VVT-Informatisering

Z-Cert - Computer Emergency Response Team voor de zorg

zcert-logo

Wat is Z-Cert?

Z-Cert, het Computer Emergency Response Team voor de zorg, is een organisatie die ondersteuning en advies geeft bij cybersecurity-incidenten, een soort brandweer op het gebied van informatieveiligheid. Ze doen dat op afstand (“We stappen niet in de auto, we zitten niet aan de knoppen”). Z-CERT helpt instellingen ook om hun weerbaarheid op het gebied van cybersecurity structureel te verbeteren.

Diensten die hierbij horen zijn:

  • Preventie
    Informatie- en kennisuitwisseling over kwetsbaarheden in apparatuur, netwerken, applicaties en hoe hiermee om te gaan; mogelijke dreigingen en actuele aanvallen bij deelnemers
  • Monitoring
    bv controle domeinnamen, IP adressen; deelnemers waarschuwen en handelingsadvies geven
  • Incidentafhandeling
    advies over de aanpak en het oplossen van het incident; ondersteunen bij het beperken van technische-, financiële- en imagoschade

Ziekenhuizen, GGZ

Z-CERT werd mede met ondersteuning van het ministerie van Volksgezondheid opgezet, op initiatief van de Nederlandse Vereniging van Ziekenhuizen (NVZ), de Nederlandse Federatie van Universitair Medische Centra (NFU) en GGZ Nederland (GGZ). Z-Cert richt zich dan ook met name op de ziekenhuizen en de GGZ-instellingen. Minister Bruins heeft in maart 2019 in een brief aan de Tweede Kamer laten weten dat hij vindt dat alle ziekenhuizen aangesloten zouden moeten zijn bij een organisatie als Z-CERT en dat hij gaat onderzoeken of dit verplicht kan worden gesteld.

Pilot in de care

Het was de bedoeling om Z-Cert op termijn uit te breiden naar de hele zorgsector. Z-CERT heeft van maart tot oktober 2018 een pilot uitgevoerd met twee leden van ActiZ en twee leden van VGN. Het doel van deze pilot was om te komen tot een goed onderbouwd voorstel voor (de leden van) deze brancheverenigingen. Inhoudelijk is in de pilot gekeken of het huidige dienstenpakket van Z-Cert aansluit bij de behoefte van de leden van ActiZ/VGN.

Uit de pilot kwam naar voren dat zorgorganisaties in de care andere kenmerken hebben, er spelen andere risico’s, en daardoor hebben ze andere behoeften. Zo lijkt de diversiteit van zorgorganisaties qua IT-infrastructuur en het volwassenheidsniveau groter. Er wordt meer gebruik gemaakt van outsourcing dan in de cure. Er worden meer domotica en e-healthtoepassingen gebruikt in de care-sector, en het bewustzijn op het vlak van informatieveiligheid bij medewerkers lijkt lager dan in de cure.

Bij grotere zorgorganisaties sluiten de huidige (ziekenhuis)diensten van Z-Cert wellicht beter aan dan bij kleine en middelgrote care-organisaties. De conclusie van de pilot was dat de diensten van Z-Cert op maat gemaakt en uitgebreid zouden moeten worden om de caresector echt van dienst te kunnen zijn.

Aanvankelijk werd na de pilot besloten om het traject te vervolgen en uit te breiden door de groep te verbreden naar 10-12 deelnemers. Maar Z-Cert geeft momenteel (juni 2019) aan dat hun focus nu eerst op de cure ligt. Ze hebben alle menskracht daar hard nodig, nu de druk flink is opgevoerd door de uitspraken van de minister.

Werkplan Informatieveiligheid

Het is ook de vraag of de werkwijze van Z-Cert (vergelijkbaar met de brandweer) de beste aanvliegroute is voor de VVT-sector. ActiZ werkt op dit moment aan een werkplan voor informatieveiligheid. De grootste risico’s en mogelijke oplossingsrichtingen voor de leden in onze sector worden in kaart gebracht en de Themacommissie Informatisering zal in september knopen doorhakken over de activiteiten die ActiZ op het gebied van informatieveiligheid zal oppakken.

Meer over Z-Cert

1-DSC_0229-001