De afgelopen jaren is het aantal malware-aanvallen op zorgaanbieders sterk toegenomen, vooral sinds de coronacrisis. Reden voor Z-Cert om hier meer maatregelen tegen te treffen. Tijdens een ZORRO-test worden de cybersecurity en weerbaarheid van een instelling getest tegen realistische dreigingen in de dagelijkse operationele omgeving. Hierbij worden de Tactieken, Technieken en Procedures (TTP’s) van cybercriminelen op realistische wijze nagebootst. Dit wordt ook wel red teaming genoemd.
Realistisch beeld weerbaarheid
Het ZORRO-raamwerk is gebaseerd op de volgens Z-Cert zeer succesvolle TIBER-methode uit de financiële sector en is op maat gemaakt voor de zorg. Tijdens een ZORRO-test wordt niemand geïnformeerd over de gesimuleerde aanval, op een klein kernteam binnen de instelling na. Ook security-teams of het Security Operations Center (SOC) zijn niet op de hoogte. Zo moet een ZORRO-test een realistisch beeld geven van de detectie- en verdedigingscapaciteit van de instelling.
Na afloop van de test wordt samen met het red team, securityteam en Z-CERT de gesimuleerde aanval doorgenomen en waar mogelijk nagespeeld. In de praktijk levert dit goede inzichten op waarmee de instelling zijn beveiliging verder kan verstevigen, met een focus op de maatregelen die er echt toe doen.
Een commerciële leverancier voert de aanval uit, binnen de kaders van de ZORRO-methodiek. Z-CERT gebruikt hiervoor een lijst met leveranciers die bewezen hebben met de juiste kwaliteit, diepgang en voorzichtigheid te werk te gaan. Tijdens de ZORRO-test voert het kernteam binnen de instelling op detailniveau de regie over de aanval. Omdat in een ‘live’ omgeving wordt gewerkt, staan risicobeheersing en patiëntveiligheid altijd voorop tijdens een ZORRO-test.
ZORRO-test bij AVL
Het Antoni van Leeuwenhoekziekenhuis (AVL) voerde eind 2021 als eerste zorgaanbieder in Nederland een ZORRO-test uit. De ZORRO-test is volgens Z-Cert zeer goed verlopen, waarbij de verschillende partijen intensief samenwerkten om een realistische aanval uit te voeren. De test leverde nieuwe inzichten op en vergrootte de aandacht voor informatiebeveiliging binnen de organisatie tot op bestuursniveau.
Joost Boele, CISO van het AVL, noemt het de kracht van red teaming dat de beveiliging van de hele keten op de proef wordt gesteld. “Zo krijg je inzichten die je met losse testen nooit zou kunnen krijgen. Bovendien heb je als instelling een sluitend verhaal, gebaseerd op een realistische dreiging, om het informatiebeveiligingsbewustzijn van zorgverleners, onderzoekers, technici en managers mee te vergroten.”
Bredere inzet
Z-Cert gaat het ZORRO-programma doorontwikkelen. Het kennisinstituut voor cybersecurity levert aan deelnemers de methodiek, ondersteunende documenten, threat intelligence, een realistisch aanvalsscenario en begeleiding bij de leveranciersselectie en de implementatie. Vanaf 2022 stelt de organisatie het ZORRO-programma open voor meer deelnemers. Een aantal zorginstellingen heeft al aangegeven in de komende jaren deel te gaan nemen.
