Cyberveiligheid in de zorg is een topprioriteit, want cyberdreigingen worden steeds geavanceerder. Toch blijkt uit gesprekken met experts in de Z-CERT-podcast ‘Zet 'm op’ dat veel zorginstellingen nog worstelen met de vraag: hoe test je effectief of je écht veilig bent?
Om die vraag te beantwoorden, is eerst het inzicht nodig dat testen geen eenmalige actie is, maar een continu proces. Veel organisaties vertrouwen op certificeringen en audits als bewijs van hun digitale weerbaarheid. Maar zoals Jesse, programmamanager Testen bij Z-CERT, treffend in de podcast zegt: “Een vinkje op papier zegt niets over de effectiviteit van je maatregelen.” Alleen door je technische maatregelen te testen, weet je dat ze werken.
Testpiramide
Daarbij is het belangrijk om klein te beginnen. Denk aan scans van je netwerk of applicaties, waarmee je snel een beeld krijgt van eenvoudig te repareren kwetsbaarheden zoals open poorten, verouderde software of misconfiguraties. Zulke scans zijn vaak geautomatiseerd en vormen de basis van wat Z-CERT de ‘testpiramide’ noemt. Het is een model dat organisaties helpt om stap voor stap hun testvolwassenheid te vergroten.
Naarmate je hoger in die piramide komt, worden de testen complexer en realistischer. Denk aan penetratietesten waarbij ethische hackers proberen binnen te dringen in je systemen. Of aan Red Teaming. Dit is een gesimuleerde aanval waarbij niet alleen de techniek, maar ook de weerbaarheid van je hele organisatie op de proef wordt gesteld. Zulke testen zijn intensief en bijzonder waardevol - mits je er klaar voor bent.
Aanvalsoppervlak in beeld
Een belangrijke voorwaarde voor effectief testen is dat je goed weet wat van jou is. Veel organisaties hebben geen volledig overzicht van hun digitale aanvalsoppervlak zoals domeinen, IP-adressen, cloudomgevingen en applicaties die aan het internet hangen. Shadow IT - oftewel systemen die buiten het zicht van de IT-afdeling opereren - vormt daarbij een groot risico. Zonder overzicht kun je immers niet beschermen wat je hebt.
Kritisch naar leveranciers
Ook leveranciers spelen hierin een sleutelrol. Zorginstellingen maken steeds vaker gebruik van externe apps en webapplicaties. Maar hoe weet je of die veilig zijn? Door kritische vragen te stellen. Is de app getest? Tegen welke standaarden? Zijn er kwetsbaarheden gevonden? Kortom, transparantie van leveranciers is essentieel om producten en diensten te vertrouwen. En een leverancier die geen inzage wil geven, is een rode vlag.
Methodiek
Juist om die reden pleit Z-CERT, samen met experts als Brenno de Winter, voor meer structuur en standaardisatie in het testproces. De MIAUW-methodiek - een gestandaardiseerde aanpak voor penetratietesten met auditwaarde - helpt organisaties om testen op een uniforme, controleerbare manier uit te voeren. Zo kunnen ook bestuurders zonder technische achtergrond beter beoordelen of hun organisatie in control is.
En dat is hard nodig, want zoals de casus van de gemeente Hof van Twente laat zien, kan het ontbreken van volledigheid in testen desastreuze gevolgen hebben. Een test die niet volledig is uitgevoerd of waarvan de resultaten niet goed worden begrepen, biedt schijnveiligheid. Met MIAUW kunnen organisaties aantonen dat ze hun basis op orde hebben—en dat is precies wat de nieuwe NIS2-richtlijn van hen vraagt.
Transparantie en verbetering
Het testen van je IT-beveiliging is niet alleen een technische exercitie, maar ook een cultuurverandering. Het vraagt om openheid, samenwerking en de bereidheid om te leren van fouten. Transparantie over incidenten en testresultaten helpt niet alleen de eigen organisatie, maar versterkt de hele keten. Zeker met de komst van NIS2, die ketenverantwoordelijkheid expliciet benoemt, wordt samenwerking tussen zorginstellingen en leveranciers essentieel. Zoals in de luchtvaart, waar incidenten tot op de bodem worden uitgezocht om herhaling te voorkomen, zou ook de zorg moeten streven naar transparantie en continue verbetering.
Het maakt dus niet uit of je nu een kleine praktijk bent of een groot ziekenhuis: begin met testen, leren en verbeteren. Want digitale veiligheid is geen eindpunt, maar een reis. En die begint vandaag. Heb je hulp nodig bij testen? Deelnemers aan Z-CERT kunnen hiervoor bij Z-CERT aankloppen.
De podcast ‘Zet ‘m op’ is te beluisteren via je favoriete podcast-platform en de website van Z-CERT.
