De protocollen zijn er, maar hoe veilig ben je dan in het écht? Het Amphia Ziekenhuis koos voor Red Teaming om hun informatiebeveiliging op een zeer praktische én realistische manier te testen.
Amphia Hospital x Red Teaming
Ziekenhuizen worden steeds moderner en efficiënter. Dit heeft natuurlijk grote voordelen voor de kwantiteit en kwaliteit van de patiëntenzorg. Echter brengt dit moderniseren ook digitale risico’s met zich mee, met de daarbij horende vragen: Hoe zorg je dat de patiënten en de gegevens veilig zijn? Welke risico’s lopen we eigenlijk en wat kunnen we eraan doen?
Over Amphia Ziekenhuis
Amphia is het topklinisch ziekenhuis in de mooie Breda. Binnen Amphia draait het om mensen en hun gezondheid. Dat doen ze niet alleen, maar samen. Ongeveer 5.000 medewerkers zetten zich dagelijks in voor de beste zorg voor iedere unieke patiënt.
Amphia is een van de grootste STZ-ziekenhuizen in Nederland waar wetenschappelijk patiëntgericht onderzoek, topklinische zorg en opleidingen centraal staan. Dit gebeurt allemaal in het nieuwe, moderne ziekenhuis, dat geheel ingericht is op de toekomst. We werken hier aan het realiseren van onze ambities, waaronder topzorg op meerdere gebieden binnen alle vakgebieden.
"Wij als Amphia hebben altijd al een proactieve en preventieve houding op het onderwerp informatiebeveiliging gehad, maar we wilden het nu ook eens door een externe partij laten vaststellen hoe veilig we nu daadwerkelijk zijn."
Amphia x Red Teaming
Waarom hebben jullie voor Red Teaming gekozen?
Wij hebben voor Red Teaming gekozen, omdat we een compleet verhaal wilden over de technieken die door cybercriminelen gebruikt worden om organisaties of instellingen aan te vallen.
Welke onderdelen zijn onder andere getest?
We hebben laten testen hoe onze mensen op phishing email reageren; wat ze doen met macro's die in mailtjes aangeboden worden; als ze op phishing reageren, geven ze dan account en wachtwoord af? Verder is er ook nog een cyberaanval
Samenwerking met de zorg
Willem Westerhof, Security Specialist bij Secura: "Bij veel projecten in de zorg merken we dat er best wel veel naar voren komt uit die testen. Er zijn gewoon echt kwetsbare systemen. We merken dat er in de zorg een aantal structurele problemen zijn, die er toe leiden dat cybersecurity niet altijd bovenaan de prioriteiten staat, terwijl je er echt veel kwaad mee kan en situaties kunt creëren die echt impact hebben op het operationele proces van een ziekenhuis om mensenlevens te redden, bijvoorbeeld:"
- het lekken van patientendossiers
- airco beinvloeden
- operatiekamers overnemen
- hartmonitoren die te hacken zijn
"Wij zien daar dus wel echt reële gevaren en zijn heel erg op zoek naar samenwerking met de zorg om dat aan te pakken!"
Red Teaming
Informatiebeveiliging in de praktijk toetsen
Red Teaming vindt zijn oorsprong in de militaire arena waarbij cyberaanvallen met een volledig spectrum worden gesimuleerd. Tijdens het onderzoek, wordt inzicht verschaft in de verschillende stappen die gezamenlijk de uiteindelijke aanval vormen.
"Bij Red Teaming proberen we een echte aanval te simuleren. De klant geeft ons niets, we verzamelen dat allemaal zelf bij elkaar en dan proberen we binnen te komen, door te stoten en de kroonjuwelen te pakken zonder dat iemand door heeft dat we er zijn."
Onderdelen van een Red Teaming onderzoek zijn onder andere:
- Open Source Intelligence (OSINT) - Via openbare bronnen informatie verzamelen die gebruikt kunnen worden in het onderzoek
- Phishing - Door middel van een phishing actie account namen en wachtwoorden proberen te verkrijgen
- Social Engineering - Een mystery guest die op plekken probeert binnen te komen waar deze persoon niet hoort te zijn.
- Hack - Via een interne pentest domain admin proberen te worden en zo volledige controle te krijgen over de systemen in de organisatie
Over Secura
Secura is uw onafhankelijke cybersecurity expert. Secura geeft inzicht in de beveiliging van waardevolle data en systemen. Wij maken cybersecurity tastbaar en meetbaar binnen de velden IT, OT en IoT. Met onze security advies-, test-, trainings- en certificeringsdiensten, benaderen wij cybersecurity op holistische wijze. Dit doen wij op alle gebieden: mensen, processen en technologieën.
Fact sheets
Secura Red Teaming
What is Red Teaming? What are the different teams and types of red teaming?
Download fact sheet file_download