SOC, SIEM, MDR, EDR... wat zijn de verschillen?
12 maart 2024
H. Hartziekenhuis Mol
Ziekenhuis onder vuur: de lessen van een ransomwareaanval
Het is de nachtmerrie van iedere organisatie: een ernstige cyberaanval die systemen platlegt, data versleutelt en dienstverlening verstoort. Precies dat overkwam het H. Hartziekenhuis in Mol. Met welke maatregelen verkleinen zij de kans op herhaling? Dit is hun verhaal en de ‘lessons learned’.
Fase 1: de cyberaanval
Het is een dinsdagochtend in februari 2021. Een van de IT-medewerkers van het Heilig Hartziekenhuis merkt direct na haar aankomst iets vreemds op: de systemen hebben last van een forse vertraging. Bovendien is er vreemde activiteit op het netwerk. Zo is een systeem actief dat op dat tijdstip in rust hoort te zijn.
In noodtempo schakelt het ziekenhuis de internettoegang, het intranet en het netwerkverkeer uit. Het blijkt dan voor sommige systemen al te laat. Op enkele bureaubladen prijkt een tekstdocument met daarin een onheilspellend bericht van de aanvallers: toegang is pas weer mogelijk na de betaling van een fikse som losgeld. Dat bericht neemt alle twijfel weg: het ziekenhuis is slachtoffer van een ransomwareaanval.
Direct stelt het ziekenhuis een crisisteam samen van management en medisch personeel om de directe impact en omvang van de aanval te analyseren. De systemen voor de patiëntregistratie lijken het hardst getroffen. Dat heeft direct gevolgen: de intake van nieuwe patiënten moet weer ouderwets op papier.
Intern conflict
Al snel ontstaat een intern conflict. IT-medewerkers willen alle systemen uitschakelen om verdere verspreiding van de ransomware te voorkomen. Dat is tegen het zere been van de artsen en verpleegkundigen: zij hebben toegang tot de elektronische patiëntendossiers nodig voor goede zorgverlening. De vraag rijst wie precies ‘in the lead’ is.
Het team brengt via een WhatsApp-pyramide alle medewerkers op de hoogte van de crisis. Iedereen, van de chirurgen tot de schoonmakers, krijgt vanaf dat moment twee uur om belangrijke gegevens te downloaden voordat alle systemen worden afgesloten.
Fase 2: het herstel
Het ziekenhuis schakelt hulp van buitenaf in. Dezelfde dinsdagmiddag rond vier uur is er een externe IT-partij ter plaatse om het ziekenhuis te helpen. Zij starten meteen met een crisismitigatie. Dat begint met een analyse van de situatie en een stapsgewijze herstelprocedure:
- ze verdelen de besmette en niet-besmette systemen
- ze voeren een herinstallatie en reiniging van de systemen uit in een zogenaamde 'wasstraat'
- ze installeren uitgebreide antivirussoftware
- ze herstellen de data zo ver mogelijk door het terugzetten van de back-up
Het ziekenhuis probeert de aanvallers nog van gedachten te veranderen. Beseffen zij überhaupt dat ze een ziekenhuis hebben aangevallen en daarmee patiënten in gevaar brengen? De cybercriminelen reageren kortaf: betaal of val me niet lastig. Met deze criminelen valt geen zinnig gesprek te voeren, zo blijkt.
Na vijf dagen is de dienstverlening weer volledig hersteld. Toch heeft de cyberaanval zijn sporen nagelaten. De geschatte kosten: zo’n 700.000 tot 1.000.000 euro. Gelukkig beschikt het ziekenhuis op dat moment over een cyberverzekering.
Fase 3: de kans op herhaling verkleinen
De les was duidelijk: dit nooit meer. Het ziekenhuis nam daarom in de maanden na de aanval uitgebreide maatregelen. Kern van het actieplan is de zogeheten Zero Trust-benadering. Deze gaat ervan uit dat elke gebruiker, elk apparaat en elk netwerk een potentiële bedreiging vormt en daarom expliciet geverifieerd moet worden. Het actieplan van het ziekenhuis omvat de volgende onderdelen:
Gebruik least privilege access
De toegang tot gevoelige data en systemen is zo veel mogelijk beperkt tot alleen de personen en applicaties die deze echt nodig hebben. Dit vermindert het risico dat een aanvaller gemakkelijk toegang kan verwerven tot gevoelige data en die kan stelen of versleutelen.
Assume breach
Het ziekenhuis gaat ervan uit dat er nog steeds malware of kwaadaardige actoren aanwezig zijn in het netwerk en monitort voortdurend het gedrag en de activiteiten van alle gebruikers, apparaten en netwerken. Dit helpt om snel verdachte of afwijkende patronen te detecteren en te reageren.
Managed SOC service onboarding
Het ziekenhuis heeft een externe partij ingeschakeld die gespecialiseerd is in het leveren van een Security Operations Center (SOC) als een service. Een SOC is een team van experts die 24/7 de beveiliging van het netwerk bewaken, analyseren en verbeteren. Een SOC-as-a-service biedt de volgende voordelen:
- Ontzorging: het ziekenhuis hoeft zich geen zorgen te maken over het werven, trainen en behouden van gekwalificeerd personeel, het onderhouden en updaten van de technologie of het naleven van de regelgeving. De SOC-provider neemt deze taken op zich en zorgt voor een optimale beveiliging.
- Follow-up na aanval: na een ransomwareaanval is het essentieel om de oorzaak, de impact en de lessen te onderzoeken en te documenteren. Een SOC-provider kan hierbij helpen door een grondige forensische analyse uit te voeren, een herstelplan op te stellen en aanbevelingen te doen voor verbeteringen.
- Proactieve benadering: een SOC-provider kan niet alleen reageren op incidenten, maar ook proactief maatregelen nemen om ze te voorkomen of te verminderen. Een SOC-provider kan bijvoorbeeld dreigingsinformatie verzamelen, kwetsbaarheden identificeren en verhelpen, simulaties uitvoeren en best practices delen.
- Inzichten zorgen voor continue verbeteringen: gebruik de inzichten die de SOC-provider levert om continu de beveiliging te evalueren en te verbeteren. Dit betekent dat er regelmatig feedback wordt gegeven en ontvangen, dat er meetbare doelen worden gesteld en gevolgd, dat er nieuwe technologieën worden geïmplementeerd en dat er een cultuur van bewustzijn en verantwoordelijkheid wordt gecreëerd.
Fase 4: lessons learned
“Elk nadeel heeft zijn voordeel”, zo luidt het bekende gezegde van een al net zo bekende voetballegende Johan Cruijff. Dat geldt zeker voor de cyberaanval op het H. Hartziekenhuis. Het ziekenhuis is zich inmiddels van de volgende lessen doordrongen:
1. Een goede voorbereiding op incidenten is cruciaal
Met een goede voorbereiding kun je de impact van een aanval beperken en de hersteltijd verkorten.
2. Security is mensenwerk: betrek iedereen
Security gaat uiteindelijk niet om het beveiligen van technologie, maar om het beschermen van mensen. Mensen hebben bovendien een sleutelrol in de verdediging. Iedere medewerker speelt een rol in het voorkomen van een cyberaanval.
3. Sluit een verzekering af
Een cyberverzekering kan de financiële gevolgen van een aanval beperken.
4. Integreer een SOC
Een Security Operations Center kan de IT-infrastructuur voortdurend monitoren en reageren op incidenten. Daarmee vergroot een SOC de effectiviteit, wendbaarheid en slagvaardigheid van de securityomgeving enorm.
5. Zorg voor een businesscontinuïteitsplan
Een businesscontinuïteitsplan beschrijft hoe de organisatie kan blijven functioneren in geval van een crisis. Niet alleen bij een brand of een stroomstoring, maar zeker ook bij een cyberaanval. Het plan bevat onder andere doelstellingen, verantwoordelijkheden, procedures en middelen die nodig zijn om de kritische bedrijfsprocessen te herstellen en te beschermen. Een goed plan kan de impact van een incident beperken, de reputatie beschermen en in het geval van het H. Hartziekenhuis de veiligheid van patiënten waarborgen.
En de cyberverzekeraar? Die heeft helaas zijn biezen gepakt.
Een goede cybersecuritystrategie is essentieel voor zorginstellingen, zeker in deze tijd van toenemende digitale dreigingen. Al meer dan 25 jaar ondersteunen wij zorgorganisaties over de hele wereld met advies en oplossingen op maat. Wil je weten hoe je je effectief kunt beschermen tegen een cyberaanval? Of hoe je een zero trust aanpak kunt implementeren in jouw zorginstelling? Neem dan contact op met onze experts. Zij helpen je graag verder.
