cybersecurity | tekst • Mirjam Hommes Realistische aanvalsscenario’s voor zorginstellingen ZORRO test cyberveiligheid met maatwerk Kwetsbaarheden in de digitale zorg-infrastructuur kunnen leiden tot bijvoorbeeld ‘ransomware aanvallen’ waardoor hele ziekenhuizen op slot gaan of datadiefstal waarbij onderzoeks- of patiëntengegevens op straat komen te liggen. Stichting Z-CERT rolt momenteel ZORRO-tests uit bij een aantal grotere ziekenhuizen. Daarmee worden op maat voor elke organisatie de kwetsbaarheden blootgelegd. Z ORRO staat voor ‘ZOrg Redteaming Resilience Oefeningen’ een methodiek waarin een extern ‘red team’ een onaangekondigde maatwerk-aanval uitvoert binnen een zorgorganisatie. De eerste test is eind 2021 afgerond in het Antoni van Leeuwenhoek (AVL). Sinds begin 2022 is de ZORRO-methodiek breed beschikbaar gemaakt voor de deelnemers van Z-CERT. Naar verwachting hebben eind 2023 zo’n vijf à tien grote zorgorganisaties het hele testtraject doorlopen. Scenario vanuit dreigingsanalyse Marcel Tegelaar van Z-CERT: “ZORRO is afgeleid van TIBER, een beproefde manier van testen in de financiële sector. ZORRO is aangepast aan de zorgsector, waar de budgetten en security teams vaak kleiner zijn. We gebruiken zorg-specifieke scenario’s en kijken per organisatie welke dreigingen te verwachten zijn om zo een echte aanval te kunnen simuleren. Z-CERT maakt een dreigingsanalyse waarin uitgezocht wordt wat het aanvalsoppervlak van de organisatie is, hoe een reële aanvaller binnen kan komen en welke route hij zou volgen binnen de digitale ‘De instelling is eigenaar van de test en van de testresultaten’ 12 FMT | november 2022 Marcel Tegelaar (Beeld: Z-Cert) infrastructuur. Daarbij kijken we welke bedreigingen en aanvalsgroepen actueel zijn voor dit type organisatie. Wat zijn de doelen van deze aanvaller? Hoe geavanceerd is deze groep? En wat is hun werkwijze? Naast cybercrimegroepen die zich richten op afpersing met ransomware, zijn statelijke actoren (door staten aangestuurde personen, groepen of organisaties) actief die de dienstverlening willen verstoren. Ook onderzoeksonderdelen kunnen doelwit zijn.” Nadat de analyse is gemaakt, werkt Z-CERT een scenario uit voor het begin van de aanval. Daarin staat wat er in de test aangevallen wordt en hoe. Het kan bijvoorbeeld beginnen met een phishing mail. Dit scenario gaat naar het externe red team, dat vervolgens de verdere aanvalsroute uitstippelt en de aanval uitvoert.
13 Online Touch Home