Geheim ZORRO-testen blijven voor het grootste gedeelte van een organisatie geheim, totdat ze zijn afgerond. Vrijwel niemand wordt geïnformeerd over de gesimuleerde aanval, behalve een klein kernteam binnen de organisatie. Ook het securityteam of Security Operations Center (SOC) zijn niet op de hoogte. Dat geeft een realistisch beeld van de detectieen verdedigingscapaciteit van de zorginstelling. Tegelaar: “De instelling is eigenaar van de test en van de testresultaten. Een ziekenhuis bepaalt dus zelf wat ze daarover naar buiten brengen en delen met andere zorginstellingen. Wij gaan daarnaast een ZORRO-community opbouwen, waarbinnen deelnemers kennis en ervaringen uit de ZORRO-testen kunnen uitwisselen. Uiteindelijk maken we hiermee de gehele sector veiliger. En wanneer een generieke kwetsbaarheid in software wordt gedetecteerd tijdens een test, dan delen we dat, in overleg met de ZORRO-deelnemer, met de hele sector én met de leverancier.” Patiëntveiligheid gewaarborgd Tijdens een ZORRO-test is patiëntveiligheid essentieel. “Dat is het allerbelangrijkste” zegt Tegelaar. “Binnen de organisatie is een kernteam, het ‘white team’, op de hoogte van de test-aanval. In dat team zitten een bestuurder, een security officer en een ICT-expert, maar ook een of meerdere clinici. Zij worden dagelijks door het red team op de hoogte gehouden over de stand van zaken. Bij elke stap die het red team in de aanval zet, voert het white team het risicomanagement uit. Op elk moment kunnen zij de test pauzeren of stoppen, bijvoorbeeld als er simultaan een echte aanval plaatsvindt.” Het white team geeft ook aan welke apparatuur en systemen essentieel zijn voor de patiëntveiligheid. Waarheidsgetrouw De aanval door het ingehuurde red team is zo realistisch mogelijk. Tegelaar: “Zij krijgen de dreigingsanalyse van ons, maar hebben in principe geen ingang in de organisatie die de aanval in gang zet door bijvoorbeeld een phishingmail aan te klikken. Het gaat er in de ZORROtest echt om dat organisaties, die in principe een geavanceerd detectieen responsesysteem hebben, kunnen testen of het allemaal goed werkt. Zijn de processen voor opvolging goed geregeld? Worden de juiste handelingen uitgevoerd en kun je de aanval stoppen? Bij een volledige red team oefening wordt een verborgen infrastructuur opgezet, zodat de verdediging van de zorginstelling - het blue team genoemd - niet zomaar kan herleiden dat het een aanval is. Geavanceerde cybercriminelen doen dat namelijk ook zo.” Aan het einde van een ZORRO-test komen aanvallers en verdedigers (red en blue team) bij elkaar. De teams spelen delen van de aanval na ‘Sluitend verhaal’ Joost Boele, CISO van het AVL over de ZORRO-test: “Zo krijg je inzichten die je met losse testen nooit zou kunnen krijgen. Bovendien heb je als instelling een sluitend verhaal, gebaseerd op een realistische dreiging, om het informatiebeveiligingsbewustzijn van zorgverleners, onderzoekers, technici en managers mee te vergroten.” 13
14 Online Touch Home