Contacteer deze zorginstellingen rechtstreeks:
MS Center Melsbroek
AZ Turnhout
Sint-Trudo Sint-Truiden
AZ Glorieux Ronse
AZ Jan Portaels Vilvoorde
Revalidatieziekenhuis Inkendaal
Pas op phising. Er zijn phishingmails in omloop die van nexuzhealth lijken te komen. Klik hier voor meer informatie en tips om jezelf te beschermen.
door nexuzhealth op 21.11.2024
Er zijn natuurlijk een aantal minimale wettelijke vereisten, maar nexuzhealth gaat bij de productontwikkeling en de daaraan gekoppelde diensten verder gaan als het over security en privacy gaat. “Vooreerst passen we het CyberFundamentals raamwerk met fundamentele richtlijnen, kortweg CyFun, van het Centre for Cybersecurity Belgium toe", verduidelijkt Mark Vanautgaerden. “Met de daarin voorziene risicobeoordeling en self assessment bepalen we de belangrijkste prioriteiten om NIS2-compliant (Network and Information Security Directive 2) te zijn. Met het voldoen aan de cyberbeveiligingswet en het minimaal bereiken van het basis zekerheidsniveau kan je zo al snel ruim 80% van de huidige cyberaanvallen tegenhouden.
Natuurlijk streven we ernaar om het hoogste zekerheidsniveau te bereiken door nadien incrementeel steeds de beveiligingsmaatregelen verder aan te scherpen. Omdat nexuzhealth grotendeels een productontwikkeling bedrijf is, breiden we dit uit met het Software Assurance Maturity Model, kortweg SAMM, van OWASP (Open Worldwide Application Security Project).
Dit geeft ons bijkomend richting in het structureren en verbeteren van de beveiligingsprocessen voor onze software ontwikkeling in vijf domeinen specifiek gericht op: governance, design, implementation, verification en operations. Dit leidt tot het ons eigen maken van een application security cultuur, kortweg AppSec, die garandeert dat we alle nodige taken en processen introduceren bij onze product engineering teams om tot een veilige levenscyclus van softwareontwikkeling te komen (Secure Software Development Life Cycle of SSDLC)."
“De implementatie van de CyFun en SAMM prioriteiten in nexuzhealth gebeurt in verschillende stappen. Het managementteam bepaalt eerst de high level doelen”, zegt Mark. “Vervolgens vertalen de beveiligingsexperten van het security team die vervolgens naar praktische doelen en bereiden ze de concrete uitwerking voor. De ontwikkelaars nemen die adviezen mee in de roadmap om ze vervolgens volledig te implementeren. Nadien wordt er getest of het risico verholpen of minstens gereduceerd is en volgt de evaluatie. En daarna wordt dit hele proces opnieuw gestart om steeds meer risico’s weg te werken.”
Mark Vanautgaerden, Chief Information Security Officer
De eerste stap om een zo veilig mogelijke applicatie te bouwen, is het ‘secure by design’ principe. Dit past nexuzhealth toe via Threat Modeling. Bij Threat Modeling start je steeds met de architectuur van wat je gaat maken goed in kaart te brengen. Daarop bepaal je dan wat er allemaal fout kan lopen en daaropvolgend hoe hoog die risico’s zijn en hoe je er mee omgaat. Je start dus al tijdens de ontwerpfase met het actief zoeken naar tekortkomingen. Dit resulteert in het vroegtijdig voorkomen van problemen die anders later moeilijker op te lossen zijn of zware kosten zouden veroorzaken.
Daarnaast voeren we per case een Threat Modeling uit, ook wanneer we met derde partijen samenwerken, voordat we iets in productie brengen.
Om de beveiligingsrisico's in zo een architectuur te identificeren passen we altijd minimaal het STRIDE-model toe. Met dit model speuren we naar mogelijke kwetsbaarheden die de volgende risico's zouden kunnen toestaan:
het vervalsen van identiteit
het manipuleren van gegevens
het ontkennen van acties
het lekken van informatie
het onderbreken van diensten
hogere toegangsrechten
“Vervolgens identificeren en testen we ook nog de beveiligingsrisico's die specifiek kunnen optreden bij mobiel gebruik”, gaat Mark verder. “Hiervoor baseren we ons op het MAS VS-model en het MASTG-model van OWASP.” “En als laatste, maar niet onbelangrijk, voeren we ook privacy threat modeling uit waarvoor we het LINDDUN-framework van DistriNet, een onderzoeksgroep van de KU Leuven, gebruiken”, vult Valerie aan.
Nexuzhealth categoriseert en prioriteert daarna alle gevonden risico’s via DREAD:
“Elke bedreiging krijgt een risicoscore, zodat meteen zichtbaar is of die een laag, medium, hoog of kritiek risico vormt. Kritieke en hoge beveiligingsrisico’s worden zo snel mogelijk en minimaal gereduceerd tot lage of medium risico's. Eenmaal de toepassing gebouwd is, voeren we nog blijvend automatische scans uit waarmee we onze externe attack surface, Software Bill of Materials, correct gebruik van Transport Layer Security (TLS) en nieuw ontdekte kwetsbaarheden in onze toeleveringsketen bewaken. Om over al deze risico’s, hun prioriteiten en de planning van de te nemen tegenmaatregelen het overzicht te behouden gebruiken we DefectDoJo.”
Zodra alles draait, komt security operations in the picture. “Om kwaadaardig gebruik of zelfs foute configuraties te detecteren, verkennen we bij nexuzhealth het gebruik van Google SecOps en Security Command Center”, legt Mark Vanautgaerden uit. “Doet er iemand iets wat niet mag? Op dat moment de software aanpassen, duurt te lang. Via SOAR (Security Orchestration, Automation and Response) kun je veel sneller reageren en bepaalde paden voor hackers automatisch sluiten. Ervaring leert dat aanvallen vaak voorkomen buiten de kantooruren. Hackers gaan liever ’s nachts aan de slag of op een feestdag, wanneer jij net met familie aan tafel zit.”
Tot slot schakelt nexuzhealth ook ethische hackers in om eventuele kwetsbaarheden aan te pakken. “Dat kan bijvoorbeeld via ‘pentesting’ (ook wel penetratietest of binnendringingstest genoemd). Een onafhankelijke derde partij kan dan met voorafgaande toestemming en binnen een bepaald kader proberen een systeem binnen te dringen, bijvoorbeeld systeemtechnisch of via social engineering technieken”, verduidelijkt Valerie. “Ook heeft nexuzhealth een beloningsprogramma (bug bounty) lopen via het Intigriti platform.”
MS Center Melsbroek
AZ Turnhout
Sint-Trudo Sint-Truiden
AZ Glorieux Ronse
AZ Jan Portaels Vilvoorde
Revalidatieziekenhuis Inkendaal