis tot deze keuze en hoe verandert het hun werkwijze? We bespreken het met Coen van der Beek, Information Security Officer bij het St. Antonius Ziekenhuis.
Het IT-team van het ziekenhuis telt weliswaar 230 werknemers, verspreid over acht locaties met bijna 8.000 collega’s om te ondersteunen, maar het echte securitypersoneel bestaat uit slechts vier mensen. Deze schaarste aan specialisten is allesbehalve uniek; Van der Beek legt uit hoe deze bezetting zo klein kan zijn en toch effectief.
Security wordt regelmatig gezien als een specifiek domein binnen een organisatie. “Tegelijkertijd is security ook onderdeel van processen. Ik zeg weleens: wij zijn de aanjagers of expertisehouders,” verduidelijkt Van der Beek. Ook de CIO moet security continu in het achterhoofd hebben, maar eigenlijk ook elk personeelslid én patiënt. Het team van Van der Beek werkt ondertussen aan de algehele security awareness, biedt ondersteuning waar nodig en moet risico’s afwegen.
Lees ook: RIVM zet website tijdelijk op zwart na hack – update
Ziekenhuizen als doelwit
Cyberaanvallen op ziekenhuizen vliegen meermaals onder de radar, omdat het vaak individuele incidenten betreft, legt Van der Beek uit. Denk aan het ontfutselen van de medische gegevens van een bekende Nederlander. Toch nuanceert Van der Beek ons beeld dat ziekenhuizen bijzonder aantrekkelijk zijn voor staatsactoren en cybercriminelen. Wij dachten namelijk: zoveel gevoelige data op één plek met een onderbezet securityteam, een godsgeschenk voor cyberaanvallers. Daarbovenop is het niet zo dat de medische wereld de tijd heeft om voortdurend te denken aan randvoorwaarden zoals de IT-security. Is dat zo?
“Je wordt als organisatie steeds interessanter om te targeten naarmate je groter wordt”, vertelt Van der Beek. “Wij zijn ons er wel bewust van dat we met de huidige geopolitieke dreigingen een mogelijk doelwit zijn in het geval van een crisis. De vraag is: kun je daar op voorbereid zijn? Nee, dat denk ik niet. Je loopt altijd achter.” Dit geldt tevens voor grote organisaties buiten de zorg, dus in zekere zin moeten we de medische wereld niet te veel als een vreemde eend in de bijt zien.
Met het formaat en de aard van het St. Antonius Ziekenhuis komt aanzienlijke complexiteit kijken. Van der Beek karakteriseert zijn organisatie als divers qua personeel en op het gebied van IT-systemen. Denk hierbij aan alles van zeer domeingerichte medische apparatuur tot conventionele werk-pc’s en applicaties. “Dat maakt het altijd lastig om op een incident voorbereid te zijn. Maar dat proberen we wel door middel van innovatieve technieken.”
Van der Beek denkt overigens niet dat een aanvaller al te gauw obscure apparaten overneemt en op slot zet voor financieel gewin. De werkelijke dreiging komt vooral vanuit statelijke actoren die een disruptie willen veroorzaken. “Als wij platliggen, kan dat de samenleving verstoren. Wij zien dat die dreiging steeds groter wordt.”
De keuze voor XDR
Kortom: er is steeds meer reden tot zorg. Vandaar ook dat het ziekenhuis een aanbestedingsronde deed voor een securitytool. Eén van de opties was om voor een traditionele SIEM-tool te gaan, waarin verschillende databronnen inzichten ter bevordering van de veiligheid kunnen opleveren.
Toch erkent Van der Beek dat de keuze snel viel op een XDR-technologie (Extended Detection and Response), geleverd door Trend Micro. “Hiermee kunnen we snel ons netwerk in kaart brengen en verbinden. Dat is inclusief allerlei agents, OT-devices en een stukje cloud.” Het neemt werk uit handen en elimineert de noodzaak om handmatig discrete systemen te controleren.
“In het ziekenhuis zijn we vooral bezig met zorgverlenen, dat is onze core business. Alles wat hiervoor nodig is eromheen, dat moet nu eenmaal op de tweede plaats staan.”
Security als fundamentele eis, niet als prioriteit
We willen hierbij benadrukken dat dit volstrekt gangbaar is. Hoewel nieuwsberichten wellicht suggereren dat een organisatie die platgelegd wordt door een cyberaanval zaken beter had kunnen regelen, wordt weleens vergeten dat security helemaal niet de prioriteit hoort te hebben. In plaats daarvan is het een fundamentele eis, net als pijpleidingen of rookmelders, maar het is lastiger om op peil te houden dan die zaken.
“De arbeidsmarkt is krap,” aldus Van der Beek. “We zoeken daarom een oplossing die ons werk uit handen neemt. Dat doet Trend Micro’s XDR-oplossing.”
Toekomstbestendig denken
Cybersecurity zal daarnaast blijven groeien als aandachtspunt, denkt Van der Beek. Mocht hij meer collega’s erbij kunnen krijgen, dan is het nog steeds zo dat Trend Micro’s software verlichtend werkt. Immers zit er idealiter securitygericht personeel bij beslismomenten over IT-tools of voor IT-relevante projecten – met name waar privacygevoelige data bij komt kijken.
Trend Micro zorgt er namelijk voor dat de technische uitdaging van het verbinden van alle netwerkbronnen geëlimineerd is, maar ook een gedeelte van de analyse daarna. “Ik denk dat dat altijd nodig zal blijven,” aldus Van der Beek.
Verder kijken dan CVSS-scores
Trend Micro maakt het voor klanten bijvoorbeeld mogelijk om verder dan de CVSS-score te kijken. Voor de niet-ingewijden: dit is het Common Vulnerability Scoring System waarop kwetsbaarheden worden geclassificeerd. Is het bijvoorbeeld mogelijk om zonder login administrator-privileges te verkrijgen, dan krijgt een kwetsbaarheid al gauw een hoge CVSS-score.
Maar is het een relatief lastig te exploiteren fout die wél enorm schadelijk is als het getroffen systeem erdoor hapert, dan is deze score veelal misleidend. Daarom hanteert Trend Micro tevens een Cyber Risk Index (CRI). Deze CRI-score is dynamisch en specifiek aan de omstandigheden van de organisatie in kwestie. Is een systeem van kritiek belang, dan is een kwetsbaarheid met een lage CVSS-score wellicht alsnog de allerhoogste prioriteit om te patchen. Dit helpt teams zoals die van het St. Antonius Ziekenhuis om daadwerkelijk sneller te prioriteren en technisch beter beschermd te zijn.
Ruimte voor het echte werk
Naast techniek is het ook belangrijk om te illustreren hoe XDR de focus van het security-team kan verleggen: er is nu meer tijd en aandacht voor het opleiden van personeel om zorgvuldig met gevoelige gegevens om te gaan. Er lopen nu cursussen voor al het personeel binnen het St. Antonius Ziekenhuis die speels en aantrekkelijk zijn ingericht om dit bij te brengen. Het ziekenhuis heeft dus duidelijk de tijd gehad om naast de zaken technisch af te dichten middels security-oplossingen zoals XDR, zich meer te focussen om didactisch sterk te zijn middels security awareness.
Dit doen ze door het aanbieden van interactieve awareness-presentaties aan (zorg)personeel, waarbij statische en droge schriftelijke uitleg wordt vermeden.