Bewust bekwaam NEN7510Implementeren Security Management tbv digitale veiligheid in de héle organisatie

Dennis VerschuurenClassificatie: presentatie niet delen zonder toestemming

2

NEN7510 – even voorstellen

• http://nenmagazine.nen.nl/nenmagazine-2-2017/#!/nen-7510

• Dennis Verschuuren• Lid NEN7510 Normcommissie• Information Security Officer Maasstad Ziekenhuis

Uitgangspunten nieuwe NEN7510

• Twee delen:

– Deel I: managementsysteem ISMS, H4 t/m H10

– Deel II: beheersmaatregelen, H5 t/m H18

• Bronnen:

– NEN 7510:2011, Informatiebeveiliging in de zorg

– ISO 27001:2013, Managementsystemen voor informatiebeveiliging

– ISO 27002:2013/2015: Praktijkrichtlijn beheersmaatregelen informatiebeveiliging

– ISO 27799:2016, Informatiebeveiligingsmanagement in de gezondheidszorg

3

NEN 7510-1; Managementsysteem

Hoofdstukken

4. Context van de

organisatie

5. Leiderschap

6. Planning

7. Ondersteuning

8. Uitvoering

9. Evaluatie van prestaties

10. Verbetering

Onderwerpen

• Leiderschap

• Risicomanagement

• Compliance management

• Stakeholder management

• Procesmanagement

• Verbetermanagement

• Mens en middelen

4

NEN 7510-2; MaatregelenHuidige NEN 7510 Komende NEN 7510

5 Beveiligingsbeleid 5 Informatiebeveiligingsbeleid

6 Organisatie van informatiebeveiliging 6 Organiseren van IB

8 Personeel 7 Veilig personeel

7 Beheer van bedrijfsmiddelen

10.7 Behandeling van media

8 Beheer van bedrijfsmiddelen

11 Toegangsbeveiliging 9 Toegangsbeveiliging

12.3 Cryptografische beheersmaatregelen 10 Cryptografie

9 Fysieke beveiliging en () van de omgeving 11 Fysieke beveiliging en () van de omgeving

10 Beheer communicatie-/bedieningsprocessen

12.4 Beveiliging van systeembestanden

12.6 Beheer van techn kwetsbaarheden

15.3 Bescherming bedrijfsdocumenten

12 Beveiliging bedrijfsvoering

5

NEN 7510-2; MaatregelenHuidige NEN 7510 Komende NEN 7510

11.4 Toegangsbeheersing voor netwerken

10.8 Uitwisseling van informatie

13 Communicatiebeveiliging

12 Verwerving, ontwikkeling en onderhoud van

informatiesystemen

14 Acquisitie, ontwikkeling en onderhoud van

informatiesystemen

6.2 Externe partijen

10.2 Beheer dienstverlening door 3de partij

15 Leveranciersrelaties

13 Beheer van IB-incidenten 16 Beheer van IB-incidenten

14 Bedrijfscontinuïteitsbeheer 17 IB-aspecten van BCB (BCM)

15 Naleving

6.1.8 Onafhankelijke beoordeling van IB

18 Naleving

6

Generieke

kern met

basiseisen

voor een

management-

systeem

Milieu

kwaliteit

Arbo

Andere Informatie-

beveiliging

NEN 7510; HLS

NEN 7510; Wet- en regelgeving

• Wet op het BSN in de zorg: NEN 7510 is verplicht als zijnde ‘passende beveiliging’.

• Wet cliëntenrechten bij elektronische verwerking van gegevens

• Besluit elektronische gegevensverwerking door zorgaanbieders

– Verwijst dwingend naar NEN 7510

• Wet op de Geneeskundige Behandelovereenkomst (WGBO)

• Wet op de Beroepen in de Individuele Gezondheidszorg (BIG)

• Wet kwaliteit, klachten en geschillen zorg (Wkkgz)

• Wet Cliëntenrechten Zorg (WCZ)

• Algemene Verordening Gegevensbescherming

• Autoriteit Persoonsgegevens (AP)

Standards and Regulations 8

NEN 7510; Implementatie traject1. Risicoanalyse

– Vertrekpunt voor het identificeren van de risico’s in relatie tot het gebruik van informatie en de daarmee in relatie staande

systemen. Organisatie breed analyseren.

– Artikel 76 AVG: ‘’De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten

worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het

risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat

met een risico of een hoog risico.’’

2. Bepalen noodzakelijke maatregelen

– Op basis van de risicoanalyse worden de noodzakelijke maatregelen bepaald. De risico’s en de gewenste behandeling van deze

risico’s worden vastgelegd in het risicobehandelplan. Plan-Do-Check-Act: blijf niet hangen in de planfase!

3. Inrichten en implementeren ISMS

– Organisatorische kant van het managementsysteem. Opstellen ISMS-document.

4. Inrichten en implementeren gekozen maatregelen

– De gekozen maatregelen uit stap 2 uitwerken en implementeren

– Uitvoeren interne audits

– Verbeterplannen initiëren en uitvoeren

Standards and Regulations 9

10

Maasstad ziekenhuis

11

Onze patiëntenOnze partners

Maasstad ZiekenhuisBeterKeten

Zorg op Zuid

Samenwerking

ASZ

Santeon

Ambitie 1:Aandacht en kwaliteit tegen passende kosten

Ambitie 4:Netwerkzorg

Ambitie 2:Topklinisch en acuut profiel

Ambitie 5:Financieel gezond en innovatief

Ambitie 3:Voortdurend én aantoonbaar verbeteren

Huisartsen

VVT

VB

HC

Inn

ov

atie

Kern

waa

rden

Con

text:

part

ners

12

Eed van Hippocrates

• Ik beloof dat ik de geneeskunst zo goed als ik kan zal uitoefenen ten dienste van mijn medemens. Ik

zal zorgen voor zieken, gezondheid bevorderen en lijden verlichten.

• Ik stel het belang van de patiënt voorop en eerbiedig zijn opvattingen.

• Ik zal aan de patiënt geen schade doen.

• Ik luister en zal hem goed inlichten.

• Ik zal geheim houden wat mij is toevertrouwd.

• Ik zal de geneeskundige kennis van mijzelf en anderen bevorderen.

• Ik erken de grenzen van mijn mogelijkheden. Ik zal mij open en toetsbaar opstellen.

• Ik ken mijn verantwoordelijkheid voor de samenleving en zal de beschikbaarheid en toegankelijkheid

van de gezondheidszorg bevorderen.

• Ik maak geen misbruik van mijn medische kennis, ook niet onder druk.

• Ik zal zo het beroep van arts in ere houden.

• Dat beloof ik

13

Dagelijkse praktijk

• Diverse kernsystemen: Patient dossier (EPD), Beelden (PACS), Laboratorium, Apotheek, etc.

• Extern uitwisselen van gegevens: Verslagen, beelden, laboratorium, apotheek, etc.

• Ontwikkeling IoT: wearables, slimme pleister, e-vanallesennogwat

• Onderzoek en verbeteren: Registraties (IKNL, MRDM, DICA, NBR), benchmarks, VIPP, MedMij, etc

• Communicatie patiënt: Telefonisch, app, mail, fysiek, virtueel

• Informatiebehoefte ↑

• Registratielast ↑

• Digi-bekwaamheid medewerkers ↑

• Wetgeving AVG t.o.v. WbP: Meer expliciet … Meer transparant

14

Hobbels in de praktijk

• Gebruikersgemak, draagvlak & begrip: Veilig werken is lastig (DigiD + SMS + DigiD App)

– Of biometrisch beoordeel werkbaarheid

• Awareness: Gotcha!! Hoeveel mensen hebben nog altijd dezelfde wachtwoorden?

• Vicieuze cirkel; Privacy first vs Healthcare first vs Security first vs Performance first

• Niet realiseerbaar in de praktijk;

– Privacy by Design; Cryptografisch beleid

• Scheiden persoons- en medische gegevens!

– Privacy by Default; Toestemming patiënt

• Onwerkbare vinkjescultuur!

15

Wat medewerkers onvoldoende beseffen

• Waarde patiëntgegevens voor een hacker

• Gevolgen voor de naam van het ziekenhuis en betrokkene

• Eigen rol binnen de keten van digitale kwetsbaarheid neemt toe

• Social enginering: Risico kleding & pasjes

• Ransomware: Wannacry effect, Phishing besef, onbewust klikken

• Risico’s van (on)veilige USB sticks, dictafoons, printers, etc

• Voorbeeld: Risico van de (digitaal) lekke vaatwasser!

16

Hoe doen we dat dan?

17

Maasstad NEN7510; ISMS ‘2017’

18

In control komen (Pizza-As-A-Service)

19

20

Werken onder Architectuur

Architectuur zoekt de balans tussen functionele wensen en technische beheersbaarheid. Werken onder Architectuur voorkomt een eenzijdige, technische aanpak van projecten voor het bouwen van infrastructuurdiensten en zorgt het voor de afstemming van geleverde producten met de gedefinieerde eisen voor functionaliteit en kwaliteit.

Deskundig

Eenvoud

Veilig

Hoogbeschikbaar

Communiceren

Open standaarden

Standaardisatie

Functioneel

Flexibel

Aantrekkelijk

Remote Health Services

Io(H)T

Innovatie

Design voor ‘fail’

Privacy by design

Continuous improvement

Automate by default

Monitoring

Auditing

Logging

Lifecycle management

Platform keuze

Platform keuze

Encryptie

Monitoring

Auditing

Logging Platform keuze

Lifecycle management

Encryptie

Monitoring

Auditing

Logging

Gastgericht AmbitieusVerbindendBetrouwbaar

Smart storage

Building blocks

Zorgvuldig

Design voor eenvoud

Design voor eenvoud

ControleVoorspelbaar

StabielEfficient

Innovatie

Doel architectuurArchitectuur principesRichtlijnen / Uitgangspunten:- Lifecycle management- Authenticatie- Auditing / monitoring- Backup / restore- Business Continuity- SLA’s

Organisatie veranderingsproces

Resource planningApplication lifecycle mgmtHardware refreshProject doorlooptijdenBudgetKosten efficiënt ICTKlant tevredenheidKosten beperking (overuren)Werkdruk verlichting Medewerker tevredenheidCompliantWerken onder ArchitectuurRuimte voor initiatieven

Klaar voor de toekomst:- Klant centraal- IoT - Remote service“The future is now!”

Inventarisatie

Analyse bestaande ICT infrastructuurAnalyse processen /proceduresInventarisatie functionele wensen / eisenInventarisatie Technische wensen/eisenToekomst visie

21

Informatie Architectuur

• https://www.nictiz.nl/standaarden_/Paginas/default.aspx

• https://www.ihe-nl.org/nieuws/een-model-aan-de-basis-van-gegevensuitwisseling-het-interoperabiliteitsmode

• Dus niet van 5 naar 5, via 2 lagen.• Maar beide organisaties hebben 7 lagen als standaard!

22

Security Architectuur

Ziekenhuizen Landelijk OM cyberbewaking voor de gemeenschap

Universiteiten Overheid(s gebouwen)Datacentra

Security data

warehouse

Filt

eri

ng, i

nst

ellin

gen

, tre

nds

DashboardSecurity

Management

Onderdeel binnen elk bedrijf / elke omgeving

Netwerk infrastructuur met componenten: Servers, Firewalls, Routers, Netwerken, etc.

Security management Foundational Controls

1. Asset Discovery 2. Security Configuration Management

3. File Integrity Monitoring 4. Vulnerability Management

5. Log Management

Security management programma (met diverse tooling)

SIEM(AlientVault)

Honey pot(Kanarie)

Bug Bounty program

PEN testen(audits en 24/7

scanning)

23

Operational Security

• Preventie, Detectie en Reactie!

• Meldingen Z-Cert, NCSC, intern FLOD

• Vanuit het Z-Cert worden uitgegeven• Operational Alerts• Advisories• Known issues collega’s (pilot)

Z-Cert

NCSC &Non Disclosure

Procedure

Advisories

Operational alerts

Kans/Impact

Aanmaken Topdesk melding

Operational Security

Aanmaken Topdesk Known Issue

(borgen als advies)

Kans en Impact = H

Kans of Impact = H

Ter kennisgeving borgen als advies

Kans en/of Impact < of = M

Afhandeling conform procedure Operational SecurityStart

Einde

Maandelijkse Quick Scan

‘van toepassing’

Alsnog van toepassing

Ja

Nee

Geautomatiseerd mailbox CERT:

AlienvaultResponsible Disclosure

NCSC & Z-Cert

Handmatige melding door medewerker

Aanmaken Topdesk Melding

Digitaal meldpunt voor medewerker:http://topdesk/tas/public/contained/

xfg?unid=3fc5f603bd704ea5b281b0dd9bdc6719

Beoordeling en afhandeling door

Servicedesk

Goedkeuring nodig

24

Operational Security top issues

• Aanvragen vanuit alle hoeken (kanaliseren!)

• Topdesk als ‘vergaar- en verbeterbak’

• Voorbeelden:• Ik wil graag toestemming voor WeTransfer• Functionele vraag ??

• Patiënt thuis laten filmen om patiënt in eigen omgeving te observeren

• Ik wil graag USB stick toegang, mijn stick (van thuis) doet het niet• Functionele vraag ??

• Onderzoeksgegevens van thuis meenemen naar het werk, en andersom

• Voldoen aan wet AVG ??• Uitdaging; Cryptografisch beleid, scheiden van persoons- en medische gegevens in basis• Uitdaging; Specifieke toestemming, resulteert in een vinkjescultuur

25

Threat intelligence

• Preventie, detectie en respons alleen zijn niet meer voldoende om de schade van een cyberaanval te beperken.

• Met Cyber Threat Intelligence zijn overheden en bedrijven in staat vroegtijdig te anticiperen op cyberdreigingen.

• FLOD; First line of Defense• Operational Security ingericht en gekoppeld aan incident management systeem• SOC als basis, CERT voor incidenten• Preventieve actie tijdens WannaCry, nu Meltdown & Spectre• Samenwerking met Z-Cert

• Je weet niet wat gaat komen• Incident of preventief?• CERT-procedure activeren ja of nee? Bron: ECRI 2018 Top 10 Health Technology Hazards

26

Risico Management

• Waar zijn we nu mee bezig• Meer integraal risicomanagement, verleggen naar de zorg tbv verhogen Digi-bekwaamheid• Ad-Hoc Bug Bounty Program• Continue 24/7 PEN testen, liefst op basis van normen/wetten/kaders• Security Lab voor medische modaliteiten!!!• Onderzoek mogelijkheid forensische werkplek (in/voor/bij onderzoek)

27

Wat doet ons ziekenhuis dan zoal?

• Awareness creëren (NVZ, speel op Zeker)

• Noodzaak standaardisatie uitdragen voor geïntegreerde data-uitwisseling

• Maatregelen nemen en implementeren op achtergrond (bijv. obv NEN7510)

– Aansluiten bij Z-CERT, NCSC

– Secure netwerk implementeren (bijv 802.1x)

– Leveranciers management op basis van kwaliteit (24/7 pen-tensten, OWASP10)

– Kwetsbaarheid management implementeren (24/7)

– Security Management implementeren (24/7)

– Implementeren Operational Security, First line of defense (24/7)

– Beleid en richtlijnen hanteren (NCSC, NEN7510, Medisch Convenant, etc)

– Secure email implementeren

– Veilige uitgangspunten definiëren; bijv. uitwisseling in de regio bij voorkeur via XDS

– Proces BIA - (D)PIA – Classificatie Register van verwerkingen

• Ingrijpen waar nodig en indien nodig tijdelijk uitzetten van functionaliteit

• Extern laten toetsen: Jaaraudit, NEN7510, DigiD, Security Maturity Assessment uitvoeren

• EN tegelijk innovatie ondersteunen, via de digitale zorgstrategie (in ons geval)!!

28

Organisatie van IB

Ozverlap in maatregelen

29

Leveranciers afspraken

• Contracten• SLA’s / DVO / DAP / …• Verwerkersovereenkomsten• AVG = Gedeelde verantwoordelijkheid!

• Applicaties en/of techniek• NCSC richtlijnen webapplicaties• OWASP Top 10 (RC2)• HTTP HTTPS; SSL TLS• 24/7 pentest: Niet live bij highs/criticals!

• Lagen van encryptie; Data in rest, Data in transit • Data in db, de db zelf, HDD, USB, etc• Veilige tunnels bij in- en uitgang kwetsbaar

• Leverancier: Is altijd intrinsiek gemotiveerd om veilig op te leveren!

30

Beveiliging & Informatiebeveiliging

• Hekwerk/ramen deuren

• Fysieke toegangscontrole

• Sleutelbeheer

• Postkamer

• Bewegwijzering

• Sleutels/keycards

• Inbraakalarmsystemen

• Attractieve goederen

• Magazijn/opslag

• BHV

• Bedrijf continuiteit plan, Crisis

• Security Manager / Officer

• Diefstel / inbraak

• Technisch, organisatorisch, menselijk

• Fysiek beveiligingsbeleid

• Firewall

• Digitale toeganscontrole

• Cryptografisch beleid

• Mailservers

• Switches

• Accountnamen en wachtwoorden

• Intrusion Detection Systemen

• Waardevolle data / informatie

• Serverruimte / database

• CERT

• Bedrijf continuiteitsplan, Recovery

• Security Manager / Officer

• Hacking/Social Engineering

• Technisch, organisatorisch, menselijk

• Informatiebeveiligingsbeleid

Bron: consultancy.nl

32

NEN7510 & AVG

• Nieuwe NEN7510:2017 http://nenmagazine.nen.nl/nenmagazine-2-2017/#!/nen-7510

• AVG is al van kracht, veel is gedekt binnen de NEN7510!

• Reguliere (zorg)processen was WbP:

• Dataportabiliteit, Data minimalisatie, Recht om vergeten te worden

• Documentatieplicht gegevens verwerkingen (classificaties)

• Plicht tot accountability, aanwijzen FG

• Privacy Impact Assessments (NOREA februari 2015)

• Privacy by Design / Default

• Reguliere (zorg)processen conform AVG:

• Dataportabiliteit, Restrictie van verwerking, Specifieke toestemming

• DPIA (data protection impact assessment)

• Gekoppeld aan de wet, in kaart brengen compliance risico's

• Zelfde als de PIA zorgt voor onduidelijkheid

• Bescherming van kinderen

• Transparantie in alle communicatie (privacy disclaimer), impact rechten van betrokkenen.

Uitdaging inrichting Toestemming patiënt

33

Onze uitdagingen / adviezen aan VWS• Digitalisering & privacy: geen onderdeel regulier curriculum medisch specialist

→ Bewustzijn, scholing vaardigheden rondom e-Health vergroten

• Stel een AVG keurmerk op, dit helpt ons in het vertrouwen richting patiënt

• Stel een NCSC richtlijn medische modaliteiten ‘hack-proof ’ keurmerk op

• Stel OWASP10 wettelijk verplicht, leveranciers moeten veilig leveren

• Hanteer altijd het 7 lagen model, inclusief Security, Privacy, Governance, W&R

• Richt een AVG ‘informatieberaad’ voor AVG en NL W&R vragen en adviezen

• Onderzoek knelpunten huidige Nederlandse zorg wetten, NEN7510 en AVG.

• Promoot privacy AVG versus informatiebeveiliging NEN7510 #samenwerken

• Verhoog toegankelijkheid Z-Cert voor zorginstellingen, zodat adoptie groeit.

34

Samenvatting

Z-Cert

NCSC &Non Disclosure

Procedure

Advisories

Operational alerts

Kans/Impact

Aanmaken Topdesk melding

Operational Security

Aanmaken Topdesk Known Issue

(borgen als advies)

Kans en Impact = H

Kans of Impact = H

Ter kennisgeving borgen als advies

Kans en/of Impact < of = M

Afhandeling conform procedure Operational SecurityStart

Einde

Maandelijkse Quick Scan

‘van toepassing’

Alsnog van toepassing

Ja

Nee

Geautomatiseerd mailbox CERT:

AlienvaultResponsible Disclosure

NCSC & Z-Cert

Handmatige melding door medewerker

Aanmaken Topdesk Melding

Digitaal meldpunt voor medewerker:http://topdesk/tas/public/contained/

xfg?unid=3fc5f603bd704ea5b281b0dd9bdc6719

Beoordeling en afhandeling door

Servicedesk

Goedkeuring nodig

ControleVoorspelbaar

StabielEfficient

Innovatie

Doel architectuurArchitectuur principesRichtlijnen / Uitgangspunten:- Lifecycle management- Authenticatie- Auditing / monitoring- Backup / restore- Business Continuity- SLA’s

Organisatie veranderingsproces

Resource planningApplication lifecycle mgmtHardware refreshProject doorlooptijdenBudgetKosten efficiënt ICTKlant tevredenheidKosten beperking (overuren)Werkdruk verlichting Medewerker tevredenheidCompliantWerken onder ArchitectuurRuimte voor initiatieven

Klaar voor de toekomst:- Klant centraal- IoT - Remote service“The future is now!”

Inventarisatie

Analyse bestaande ICT infrastructuurAnalyse processen /proceduresInventarisatie functionele wensen / eisenInventarisatie Technische wensen/eisenToekomst visie

35

Vragen?