Bewust bekwaam NEN7510 - svdc.nl › files › bestanden › Seminar Cyber... · 11.4...
Transcript of Bewust bekwaam NEN7510 - svdc.nl › files › bestanden › Seminar Cyber... · 11.4...
Bewust bekwaam NEN7510Implementeren Security Management tbv digitale veiligheid in de héle organisatie
Dennis VerschuurenClassificatie: presentatie niet delen zonder toestemming
2
NEN7510 – even voorstellen
• http://nenmagazine.nen.nl/nenmagazine-2-2017/#!/nen-7510
• Dennis Verschuuren• Lid NEN7510 Normcommissie• Information Security Officer Maasstad Ziekenhuis
Uitgangspunten nieuwe NEN7510
• Twee delen:
– Deel I: managementsysteem ISMS, H4 t/m H10
– Deel II: beheersmaatregelen, H5 t/m H18
• Bronnen:
– NEN 7510:2011, Informatiebeveiliging in de zorg
– ISO 27001:2013, Managementsystemen voor informatiebeveiliging
– ISO 27002:2013/2015: Praktijkrichtlijn beheersmaatregelen informatiebeveiliging
– ISO 27799:2016, Informatiebeveiligingsmanagement in de gezondheidszorg
3
NEN 7510-1; Managementsysteem
Hoofdstukken
4. Context van de
organisatie
5. Leiderschap
6. Planning
7. Ondersteuning
8. Uitvoering
9. Evaluatie van prestaties
10. Verbetering
Onderwerpen
• Leiderschap
• Risicomanagement
• Compliance management
• Stakeholder management
• Procesmanagement
• Verbetermanagement
• Mens en middelen
4
NEN 7510-2; MaatregelenHuidige NEN 7510 Komende NEN 7510
5 Beveiligingsbeleid 5 Informatiebeveiligingsbeleid
6 Organisatie van informatiebeveiliging 6 Organiseren van IB
8 Personeel 7 Veilig personeel
7 Beheer van bedrijfsmiddelen
10.7 Behandeling van media
8 Beheer van bedrijfsmiddelen
11 Toegangsbeveiliging 9 Toegangsbeveiliging
12.3 Cryptografische beheersmaatregelen 10 Cryptografie
9 Fysieke beveiliging en () van de omgeving 11 Fysieke beveiliging en () van de omgeving
10 Beheer communicatie-/bedieningsprocessen
12.4 Beveiliging van systeembestanden
12.6 Beheer van techn kwetsbaarheden
15.3 Bescherming bedrijfsdocumenten
12 Beveiliging bedrijfsvoering
5
NEN 7510-2; MaatregelenHuidige NEN 7510 Komende NEN 7510
11.4 Toegangsbeheersing voor netwerken
10.8 Uitwisseling van informatie
13 Communicatiebeveiliging
12 Verwerving, ontwikkeling en onderhoud van
informatiesystemen
14 Acquisitie, ontwikkeling en onderhoud van
informatiesystemen
6.2 Externe partijen
10.2 Beheer dienstverlening door 3de partij
15 Leveranciersrelaties
13 Beheer van IB-incidenten 16 Beheer van IB-incidenten
14 Bedrijfscontinuïteitsbeheer 17 IB-aspecten van BCB (BCM)
15 Naleving
6.1.8 Onafhankelijke beoordeling van IB
18 Naleving
6
Generieke
kern met
basiseisen
voor een
management-
systeem
Milieu
kwaliteit
Arbo
Andere Informatie-
beveiliging
NEN 7510; HLS
NEN 7510; Wet- en regelgeving
• Wet op het BSN in de zorg: NEN 7510 is verplicht als zijnde ‘passende beveiliging’.
• Wet cliëntenrechten bij elektronische verwerking van gegevens
• Besluit elektronische gegevensverwerking door zorgaanbieders
– Verwijst dwingend naar NEN 7510
• Wet op de Geneeskundige Behandelovereenkomst (WGBO)
• Wet op de Beroepen in de Individuele Gezondheidszorg (BIG)
• Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
• Wet Cliëntenrechten Zorg (WCZ)
• Algemene Verordening Gegevensbescherming
• Autoriteit Persoonsgegevens (AP)
Standards and Regulations 8
NEN 7510; Implementatie traject1. Risicoanalyse
– Vertrekpunt voor het identificeren van de risico’s in relatie tot het gebruik van informatie en de daarmee in relatie staande
systemen. Organisatie breed analyseren.
– Artikel 76 AVG: ‘’De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten
worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het
risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat
met een risico of een hoog risico.’’
2. Bepalen noodzakelijke maatregelen
– Op basis van de risicoanalyse worden de noodzakelijke maatregelen bepaald. De risico’s en de gewenste behandeling van deze
risico’s worden vastgelegd in het risicobehandelplan. Plan-Do-Check-Act: blijf niet hangen in de planfase!
3. Inrichten en implementeren ISMS
– Organisatorische kant van het managementsysteem. Opstellen ISMS-document.
4. Inrichten en implementeren gekozen maatregelen
– De gekozen maatregelen uit stap 2 uitwerken en implementeren
– Uitvoeren interne audits
– Verbeterplannen initiëren en uitvoeren
Standards and Regulations 9
10
Maasstad ziekenhuis
11
Onze patiëntenOnze partners
Maasstad ZiekenhuisBeterKeten
Zorg op Zuid
Samenwerking
ASZ
Santeon
Ambitie 1:Aandacht en kwaliteit tegen passende kosten
Ambitie 4:Netwerkzorg
Ambitie 2:Topklinisch en acuut profiel
Ambitie 5:Financieel gezond en innovatief
Ambitie 3:Voortdurend én aantoonbaar verbeteren
Huisartsen
VVT
VB
HC
Inn
ov
atie
Kern
waa
rden
Con
text:
part
ners
12
Eed van Hippocrates
• Ik beloof dat ik de geneeskunst zo goed als ik kan zal uitoefenen ten dienste van mijn medemens. Ik
zal zorgen voor zieken, gezondheid bevorderen en lijden verlichten.
• Ik stel het belang van de patiënt voorop en eerbiedig zijn opvattingen.
• Ik zal aan de patiënt geen schade doen.
• Ik luister en zal hem goed inlichten.
• Ik zal geheim houden wat mij is toevertrouwd.
• Ik zal de geneeskundige kennis van mijzelf en anderen bevorderen.
• Ik erken de grenzen van mijn mogelijkheden. Ik zal mij open en toetsbaar opstellen.
• Ik ken mijn verantwoordelijkheid voor de samenleving en zal de beschikbaarheid en toegankelijkheid
van de gezondheidszorg bevorderen.
• Ik maak geen misbruik van mijn medische kennis, ook niet onder druk.
• Ik zal zo het beroep van arts in ere houden.
• Dat beloof ik
13
Dagelijkse praktijk
• Diverse kernsystemen: Patient dossier (EPD), Beelden (PACS), Laboratorium, Apotheek, etc.
• Extern uitwisselen van gegevens: Verslagen, beelden, laboratorium, apotheek, etc.
• Ontwikkeling IoT: wearables, slimme pleister, e-vanallesennogwat
• Onderzoek en verbeteren: Registraties (IKNL, MRDM, DICA, NBR), benchmarks, VIPP, MedMij, etc
• Communicatie patiënt: Telefonisch, app, mail, fysiek, virtueel
• Informatiebehoefte ↑
• Registratielast ↑
• Digi-bekwaamheid medewerkers ↑
• Wetgeving AVG t.o.v. WbP: Meer expliciet … Meer transparant
14
Hobbels in de praktijk
• Gebruikersgemak, draagvlak & begrip: Veilig werken is lastig (DigiD + SMS + DigiD App)
– Of biometrisch beoordeel werkbaarheid
• Awareness: Gotcha!! Hoeveel mensen hebben nog altijd dezelfde wachtwoorden?
• Vicieuze cirkel; Privacy first vs Healthcare first vs Security first vs Performance first
• Niet realiseerbaar in de praktijk;
– Privacy by Design; Cryptografisch beleid
• Scheiden persoons- en medische gegevens!
– Privacy by Default; Toestemming patiënt
• Onwerkbare vinkjescultuur!
15
Wat medewerkers onvoldoende beseffen
• Waarde patiëntgegevens voor een hacker
• Gevolgen voor de naam van het ziekenhuis en betrokkene
• Eigen rol binnen de keten van digitale kwetsbaarheid neemt toe
• Social enginering: Risico kleding & pasjes
• Ransomware: Wannacry effect, Phishing besef, onbewust klikken
• Risico’s van (on)veilige USB sticks, dictafoons, printers, etc
• Voorbeeld: Risico van de (digitaal) lekke vaatwasser!
16
Hoe doen we dat dan?
17
Maasstad NEN7510; ISMS ‘2017’
18
In control komen (Pizza-As-A-Service)
20
Werken onder Architectuur
Architectuur zoekt de balans tussen functionele wensen en technische beheersbaarheid. Werken onder Architectuur voorkomt een eenzijdige, technische aanpak van projecten voor het bouwen van infrastructuurdiensten en zorgt het voor de afstemming van geleverde producten met de gedefinieerde eisen voor functionaliteit en kwaliteit.
Deskundig
Eenvoud
Veilig
Hoogbeschikbaar
Communiceren
Open standaarden
Standaardisatie
Functioneel
Flexibel
Aantrekkelijk
Remote Health Services
Io(H)T
Innovatie
Design voor ‘fail’
Privacy by design
Continuous improvement
Automate by default
Monitoring
Auditing
Logging
Lifecycle management
Platform keuze
Platform keuze
Encryptie
Monitoring
Auditing
Logging Platform keuze
Lifecycle management
Encryptie
Monitoring
Auditing
Logging
Gastgericht AmbitieusVerbindendBetrouwbaar
Smart storage
Building blocks
Zorgvuldig
Design voor eenvoud
Design voor eenvoud
ControleVoorspelbaar
StabielEfficient
Innovatie
Doel architectuurArchitectuur principesRichtlijnen / Uitgangspunten:- Lifecycle management- Authenticatie- Auditing / monitoring- Backup / restore- Business Continuity- SLA’s
Organisatie veranderingsproces
Resource planningApplication lifecycle mgmtHardware refreshProject doorlooptijdenBudgetKosten efficiënt ICTKlant tevredenheidKosten beperking (overuren)Werkdruk verlichting Medewerker tevredenheidCompliantWerken onder ArchitectuurRuimte voor initiatieven
Klaar voor de toekomst:- Klant centraal- IoT - Remote service“The future is now!”
Inventarisatie
Analyse bestaande ICT infrastructuurAnalyse processen /proceduresInventarisatie functionele wensen / eisenInventarisatie Technische wensen/eisenToekomst visie
21
Informatie Architectuur
• https://www.nictiz.nl/standaarden_/Paginas/default.aspx
• https://www.ihe-nl.org/nieuws/een-model-aan-de-basis-van-gegevensuitwisseling-het-interoperabiliteitsmode
• Dus niet van 5 naar 5, via 2 lagen.• Maar beide organisaties hebben 7 lagen als standaard!
22
Security Architectuur
Ziekenhuizen Landelijk OM cyberbewaking voor de gemeenschap
Universiteiten Overheid(s gebouwen)Datacentra
Security data
warehouse
Filt
eri
ng, i
nst
ellin
gen
, tre
nds
DashboardSecurity
Management
Onderdeel binnen elk bedrijf / elke omgeving
Netwerk infrastructuur met componenten: Servers, Firewalls, Routers, Netwerken, etc.
Security management Foundational Controls
1. Asset Discovery 2. Security Configuration Management
3. File Integrity Monitoring 4. Vulnerability Management
5. Log Management
Security management programma (met diverse tooling)
SIEM(AlientVault)
Honey pot(Kanarie)
Bug Bounty program
PEN testen(audits en 24/7
scanning)
23
Operational Security
• Preventie, Detectie en Reactie!
• Meldingen Z-Cert, NCSC, intern FLOD
• Vanuit het Z-Cert worden uitgegeven• Operational Alerts• Advisories• Known issues collega’s (pilot)
Z-Cert
NCSC &Non Disclosure
Procedure
Advisories
Operational alerts
Kans/Impact
Aanmaken Topdesk melding
Operational Security
Aanmaken Topdesk Known Issue
(borgen als advies)
Kans en Impact = H
Kans of Impact = H
Ter kennisgeving borgen als advies
Kans en/of Impact < of = M
Afhandeling conform procedure Operational SecurityStart
Einde
Maandelijkse Quick Scan
‘van toepassing’
Alsnog van toepassing
Ja
Nee
Geautomatiseerd mailbox CERT:
AlienvaultResponsible Disclosure
NCSC & Z-Cert
Handmatige melding door medewerker
Aanmaken Topdesk Melding
Digitaal meldpunt voor medewerker:http://topdesk/tas/public/contained/
xfg?unid=3fc5f603bd704ea5b281b0dd9bdc6719
Beoordeling en afhandeling door
Servicedesk
Goedkeuring nodig
24
Operational Security top issues
• Aanvragen vanuit alle hoeken (kanaliseren!)
• Topdesk als ‘vergaar- en verbeterbak’
• Voorbeelden:• Ik wil graag toestemming voor WeTransfer• Functionele vraag ??
• Patiënt thuis laten filmen om patiënt in eigen omgeving te observeren
• Ik wil graag USB stick toegang, mijn stick (van thuis) doet het niet• Functionele vraag ??
• Onderzoeksgegevens van thuis meenemen naar het werk, en andersom
• Voldoen aan wet AVG ??• Uitdaging; Cryptografisch beleid, scheiden van persoons- en medische gegevens in basis• Uitdaging; Specifieke toestemming, resulteert in een vinkjescultuur
25
Threat intelligence
• Preventie, detectie en respons alleen zijn niet meer voldoende om de schade van een cyberaanval te beperken.
• Met Cyber Threat Intelligence zijn overheden en bedrijven in staat vroegtijdig te anticiperen op cyberdreigingen.
• FLOD; First line of Defense• Operational Security ingericht en gekoppeld aan incident management systeem• SOC als basis, CERT voor incidenten• Preventieve actie tijdens WannaCry, nu Meltdown & Spectre• Samenwerking met Z-Cert
• Je weet niet wat gaat komen• Incident of preventief?• CERT-procedure activeren ja of nee? Bron: ECRI 2018 Top 10 Health Technology Hazards
26
Risico Management
• Waar zijn we nu mee bezig• Meer integraal risicomanagement, verleggen naar de zorg tbv verhogen Digi-bekwaamheid• Ad-Hoc Bug Bounty Program• Continue 24/7 PEN testen, liefst op basis van normen/wetten/kaders• Security Lab voor medische modaliteiten!!!• Onderzoek mogelijkheid forensische werkplek (in/voor/bij onderzoek)
27
Wat doet ons ziekenhuis dan zoal?
• Awareness creëren (NVZ, speel op Zeker)
• Noodzaak standaardisatie uitdragen voor geïntegreerde data-uitwisseling
• Maatregelen nemen en implementeren op achtergrond (bijv. obv NEN7510)
– Aansluiten bij Z-CERT, NCSC
– Secure netwerk implementeren (bijv 802.1x)
– Leveranciers management op basis van kwaliteit (24/7 pen-tensten, OWASP10)
– Kwetsbaarheid management implementeren (24/7)
– Security Management implementeren (24/7)
– Implementeren Operational Security, First line of defense (24/7)
– Beleid en richtlijnen hanteren (NCSC, NEN7510, Medisch Convenant, etc)
– Secure email implementeren
– Veilige uitgangspunten definiëren; bijv. uitwisseling in de regio bij voorkeur via XDS
– Proces BIA - (D)PIA – Classificatie Register van verwerkingen
• Ingrijpen waar nodig en indien nodig tijdelijk uitzetten van functionaliteit
• Extern laten toetsen: Jaaraudit, NEN7510, DigiD, Security Maturity Assessment uitvoeren
• EN tegelijk innovatie ondersteunen, via de digitale zorgstrategie (in ons geval)!!
28
Organisatie van IB
Ozverlap in maatregelen
29
Leveranciers afspraken
• Contracten• SLA’s / DVO / DAP / …• Verwerkersovereenkomsten• AVG = Gedeelde verantwoordelijkheid!
• Applicaties en/of techniek• NCSC richtlijnen webapplicaties• OWASP Top 10 (RC2)• HTTP HTTPS; SSL TLS• 24/7 pentest: Niet live bij highs/criticals!
• Lagen van encryptie; Data in rest, Data in transit • Data in db, de db zelf, HDD, USB, etc• Veilige tunnels bij in- en uitgang kwetsbaar
• Leverancier: Is altijd intrinsiek gemotiveerd om veilig op te leveren!
30
Beveiliging & Informatiebeveiliging
• Hekwerk/ramen deuren
• Fysieke toegangscontrole
• Sleutelbeheer
• Postkamer
• Bewegwijzering
• Sleutels/keycards
• Inbraakalarmsystemen
• Attractieve goederen
• Magazijn/opslag
• BHV
• Bedrijf continuiteit plan, Crisis
• Security Manager / Officer
• Diefstel / inbraak
• Technisch, organisatorisch, menselijk
• Fysiek beveiligingsbeleid
• Firewall
• Digitale toeganscontrole
• Cryptografisch beleid
• Mailservers
• Switches
• Accountnamen en wachtwoorden
• Intrusion Detection Systemen
• Waardevolle data / informatie
• Serverruimte / database
• CERT
• Bedrijf continuiteitsplan, Recovery
• Security Manager / Officer
• Hacking/Social Engineering
• Technisch, organisatorisch, menselijk
• Informatiebeveiligingsbeleid
Bron: consultancy.nl
32
NEN7510 & AVG
• Nieuwe NEN7510:2017 http://nenmagazine.nen.nl/nenmagazine-2-2017/#!/nen-7510
• AVG is al van kracht, veel is gedekt binnen de NEN7510!
• Reguliere (zorg)processen was WbP:
• Dataportabiliteit, Data minimalisatie, Recht om vergeten te worden
• Documentatieplicht gegevens verwerkingen (classificaties)
• Plicht tot accountability, aanwijzen FG
• Privacy Impact Assessments (NOREA februari 2015)
• Privacy by Design / Default
• Reguliere (zorg)processen conform AVG:
• Dataportabiliteit, Restrictie van verwerking, Specifieke toestemming
• DPIA (data protection impact assessment)
• Gekoppeld aan de wet, in kaart brengen compliance risico's
• Zelfde als de PIA zorgt voor onduidelijkheid
• Bescherming van kinderen
• Transparantie in alle communicatie (privacy disclaimer), impact rechten van betrokkenen.
Uitdaging inrichting Toestemming patiënt
33
Onze uitdagingen / adviezen aan VWS• Digitalisering & privacy: geen onderdeel regulier curriculum medisch specialist
→ Bewustzijn, scholing vaardigheden rondom e-Health vergroten
• Stel een AVG keurmerk op, dit helpt ons in het vertrouwen richting patiënt
• Stel een NCSC richtlijn medische modaliteiten ‘hack-proof ’ keurmerk op
• Stel OWASP10 wettelijk verplicht, leveranciers moeten veilig leveren
• Hanteer altijd het 7 lagen model, inclusief Security, Privacy, Governance, W&R
• Richt een AVG ‘informatieberaad’ voor AVG en NL W&R vragen en adviezen
• Onderzoek knelpunten huidige Nederlandse zorg wetten, NEN7510 en AVG.
• Promoot privacy AVG versus informatiebeveiliging NEN7510 #samenwerken
• Verhoog toegankelijkheid Z-Cert voor zorginstellingen, zodat adoptie groeit.
34
Samenvatting
Z-Cert
NCSC &Non Disclosure
Procedure
Advisories
Operational alerts
Kans/Impact
Aanmaken Topdesk melding
Operational Security
Aanmaken Topdesk Known Issue
(borgen als advies)
Kans en Impact = H
Kans of Impact = H
Ter kennisgeving borgen als advies
Kans en/of Impact < of = M
Afhandeling conform procedure Operational SecurityStart
Einde
Maandelijkse Quick Scan
‘van toepassing’
Alsnog van toepassing
Ja
Nee
Geautomatiseerd mailbox CERT:
AlienvaultResponsible Disclosure
NCSC & Z-Cert
Handmatige melding door medewerker
Aanmaken Topdesk Melding
Digitaal meldpunt voor medewerker:http://topdesk/tas/public/contained/
xfg?unid=3fc5f603bd704ea5b281b0dd9bdc6719
Beoordeling en afhandeling door
Servicedesk
Goedkeuring nodig
ControleVoorspelbaar
StabielEfficient
Innovatie
Doel architectuurArchitectuur principesRichtlijnen / Uitgangspunten:- Lifecycle management- Authenticatie- Auditing / monitoring- Backup / restore- Business Continuity- SLA’s
Organisatie veranderingsproces
Resource planningApplication lifecycle mgmtHardware refreshProject doorlooptijdenBudgetKosten efficiënt ICTKlant tevredenheidKosten beperking (overuren)Werkdruk verlichting Medewerker tevredenheidCompliantWerken onder ArchitectuurRuimte voor initiatieven
Klaar voor de toekomst:- Klant centraal- IoT - Remote service“The future is now!”
Inventarisatie
Analyse bestaande ICT infrastructuurAnalyse processen /proceduresInventarisatie functionele wensen / eisenInventarisatie Technische wensen/eisenToekomst visie
35
Vragen?