Z-CERT heeft samen met zorginstellingen een raamwerk voor red teaming in de zorg ontwikkeld. Het doel van ‘ZOrg Redteaming Resilience Oefeningen’ (ZORRO) is het structureel verhogen van de weerbaarheid van deelnemende zorginstellingen en de sector als geheel. Het Antoni van Leeuwenhoek ziekenhuis en Z-CERT hebben eind 2021 een eerste red teaming oefening gehouden.
Tijdens een ZORRO-test worden de cybersecurity en weerbaarheid getest tegen realistische dreigingen in de dagelijkse operationele omgeving van de instellingen. Hierbij worden de Tactieken, Technieken en Procedures (TTP’s) van cybercriminelen op een realistische wijze nagebootst. Dit wordt red teaming genoemd. Het ZORRO-raamwerk is volgens Z-CERT gebaseerd op de succesvolle TIBER-methode uit de financiële sector en is op maat gemaakt voor de zorg.
Tijdens een ZORRO-test wordt niemand geïnformeerd over de gesimuleerde aanval, op een klein kernteam binnen de instelling na. Ook het securityteam of Security Operations Center (SOC) zijn niet op de hoogte. Hierdoor levert een ZORRO-test een realistisch beeld van de detectie- en verdedigingscapaciteit van de instelling op.
Na afloop van de test wordt in een gezamenlijke sessie met het red team, securityteam en Z-CERT de gesimuleerde aanval doorgenomen en waar mogelijk nagespeeld. In de praktijk levert dit goede inzichten op waarmee de instelling zijn beveiliging verder kan verstevigen, met een focus op de maatregelen die er echt toe doen.
Live omgeving
Een commerciële leverancier voert de aanval uit binnen de kaders van de ZORRO-methodiek. Z-CERT onderhoudt een lijst met leveranciers die bewezen hebben met de juiste kwaliteit, diepgang en voorzichtigheid te werk te gaan. Tijdens de ZORRO-test voert het kernteam binnen de instelling op detailniveau de regie over de aanval. Omdat in een ‘live’ omgeving wordt gewerkt, staan risicobeheersing en patiëntveiligheid altijd voorop tijdens een ZORRO-test.
De ZORRO-test bij het Antoni van Leeuwenhoekziekenhuis is volgens Z-CERT goed verlopen. Binnen het ziekenhuis werd het initiatief om een realistische aanval uit te voeren op alle niveaus gedragen. De test leverde nieuwe inzichten op en vergrootte de aandacht voor informatiebeveiliging binnen de organisatie tot op bestuursniveau.
