Ziekenhuizen moeten aan strenge normen voldoen op het gebied van informatiebeveiliging. Dankzij de Quick Scan van RST~Longus/ParadosLabs ging de Rijnland Zorggroep met vertrouwen de officiële inspectie in. “De duidelijkheid van de bevindingen vond ik verfrissend.”

ICT heeft de laatste jaren tot ingrijpende veranderingen geleid in de zorgsector. “Vroeger sleepten artsen met dikke papieren dossiers”, vertelt Edward van Munster, Manager ICT bij de Rijnland Zorggroep, “tegenwoordig wordt die informatie in toenemende mate digitaal opgeslagen.” Heel handig natuurlijk, maar ook niet zonder risico’s. Want hoe veilig zijn onze privé-gegevens? Is onze privacy wel gewaarborgd? “Het is logisch en terecht dat patiënten zich dat afvragen”, zegt Van Munster. “Bovendien: ook voor ons als zorgverlener is de digitalisering een nieuwe tak van sport.” Vandaar dat ziekenhuizen aan strenge eisen moeten voldoen op het gebied van informatiebeveiliging – de zogeheten NEN 7510-norm. Om zich voor te bereiden op de inspectie, heeft de Rijnland Zorggroep een risicoanalyse informatiebeveiliging, gebaseerd op de NEN 7510-norm, laten uitvoeren door RST~Longus/ParadosLabs.

Van Munster: “RST~Longus/ParadosLabs heeft daarvoor allereerst gesprekken gevoerd met sleutelfiguren in onze organisaties. Dat waren open interviews om de huidige stand van zaken te peilen, zonder dat ze ons alvast tips of instructies gaven. Vervolgens hebben ze onze informatiebeveiliging doorgelicht aan de hand van een checklist.” Daarbij wordt niet alleen gekeken naar de technische kant van het verhaal, legt Van Munster uit. Ook de ‘menselijke’ kant wordt doorgelicht: kennen en begrijpen de medewerkers de regels, houden zij zich aan procedures, en zijn zij zich bewust van de risico’s? En last but not least werd er een technische scan uitgevoerd op het systeem, om “digitaal aan de sloten te morrelen, om zo te kijken of die deugdelijk zijn.”

“Daarna heeft RST~Longus/ParadosLabs de bevindingen verwerkt in hun software tool en verslag uitgebracht van de bevindingen, waarbij op het hoogste niveau in één grafiek de status van de organisatie op het gebied van informatiebeveiliging wordt getoond. De verslaggeving was buitengewoon rechtlijnig, maar dat is natuurlijk ook goed. De bevindingen lieten geen ruimte voor grijswaarden, het was gewoon ‘ja’ of ‘nee’, punt. Die duidelijkheid vond ik verfrissend. Het voorkomt ook dat je achteraf intern allemaal discussies krijgt over de interpretatie van het rapport. We weten nu gewoon waar we aan toe zijn.”

Inmiddels is de officiële audit van de Rijnland Zorggroep begonnen. “Dankzij RST~Longus/ParadosLabs hebben wij daar alle vertrouwen in. Wij weten inmiddels wat onze sterke en zwakke punten zijn. We zijn al voor de audit met de neus op de feiten gedrukt.”

februari 2011

Wij werden benaderd om te assisteren bij een nieuwbouwproject van een e-learning website. Het lukte de bouwers maar niet om het beeldmateriaal veilig, na authenticatie en autorisatie, gepresenteerd te krijgen. Wat ze ook probeerden: het beeldmateriaal bleek vrij eenvoudig door iedereen opgevraagd te kunnen worden.

ParadosLabs heeft een Proof-of-Concept gemaakt waarbij de toegangscontrole wel correct werkt. Met dit voorbeeld en een korte toelichting kon de ontwikkelpartij weer verder. Het proof-of-concept is nu geïntegreerd en de nieuwe website komt binnen enkele weken online.

Wij hebben drie functionarissen korte interviews afgenomen waarin de diverse onderwerpen met betrekking tot informatiebeveiliging en de NEN7510 aan de orde kwamen, afhankelijk van de desbetreffende functie. In dit kader is gesproken met de projectleider informatiebeveiliging, het hoofd P&O en de manager ICT.

Daarnaast hebben wij in overleg met de ICT-afdeling een sensor geplaatst in het netwerk en deze (een deel van) het netwerk en het verkeer gedurende vijf werkdagen laten scannen.

De zowel uit de interviews, als uit de scan verkregen gegevens hebben wij verwerkt in de softwaretool. Dit levert de overzichten en grafieken waarmee uiteindelijk de rapportage is opgesteld.

Het Rijnland Ziekenhuis heeft hiermee een goed inzicht verkregen in de status van de organisatie en de ICT-infrastructuur in het kader van informatiebeveiliging. Inmiddels is besloten dat zij de open source softwaretool zelf gaan gebruiken, om een continu inzicht in de situatie te hebben. De opgedane kennis is overgedragen aan medewerkers van het Rijnland Ziekenhuis.

De OWASP Risk Assessment Calculator vindt u op http://www.paradoslabs.nl/owaspcalc.

Een paragraaf uit het het artikel:
Het Groningse ParadosLabs biedt behalve losse scans en tests ook een Security Monitor waarmee een bedrijf zijn it-infrastructuur regelmatig gecontroleerd kan hebben. “De Security Monitor voert automatisch iedere maand een aantal stappen van een test uit. De klant krijgt zo inzicht in veranderingen in zijn it en de daarbij behorende risico’s”, zegt Ties Voskamp van Parados Labs. “De automatisering maakt het makkelijker een continue beeld te hebben van de status van de beveiliging. Het drukt bovendien de kosten, doordat de tests minder tijd kosten. De resultaten worden wel altijd gecontroleerd voor we die met de klant delen”, aldus Voskamp.

We waren erg blij met de grote opkomst en het getoonde enthousiasme.

De presentatie van dit seminar is hier te downloaden.

Oorzaak: gebrekkige validatie van de input door de applicatie.
Alle input werd doorgegeven aan de achterliggende SQL database zonder enige vorm van controle. Hierdoor was toegang tot de gehele database mogelijk. Alle informatie zoals contactgegevens en webtransacties kon worden getoond, gewijzigd en verwijderd.

Ons advies:

1. Pas de webapplicatie aan zodat ingevoerde gegevens worden gevalideerd;
2. Controleer de juistheid van de gegevens in de database.

Het ontwikkelteam van de opdrachtgever heeft de applicatie zodanig aangepast dat alleen gevalideerde input wordt verwerkt.

De analyse wees uit dat het merendeel van de bereikbare systemen als “goed beheerd” konden worden betiteld.

Drie van de systemen bleken echter “Risico Hoog” kwetsbaarheden te hebben. Een van de webservers bevatte een kopie van de Windows Command Interpreter in de /scripts directory. Deze situatie vormde een eenvoudige ingang om allerlei commando’s te laten uitvoeren. Om de ernst hiervan te onderbouwen is door ons een directory C:\Hacked aangemaakt op de webserver.

De aangetroffen situatie vormde de indicatie dat de beveiliging van het systeem al eerder was gecompromitteerd door een hacker of kwaadaardige software zoals een worm.

Ons advies:

• Onderzoek op welke wijze deze situatie is ontstaan;
• Herinstalleer het gehele systeem met behulp van liefst originele of “schone” installatiemedia.

Wij hopen u daar te mogen ontmoeten om te horen wat u bezig houdt op het gebied van informatiebeveiliging. Op onze beurt vertellen wij u graag welke toegevoegde waarde ParadosLabs kan bieden bij het behalen van uw doelstellingen.

Meer informatie over dit congres is te vinden op http://www.novellcongres.nl/.

Voor de LinkedIn liefhebbers: http://events.linkedin.com/Novellcongres-nl-2010/pub/187139

Tot 2 juni!

1. “De gestolen laptop”
2. “Toegang zonder account tot het lokale netwerk”
3. “Mogelijk misbruik met behulp van een regulier account”
4. “Een extra vestiging”

Hoewel de conclusie was dat de opdrachtgever over een goed beheerd netwerk beschikt, wordt mogelijk misbruik bepaald door de zwakste schakel. De daadwerkelijk kwetsbare plekken zijn voor alle 4 scenario’s aangetoond en in kaart gebracht. Een aantal daarvan waren al bekend, maar op basis van een risico- en kosten/baten analyse zijn hier bewust geen maatregelen genomen. De overige punten worden op korte termijn aangepakt.

Neem contact met ons op voor meer inhoudelijke informatie over deze case en wat wij voor uw organisatie kunnen betekenen.