Waarom vulnerability scanning essentieel is voor optimale informatiebeveiliging
Vulnerability Scanning, ook wel kwetsbaarheidsscanning genoemd, is een essentieel onderdeel van goede informatiebeveiliging. Zeker in de zorg, waar informatie altijd betrouwbaar én snel beschikbaar moet zijn. Deze manier van scannen stelt IT-omgevingen voortdurend op de proef en zorgt ervoor dat u weet welke risico’s uw organisatie loopt.
U krijgt daarnaast inzicht in het verloop van interne processen en naleving van uw beleid. Op deze manier heeft u meer grip op uw informatiebeveiliging – met een oplossing die aansluit bij uw zorgorganisatie.
De ontwikkelingen op het gebied van informatiebeveiliging gaan razendsnel. Iedere dag worden er nieuwe kwetsbaarheden ontdekt en partijen die proberen misbruik te maken van die kwetsbaarheden, worden steeds gehaaider. Duurde het vroeger weken tot maanden voordat een kwetsbaarheid misbruikt werd, nu is dat vaak enkele dagen tot uren. Organisaties moeten dus steeds sneller reageren om misbruik van kwetsbaarheden te voorkomen. Dat geldt zeker ook voor zorginstellingen, waar veel privacygevoelige informatie aanwezig is. Het financiële gewin bij het verhandelen of gijzelen van patiëntinformatie is vaak groot. Kwaadwillende hackers richten hun pijlen dan ook in toenemende mate op de zorg.
Specifieke uitdagingen in de zorg
Volgens René Kalff, information security manager bij Intermax, kent de zorg een aantal specifieke uitdagingen als het gaat om informatiebeveiliging. “Informatiebeveiliging is altijd het vinden van een middenweg tussen aan de ene kant zwaarbeveiligd en aan de andere kant prettig werken. Maar in de zorg komt daar een extra uitdaging bij: informatie moet altijd betrouwbaar en heel snel beschikbaar zijn. Daar is het geen optie om een apparaat of systeem snel uit te zetten om de boel vervolgens te onderzoeken wanneer er onregelmatigheden worden vastgesteld. Er zijn immers mensenlevens mee gemoeid.”
Een andere uitdaging in de zorg is het brede applicatielandschap. Er worden in deze branche vaak specifieke systemen en apps gebruikt. Ook binnen een zorginstelling werken verschillende afdelingen of maatschappen doorgaans met eigen applicaties. Vaak gaat het om specialistische software met een beperkt aantal gebruikers en soms is er bij de ontwikkeling weinig aandacht en budget voor informatiebeveiliging en support geweest. Een dergelijk versnipperd applicatielandschap maakt het moeilijk overzicht te krijgen en de IT-omgeving zo veilig mogelijk te houden.
Gelukkig is er een breed pakket aan producten en bijbehorende dienstverlening beschikbaar die zorginstellingen in kunnen zetten om zichzelf te beschermen. De producten en diensten van Intermax sluiten aan bij het internationale framework van het National Institute for Standards and Technology (NIST). Hierin staan regels en aanbevelingen over hoe organisaties cyberaanvallen kunnen voorkomen, detecteren en er adequaat op reageren en ten slotte hoe ze ontstane schade kunnen repareren. Kwetsbaarheidsscanning is daar een onderdeel van.
Vulnerability scanning voor detectie
Kwetsbaarheidsscanning zit in de detectiefase van informatiebeveiliging. Het voordeel van deze scanning is dat het zeer laagdrempelig is en dus met weinig inspanning en middelen geïmplementeerd kan worden. Het is een geautomatiseerd proces dat continu wordt uitgevoerd. De scans worden 24/7 bijgewerkt op basis van een internationaal gecoördineerde lijst met de meest recente kwetsbaarheden. Dus u krijgt praktisch een real-time beeld, zodat de kans klein is dat u risico’s voor de organisatie over het hoofd ziet.
Inzicht in processen en beleid
Een ander belangrijk aspect van informatiebeveiliging is het goed implementeren van beleid en het sturen op goede processen. Ook dan komt Vulnerability Scanning van pas; het biedt namelijk ook de mogelijkheid om te signaleren waar en wanneer wordt afgeweken van beleid en procedures. Dankzij Vulnerability Scanning kan bijvoorbeeld duidelijk worden dat bepaalde netwerkpoorten openstaan. Het kan dan zijn dat de firewall-policies niet juist zijn ingeregeld. Dat is – zeker in de zorg – heel gevaarlijk, aangezien systemen alleen toegankelijk mogen zijn als dat strikt noodzakelijk is. Een ander voorbeeld: met Vulnerability Scanning kan bijvoorbeeld ook duidelijk worden dat er systemen zijn die al drie maanden niet gepatcht zijn, terwijl dit doorgaans maandelijks gebeurt.
Vaak ontstaan kwetsbaarheden omdat processen binnen de organisatie verouderd of onvoldoende expliciet zijn om applicaties of systemen goed te beheren. Ook als het beleid niet goed nageleefd wordt, kunnen er kwetsbaarheden ontstaan. Veel systemen binnen de zorg zijn uitbesteed aan externe leveranciers, vooral medische apparatuur. Zorgorganisaties hebben hierdoor zelf soms geen toegang tot de systemen om te zorgen dat iets up-to-date en veilig is. Maar zij hebben wel de verantwoordelijkheid om erop toe te zien dat de leverancier die taken goed uitvoert en om de verwachtingen vooraf duidelijk te communiceren.
Bij een proactieve aanpak van beveiligingsrisico’s mag kwetsbaarheidsscanning overigens niet los worden gezien van andere security-oplossingen als endpoint-protectie (het beschermen van laptops, mobiele apparaten en (medische) randapparatuur), Managed Detection & Reponse (MDR) of patchmanagement. “Een hacker heeft namelijk maar één gaatje nodig om binnen te komen. Je moet niet 99% van de tijd je werk goed doen, maar 100%. Dat vraagt om de inzet van een breed scala aan producten en diensten”, stelt Kalff.
De voordelen van vulnerability scanning
- Totaaloplossing met verschillende modules, die applicaties, netwerken en besturingssystemen 24×7 op kwetsbaarheden scant.
- Jarenlange expertise in en ervaring met informatiebeveiliging in de zorg, met alle relevante certificeringen.
- Geïntegreerd met ons ITSM-systeem, waardoor afwijkingen in volgorde van ernst snel worden opgelost.
- Data wordt alleen in Nederland opgeslagen. Dus geen SaaS-oplossing die gehost wordt in het buitenland.
- Inclusief dagelijkse IP-space-scan.
- Infrastructuurscan zodat alle systemen juist geregistreerd zijn binnen ons Asset Management Systeem. Dus geen systemen meer waarvan u het bestaan niet kent, waardoor ze niet gepatcht worden.
- Optioneel: patchmanagement, met maandelijkse patchrondes en noodpatches bij kritieke lekken.