Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse zorginstellingen starten gedeeld cert voor beveiligingsincidenten

Nederlandse zorginstellingen kunnen vanaf woensdag gebruikmaken van een gezamenlijk cert, oftewel computer emergency response team. Daar kunnen ze terecht bij beveiligingsincidenten. Het team draagt de naam zorg-CERT.

De NOS schrijft dat het team momenteel bestaat uit zes personen, die assistentie bieden aan de 36 aangesloten zorginstellingen. Het werkt nauw samen met het NCSC. Het zorg-CERT omschrijft zijn diensten als incidentcorrectie, detectie, preventie en het delen van kennis en expertise. Bij beveiligingsincidenten moet het team reageren om 'technische, financiŽle en imagoschade zoveel mogelijk te beperken'. Als preventiemaatregelen deelt het cert informatie met de instellingen over bijvoorbeeld kwetsbaarheden in medische apparatuur en software.

Nienke van den Berg, directeur van zorg-CERT, zegt tegen de NOS dat de zorg steeds interessanter is voor internetcriminelen en dat een datalek tot de mogelijke scenario's behoort. Momenteel kunnen zich ziekenhuizen en ggz-instellingen aansluiten en in de toekomst is het volgens de directeur de bedoeling dat er uitbreiding plaatsvindt naar meer zorgsectoren.

De eerste financiering van het team is afkomstig van het ministerie van Volksgezondheid. Uiteindelijk moeten de deelnemende instellingen de kosten opbrengen. De organisatie is ondergebracht in een stichting en is gevestigd in Amersfoort.

Door Sander van Voorst

Nieuwsredacteur

24-01-2018 • 10:05

23 Linkedin Google+

Submitter: 53645714n

Reacties (23)

Wijzig sortering
Interessant:
Oktober 2016 - GGZ Nederland, de NVZ en de NFU hebben mr Nienke van den Berg (A51) opdracht gegeven om te starten met de realisatie van Z-CERT, de sectorale CERT voor de zorg.
Bron: A51

Meer achtergrond:
Het bedrijf, A51 geheten, is vorige maand opgericht. "Dienstverlener A51 voorkomt dat organisatie de dupe worden van imagoschade, diefstal van intellectueel eigendom en computeruitval door falende aanpak van informatiebeveiliging", zo stelt ze in een persbericht.

Uit de gegevens van de Kamer van Koophandel blijkt dat Van den Berg de oprichtster en enig aandeelhouder is van het bedrijf.

Van den Berg werkte onder meer als directeur bij het Govcert, het Computer Emergency Response Team van de Nederlandse overheid. Later werd ze projectleider van het NHTCC waar ze in februari 2005 werd ontslagen.

Volgens de officiŽle verklaring was er sprake van een verschil van inzicht. Het ontslag kwam echter kort nadat Van den Berg in een interview forse kritiek had geuit op de handelswijze van politie en justitie.
Het NHTCC is het National High Tech Crime Center.
Bron: Webwereld

Volgens de NOS telt Z-Cert op dit moment nog maar 6 medewerkers.

[Reactie gewijzigd door Bor op 24 januari 2018 10:46]

olgens de NOS telt Z-Cert op dit moment nog maar 6 medewerkers.
Het is natuurlijk geen vervanging van de ICT van de zorginstellingen.
Maar stel er gebeurd iets ernstigs, dan heeft het gemiddelde ziekenhuis simpelweg geen kennis in huis om hiermee om te gaan. Het is dan ook heel slim om gewoon een kleine organisatie van experts te hebben die dagelijks 'puinruimen'.

En ik heb liever een ziekenhuis dat af en toe een ICT foutje maakt, dan een medisch foutje...
En het is simpelweg een illusie om te denken dat er foutloze ICT of gezondheidszorg bestaat
als jij door een ict foutje de verkeerde behandeling of medicatie krijgt kan dat schadelijker zijndan een gewoon medisch foutje.
Dat ze technische en financiŽle schade zo veel mogelijk willen beperken... snap ik! Maar imageoschade?? Dat moet toch niet de rol zijn van een CERT?
Het lijkt mij dat imagoschade een direct gevolg is van technische en financiŽle schade. Oftewel, voorkom die laatste twee en je voorkomt automatisch de eerste.
Het lijkt mij dat imagoschade een direct gevolg is van technische en financiŽle schade.
FinanciŽle schade kan ook volgen uit imagoschade.
Oftewel, voorkom die laatste twee en je voorkomt automatisch de eerste.
Niet altijd waar. Je kan ook slecht in het nieuws komen door FUD, terwijl er technisch en financieel niets aan de hand is. Ook daartegen wil je als organisatie bescherming. Vanuit een CERT kan imagoschade (wat verschillende bronnen kan hebben) beperkt worden, bijvoorbeeld via een PR officer.

Stel de volgende headline voor op de voorpagina van een niet nader te noemen krant die de Raad voor de Journalistiek niet erkent:
"Ziekenhuis XYZ gebruikt computers die kwetsbaar zijn voor kritische kwetsbaarheden!"

En in het artikel gaan ze in op Spectre en Meltdown, en dat patiŽntgegevens niet meer veilig zouden zijn. Ook op dit soort sensatieheadlines wil je als organisatie op de juiste manier reageren. Soms zal dat met een verklaring zijn, soms niet. In elk geval moet de gekozen actie (of gebrek eraan) een bewuste keuze zijn.

[Reactie gewijzigd door The Zep Man op 24 januari 2018 10:42]

Het geven van juiste informatie over het eventuele lek kan een hoop ellende schelen. Welke groepen patienten zijn geraakt, welke informatie is mogelijk betrokken, wat is er (meteen) gedaan om dit tegen te gaan? hoe gaan we verder?
Hiermee kom je professioneel over en dat is ook je imago. Ergo, de aanpak dus.
Het geven van juiste informatie over het eventuele lek kan een hoop ellende schelen. Welke groepen patienten zijn geraakt, welke informatie is mogelijk betrokken, wat is er (meteen) gedaan om dit tegen te gaan? hoe gaan we verder?
Hiermee kom je professioneel over en dat is ook je imago. Ergo, de aanpak dus.
Sterker nog: de Algemene Verordening Gegevensbescherming, die op 28 mei in werking treedt, vereist dat je informatie geeft over lekken. Wat is er gebeurd, wie zijn er betrokken, hoe kon het gebeuren en wat gaan we doen om het in de toekomst te voorkomen? Dit alles moet je kunnen geven. Daarbij komt dat je als organisatie hoge boetes kunt krijgen als je de zooi niet op orde hebt.
En door dat centraal te managen schep je hopelijk vertrouwen en dus behoud van imago. Ik vind het een goed idee dat zoiets centraal neergezet wordt. Jammer is dat de site wat gesloten overkomt met wat basis informatie. Door juist naar buiten te treden met de aangesloten zorginstellingen en de verholpen/geconstateerde lekken kan je je nog meer profileren als een adequate organisatie in plaats van weer een vaag instituut wat iets doet. Wie weet, ze zijn nog geen jaar oud :)
Sterker nog: Dat moet al onder de wet meldplicht datalekken.
Dit is natuurlijk een specifieke expertise, zorginstellingen hebben vaak geen/minimale marketing en communicatie afdelingen; bij zo een gevoelig onderwerp moet je deze zaken ook adequate afhandelen. Dit heeft natuurlijk alles te maken met imago.

Ze doelen niet op zaken onder het kleed schuiven met beperken...
Ook een ziekenhuis kan imagoschade oplopen! En als patienten dat ziekenhuis bewust gaan mijden gaat de boel failliet.
Als preventiemaatregelen deelt het cert informatie met de instellingen over bijvoorbeeld kwetsbaarheden in medische apparatuur en software.
Het klopt volgens mij wel dat er veel security issues zitten in custom FW voor specifieke medische apparatuur. De programmeurs moeten zowel een sterke medische kennis hebben als IT veiligheidskennis en dat lijkt me een zeldzame combinatie. Ideaal gezien zou dergelijke apparatuur ook niet aan een publiek netwerk verbonden mogen worden naar mijn mening. De software veroudert snel en wordt wss zelden gepatched voor security flaws.
Ideaal gezien zou dergelijke apparatuur ook niet aan een publiek netwerk verbonden mogen worden naar mijn mening. De software veroudert snel en wordt wss zelden gepatched voor security flaws.
Heel vaak staat gewoon in de handleiding dat dit dan ook niet mag. Maar ja, hoeveel IT-ers ken jij die de handleiding erbij pakken? :+
Maar ook uit puur gemakzucht wordt bijvoorbeeld VNC op een machine gezet en daarna in een eigen VLAN gehangen. Maar ja, als er dan 1 systeem van die 'kwetsbare' systemen eraan gaat, gaat de rest er meteen achteraan.

Maar dit is (voor een groot deel) ook gewoon een 'erfenis' van Microsoft. Windows kan 1000 en 1 dingen, maar in al die dingen kan dus ook meteen een probleem zitten. En systemen worden ook vaak 'misbruikt' voor andere zaken. Opent iemand toch 'even een browser'.
Linux kan je uitkleden tot het niveau dat het echt alleen nog maar doet wat het moet doen en dan hoef je ook maar relatief weinig software bij te houden.
[quote]
Heel vaak staat gewoon in de handleiding dat dit dan ook niet mag. Maar ja, hoeveel IT-ers ken jij die de handleiding erbij pakken? :+
[quote]
Ik roep al jaren: "Een professional is iemand die de handleiding wel heeft gelezen." :+
Dan geef ik direct toe dat de meeste IT-ers helemaal niet zo "professioneel" zijn, maar uiteindelijk is het dit soort kennis waar je ze voor betaald.

Helaas is weten vaak niet genoeg. Je kan wel weten dat een systeem zo lek als een mandje is en niet aan internet mag, maar als de artsen hun werk dan niet kunnen doen waardoor mensenlevens gevaar lopen dan wordt het wel heel lastig. Ik ken er genoeg die steen en been bij hun baas klagen maar er is gewoon geen geld voor een betere oplossing.
De programmeurs moeten zowel een sterke medische kennis hebben als IT veiligheidskennis en dat lijkt me een zeldzame combinatie.
Je zou natuurlijk ook twee programmeurs kunnen hebben, waarvan ťťn het medische deel (voor)programmeert en de ander ervoor zorgt dat het veilig geprogrammeerd wordt. Als de ťťn medische ervaring heeft, dan kan die in overleg met de ander wat er nodig is en waarom sommige zaken op een bepaalde manier gedaan moeten worden.

Maar ja, beveiliging kost nu eenmaal geld en is geen primair proces, dus daar doen we niet aan. ;)

[Reactie gewijzigd door The Zep Man op 24 januari 2018 10:41]

Goed initiatief. Ik hoop alleen dat de kosten niet te hoog gaan worden in de toekomst. Anders kunnen instellingen alsnog afhaken.
De NOS schrijft dat het team momenteel bestaat uit zes personen, die assistentie bieden aan de 36 aangesloten zorginstellingen
6 personen vind ik nou niet echt heel erg veel. Van zo'n CERT verwacht je dat ze 24/7 bereikbaar zijn. Met die zes personen lukt het net om 24/7 de telefoon op te pakken maar dat betekent dus ook dat er maar ťťn of twee tegelijk aan het werk kunnen zijn.
Ik neem aan dat de ziekenhuizen zelf ook nog beveiligingsteams hebben, want zes personen is IMHO al te weinig voor een enkel ziekenhuis, laatstaan voor 36 ziekenhuizen.

Begrijp me niet verkeerd, ik ben heel blij dat de ziekenhuizen dit doen, maar het is een druppel op een gloeiende plaat.

[Reactie gewijzigd door CAPSLOCK2000 op 24 januari 2018 11:43]

Ik denk dat je hier de kern wel raakt. Echter is de insteek in eerste instantie wellicht dat er een duidelijk loket is waar kan worden aangeklopt zodat er een degelijke initial response is. Met een team van 6 man kun je geen degelijk opvolging geven aan een groot incident, maar dat is op te lossen door zo'n team te zien en gebruiken als first responder die de hulptroepen oproept als dat nodig is.

Het lijkt me inderdaad niet realistisch dat ze de volledige emergency response uitvoeren voor tientallen zorginstellingen.
Dit zal gedreven zijn uit de GDPR (ook bekend als Algemene Verordening Gegevensbescherming).
Zie: http://data.consilium.eur.../ST-5419-2016-INIT/en/pdf
Weer zo'n clubje wat veel geld gaat verdienen en feitelijk alleen maar mailtjes gaat rondsturen dat zorginstellingen hun software moeten updaten etc. etc.
Als zorginstellingen gaan 'bloeden' wie betaald dat dan? Volgens mij nog steeds dezelfde groep mensen. [wij allemaal]
Door het idee van een CERT normaal te laten worden kunnen ze later hun deel betalen van de dienst die ze gebruiken. Dat is dan ook nog steeds ons geld..
Wat wel een besparing kan zijn is dat er niet meer betaald hoeft te worden aan slachtoffers van hacks.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True