Het lijkt een nachtmerriescenario voor de zorgsector: hackers in je systemen. Maar (onder de juiste voorwaarden) is het eigenlijk een heel goed idee. Met behulp van goedwillende hackers, zogenaamde Healing Hackers, kan de sector een grote stap voorwaarts zetten op het gebied van cybersecurity. Hoe? Dat leggen Wim Hafkamp (directeur Z-CERT) en Jonathan Bouman (huisarts en hacker) uit.
Er hangt sinds het begin van het internet een zweem van mystiek rond de term hacker. We kennen allemaal de stereotypen van bleke jongens in donkere hoodies, gebogen over laptops waar ontcijferbare codes overheen stromen. Die Hollywood-versie van hackers bestaat nog steeds. Maar er is ook een groeiende groep techneuten die in de openbaarheid systemen en software kraken: zogeheten ethische hackers. Stichting Z-CERT, het expertisecentrum voor cybersecurity in de zorgsector omarmt deze groep.
Sinds de oprichting in 2017 ondersteunt Z-CERT ruim 160 zorginstellingen. Van Universitaire ziekenhuizen tot GGZ-instellingen, verslavingszorg en jeugdzorg. De stichting deelt actief dreigingsinformatie en kennis met de aangesloten organisaties, vertelt Wim Hafkamp: “Ons team van securityspecialisten speurt dagelijks naar kwetsbaarheden in software en hardware die relevant zijn voor zorginstellingen. Het betreft zowel generieke hardware en software als specifieke software voor bijvoorbeeld medische apparaten. Bij een ‘hit’ krijgen de aangesloten zorginstellingen direct een melding en praktische informatie waarmee ze hun systemen veiliger kunnen maken. Zo voorkomen we dat cybercriminelen misbruik maken van deze kwetsbaarheden. Het is een kat en muisspel dat 24/7 doorgaat.”
Aangifte doen werkt averechts
Behalve via de eigen analisten ontvangt de zorgsector de meeste informatie over kwetsbaarheden via securitypartners zoals het Nationaal Cyber Security Centrum of internationale instanties. In enkele gevallen is het een hacker die een kwetsbaarheid ontdekt. In dat geval kan zo’n hacker meerdere kanten op:
- De hacker buit de kwetsbaarheid uit, door het zelf te gebruiken of door te verkopen aan tussenpartij die de bug uitbuit. Door bijvoorbeeld data te stelen, te verkopen en hier financieel beter van te worden.
- Hij/zij meldt de kwetsbaarheid bij de betreffende organisatie. De organisatie neemt de melding in behandeling, beoordeelt of het een serieuze melding is en neemt indien nodig direct noodzakelijke maatregelen om schade te beperken. De hacker wordt op een passende manier bedankt. Dit heet een Coordinated Vulnerability Disclosure (CVD).
Nummer 1 wil je koste wat kost voorkomen, legt Jonathan Bouman uit. Maar wat doe je als een hacker je mailt dat je systemen kwetsbaar zijn. Hoe weet je dat het waar is? Hoe pak je zo’n melding aan als zorginstelling? Doe je aangifte? Hacken is computervredebreuk en staat op gelijke voet met inbreken. In principe is een hacker die niet in opdracht van een organisatie werkt, strafbaar.
“Aangifte doen werkt juist averechts”, zegt Bouman. Naast zijn parttime werk als huisarts besteedt hij 14 tot 20 uur per week aan hacken. Hij is een groot pleitbezorger van het CVD-protocol (zie ook kader). “Organisaties met een CVD-protocol op hun website zorgen voor een veilige omgeving voor de hacker om bevindingen te melden. De organisatie zegt als het ware: wij doen geen aangifte tegen jou als jij je informatie deelt met ons. We spelen dit fair. De organisatie krijgt de kans om ‘digitaal te helen’ en de hacker krijgt een passend bedankje, zoals een T-shirt, cadeaubon of een geldbeloning.”
Het correct afhandelen van een CVD-melding kan soms veel tijd kosten. Daarom neemt Z-CERT hierin de leiding voor de aangesloten zorginstellingen. Z-CERT neemt de CVD-meldingen in ontvangst, voert triage uit (welke melding is fake, welke is echt; welke is al bekend en welke moet met spoed worden behandeld) en regelt de communicatie met de hacker.
