Blog

Datacenter Security

Waarom vulnerability management onmisbaar is in de zorg

11 sep 2018

Marianne uit de Raad van Bestuur van een middelgroot ziekenhuis vraagt de ICT Manager: “Welk cijfer geef je onze organisatie als het gaat om de mate van beveiliging?” Je zou ook kunnen stellen: welke kwetsbaarheden kent onze ICT-infrastructuur?

Rob Blokzijl door Rob Blokzijl

In de zorg is de afgelopen jaren al veel geïnvesteerd in tal van security-maatregelen. Maar heeft u ook daadwerkelijk inzicht in de kwetsbaarheden van uw infrastructuur? Dat is precies wat een vulnerability management-oplossing biedt: een aanvulling op uw bestaande security-maatregelen om in kaart te krijgen wat de zwakke plekken in uw infrastructuur zijn.

Binnen het Healthcare-segment zijn (helaas) nog best een hoop medische apparaten die helemaal niet of zeer slecht te patchen zijn. Er blijft echter genoeg over om wel aan te pakken. Professionele vulnerability management-oplossingen zijn ontwikkeld om integrale samenwerking te creëren tussen verschillende IT-afdelingen binnen ziekenhuizen, GGZ ’s en gezondheidsinstellingen. Denk dan aan security teams, de IT-Operations afdeling en DevOps-teams. Deze afdelingen werken vaak afzonderlijk van elkaar en in silo’s, met een veelheid aan verschillende tools van verschillende leveranciers. Om hier optimaal gebruik van te kunnen maken en geen gaten in de beveiliging over het hoofd te zien, adviseren wij voor een security operations-platform te kiezen waar alle oplossingen onder vallen en dat tevens gebruikmaakt van een vulnerability management-oplossing.

Om een eerlijk antwoord te kunnen geven op de vraag hoe veilig een organisatie is, dien je eerst inzichtelijk te maken waar de kwetsbaarheden zich binnen de ICT-infrastructuur van een ziekenhuis, GGZ of gezondheidsinstelling bevinden en uiteraard wat de status ervan is. Daarvoor is het zaak eerst in kaart te brengen welke assets (servers, desktops, firewalls, mobiele devices, etc) onderdeel zijn van de ICT-infrastructuur en, misschien nog wel belangrijker, wie verantwoordelijk is voor het beheer ervan. Een demo op locatie geeft al snel inzicht van de mogelijkheden en een Proof of Concept (PoC) geeft een goede indruk van de oplossing evenals inzicht hoeveel assets er zijn. Belangrijke informatie, die ook van invloed is op het budget.

Wij helpen organisaties structureel en integraal inzicht te verkrijgen in de status van hun beveiliging en daarbij kwetsbaarheden op te lossen. Dat doen wij aan de hand van de volgende stappen:

Scan je ICT-infrastructuur – Asset-identificatie

Er zijn veel vulnerability scanners te krijgen – zelfs een flink aantal die niets kosten – waarmee je vrij eenvoudig in kaart kunt brengen welke assets er binnen jouw organisatie beschikbaar zijn en wat hun rol is. De management-oplossing creëert een database met daarin alles wat een IP-adres heeft. Belangrijk, want systemen die verbonden zijn met het internet zijn uiteraard het meest interessant voor hackers.

Inzicht in kwetsbaarheden

Na een eerste scan zullen de meeste vulnerability management-oplossingen een flinke lijst met kwetsbaarheden tonen. Met andere woorden: er is werk aan de winkel. Maar welke risico’s moeten het eerst aangepakt worden? Het op structurele basis uitvoeren van dergelijke scans en het oplossen van gevonden kwetsbaarheden door middel van patches en software updates, geeft inzicht in de mate van verbetering.

Waar te beginnen? – Automatisch prioriteren

Alle kwetsbaarheden tegelijk oplossen is een utopie. De meer serieuze (en daarmee betaalde) vulnerability management-oplossingen bieden veelal uitkomst. Waar veel gratis tools enkel informatie verzamelen, zullen de meer complete oplossingen invulling geven aan het beheren van de gevonden kwetsbaarheden. Denk hierbij aan het automatisch prioriteren van de belangrijkste kwetsbaarheden (niet alleen op basis van CVSS-scores, maar op basis van een meer gedifferentieerde aanpak) en wellicht zelfs het automatisch intern toewijzen aan de juiste groep beheerders. Het is voor niemand motiverend om een lijst van honderden risico’s aan te pakken. Mijn advies is daarom om het behapbaar te maken. Dat doe je door bijvoorbeeld de top 10 kwetsbaarheden te delen met de teams of individuele beheerders, eens per week of eens per twee weken.

Zoals gezegd zijn veel medische apparaten helemaal niet of zeer slecht te patchen. Deze zijn veelal al ondergebracht in een apart segment van het netwerk, maar je zou deze na een eerste scan uit willen sluiten om hier niet telkens mee geconfronteerd te worden. Ook dit kan worden opgenomen in een goede vulnerability management-oplossing.

Uitvoeren herstelwerkzaamheden

Er zijn vulnerability management-oplossingen op de markt die, naast de benodigde prioritering van risico’s, op basis van bedreigingsinformatie tevens per item aangeven welke risico’s worden weggenomen als deze worden opgelost. Ook tonen zij de oplossingsrichting of welke updates geïnstalleerd moeten worden per weergegeven risico. Zo wordt ook het uitvoeren van herstelwerkzaamheden vele malen gemakkelijker. Veel organisaties maken gebruik van een SIEM-oplossing. Dat biedt in de meeste gevallen mogelijkheden om te koppelen met een vulnerability management-oplossing. Het is dus verstandig om te onderzoeken wat daar de mogelijkheden in zijn.

Marianne was overigens uiteindelijk vrij eenvoudig te overtuigen van het nut om voor een serieuze vulnerability management-oplossing te kiezen. Zij krijgt nu vier keer per jaar een mooi rapport waarin zij precies kon zien van welke kwetsbaarheden sprake was en hoe deze adequaat zijn opgelost, inclusief de daling van het risico dit heeft opgeleverd. Zo heeft zij zelf inzicht in de veiligheid van de ICT-infrastructuur van haar ziekenhuis.

Wij zijn erg benieuwd waar u tegenaan loopt bij het inregelen van uw security. Bent u op zoek naar een antwoord op maat? Neem dan gerust contact met mij op via rob.blokzijl@telindus.nl.

Geïnteresseerd?

Rob Blokzijl
Neem contact op met onze Access- specialist Rob Blokzijl

Rob Blokzijl is Account manager Healthcare binnen Telindus. Hij is al meer dan 20 jaar actief in adviserende functies en heeft veel ervaring opgedaan bij enkele IT-dienstverleners. Na een aantal jaren van Sales Management en Directie functies doet Rob al weer ruim een jaar wat hij echt leuk vindt; samen met de klant zoeken naar de beste passende oplossing of Managed Service.
Binnen het segment Healthcare (Cure en Care) zien wij dat de digitale transformatie steeds meer nieuwe toepassingen brengt en daarmee ook steeds meer gaat vragen van de ICT-infrastructuur en de effectieve beveiliging daarvan. Telindus biedt een prachtig portfolio welke goed aansluit bij ziekenhuizen, GGZ organisaties en zorginstellingen. Steeds vaker wordt Telindus gezien als echte kennisorganisatie, waarbij het dienstenportfolio mede door enkele recente overnames alleen maar completer én unieker is geworden.
Naast zijn gedrevenheid om van alle oplossingen en diensten inhoudelijk voldoende kennis op te bouwen om adequaat te reageren op uitdagingen bij klanten, sport hij met plezier in de avonduren en kijkt hij graag naar een goede serie of film.

geen reacties
Plaats een reactie