De inspectie hanteert voor de toezicht op de informatiebeveiliging een duidelijke norm: NEN 7510. Het is weliswaar nog niet verplicht om aan deze norm te voldoen, maar als de inspectie de norm hanteert, maakt dat voor de praktijk niet zoveel uit. Voldoen aan de norm betekent niet alleen dat de informatiebeveiliging op orde is, maar ook dat de zorginstelling eventuele issues kan signaleren, kan nagaan of de beveiligingsmaatregelen effectief zijn en dat de securityoplossingen goed functioneren. Kortom, de norm geeft het antwoord op de vraag of de risico’s die afgedicht moeten worden ook echt zijn afgedicht.
Belang van controles
Dat het belang van deze controles onderbelicht is, is ook om een andere reden zorgwekkend. Goede controles leveren namelijk belangrijke informatie op om het beveiligingsbeleid, het bijbehorende plan én de inrichting van de beveiliging voortdurend aan te scherpen. En die aanscherping is een must in een wereld met voortdurend nieuwe dreigingen. Sterker: NEN7510 én het College Bescherming Persoonsgegevens (CBP) eisen simpelweg dat controle (Check) en bijsturing (Act) actieve fases zijn in de cyclus van informatiebeveiliging.
Expertise
Zoals gezegd vergt een goede controle op de effectiviteit van maatregelen veel expertise. Ga maar na: stel dat een antivirus-oplossing een virus niet herkent. Als er iets doorheen slipt, kan alleen iemand die daar beter in is dan die software, dat vaststellen. Daar komt bij dat aanvallen op de beveiliging onvoorspelbaar in aard en aanvalsmoment zijn. Controles moeten daarom continu plaatsvinden. In de praktijk wordt de hiervoor benodigde tijd zelden meegenomen in de informatiebeveiliging. Securitybeheer wordt als bijtaak binnen de IT-afdeling belegd en sneeuwt onder door andere prioriteiten.
Specifieke kwetsbaarheden
Dan speelt nog dat de zorgsector werkt met vitale medische systemen met specifieke kwetsbaarheden. Zodra deze aan het netwerk gekoppeld worden, kunnen onacceptabele risico’s ontstaan. Ook hier geldt dat voortdurend gelet moet worden op signalen die op een mogelijk beveiligingsissue wijzen. Er is in de zorg dus niet minder, maar meer dan gemiddeld aandacht nodig voor securitybeheer.
SOC’s
De controles zijn echter het werk van gespecialiseerde mensen. Er zijn niet veel zorginstellingen die zulke specialisten in huis hebben. Een security operations center (SOC) biedt uitkomst. Vanuit deze SOC’s monitoren experts met geavanceerde tools voortdurend de beveiliging van klanten. Dat levert niet alleen inzichten op over de staat van de beveiliging en eventuele verdachte activiteiten op het netwerk, maar ook inzicht in beveiligingszaken die specifiek zijn voor de organisatie die wordt gemonitord.
Strategische informatie
Een zorgorganisatie moet zelf kunnen aantonen dat de beveiliging goed geregeld is, maar een SOC kan snel de nodige informatie leveren voor rapportages conform de NEN 7510. Zonder de input van een SOC kan het een bijzonder inefficiënte exercitie worden om aan te tonen dat de beveiliging in orde is. Maar misschien nóg wel belangrijker is dat een SOC de nodige strategische informatie kan leveren. Met die informatie kan de informatiebeveiliging verder verbeterd worden, toegespitst op de specifieke situatie van de desbetreffende organisatie.
Zorginstellingen moeten ook iets doen aan de oorzaken van zwakke plekken in de beveiliging van softwaresystemen door de broncode en architectuur te onderzoeken op weerbaarheid. Dit onderzoek kan in elke fase van ontwikkeling en beheer worden toegepast, gebruikmakend van de juiste tooling en expertise. Het levert inzicht in hoe goed beveiliging is of nog kan worden ingebouwd om toekomstige aanvallen, fouten of datalekken te voorkomen. Er zal ook gekeken moeten worden naar de relevante processen (ontwikkeling, beheer) en naar kwaliteitsaspecten die verband houden met programmeerfouten, om zo het risico op nieuwe kwetsbaarheden en datalekken te beheersen. Op deze manier is security meetbaar en stuurbaar in elke softwarefase, waarbij niet alleen rekening wordt gehouden met bekende aanvallen, maar ook met bestendigheid tegen nieuwe bedreigingen. Relevante standaarden zijn die van NCSC, CWE/SANS, OWASP en ISO25010.
Meer informatie: http://www.sig.eu/software-security
Een SOC kan een aantal controles uitvoeren, maar als ik kijk naar de meeste maatregelen die een zorginstelling vanuit de NEN 7510 zal implementeren, dan moeten die op een andere manier gecontroleerd worden. De check (uit de Plan-Do-Check-Act) zal over het algemeen een interne audit zijn.