Praktijkverhaal: CIS Controls framework kan helpen om hackers buiten de deur te houden

Cis controls

Een cyberincident was een eyeopener voor Radboudumc. Op zoek naar de manier om cybersecurity systematisch aan te pakken, kwamen ze uit bij CIS Critical Security Controls: een framework van beveiligingsmaatregelen. Sander Vols was nauw betrokken bij de invoering. “Het helpt je om koers te bepalen en die te blijven volgen.”

Sander Vols is corporate information security officer (CISO) bij het Radboudumc in Nijmegen. “Hackers zijn als gewone dieven. Ze gaan naar binnen waar het glas het dunst is, of het slot het zwakst. En het maakt ze echt niet uit of je een ziekenhuis bent waar mensenlevens gered worden. Daarom is het zo belangrijk om je cybersecurity op orde te hebben, en daar steeds aan te blijven werken.”

Met NEN 7510 hou je geen hack tegen

Ziekenhuizen in Nederland moeten wettelijk voldoen aan de NEN 7510. Dat is een norm voor informatiebeveiliging in de zorgsector. “De NEN 7510 is heel belangrijk voor een basisbeschermingsniveau, maar een ransomware-aanval hou je er niet mee buiten de deur”, aldus Sander.

Cybercrime is miljardenbusiness

“Op het vlak van cybercrime gaan de ontwikkelingen snel. Een hack wordt allang niet meer uitgevoerd door een whizzkid op een zolderkamertje. Het is een miljardenbusiness geworden, waar je hacksoftware gewoon online kunt bestellen. En als je vragen hebt, kun je naar de servicedesk bellen.” Met andere woorden: om als ziekenhuis je systemen goed te beschermen heb je meer nodig dan de basisinformatiebeveiligingsmaatregelen van de NEN 7510.

Momentum voor meer geld en capaciteit

Sander: “In 2021 vond er een beveiligingsincident plaats bij Radboudumc. Gelukkig was de schade beperkt, maar het heeft ons wel de ogen geopend.” Vanaf toen zijn Sander en zijn collega’s gaan kijken hoe ze de cybersecurity systematisch konden inrichten om de kans op incidenten te minimaliseren. Het incident in 2021 gaf ook het momentum om meer geld en capaciteit vrij te maken voor cybersecurity. Sander: “Geld gaat logischerwijs in eerste instantie naar primaire processen. Cybersecurity stond al op de agenda bij bestuurders, maar zo’n aanval helpt om het meer prioriteit te geven.”

"Je kunt nooit alle maatregelen perfect invoeren. Neem risico-acceptatie mee in je overwegingen."

Sander Vols

Cybersecurity planmatig aanpakken met CIS Critical Security Controls

Radboudumc heeft een internationaal beveiligingsbedrijf in de arm genomen om samen met hen de beste oplossing te vinden. “We zijn uitgekomen op de systematiek van CIS Critical Security Controls, een framework met een groot aantal beveiligingsmaatregelen op basis waarvan je een plan kunt maken (zie kader). Specialisten van dat bedrijf hebben samen met ons gekeken wat onze uitgangssituatie was, want uiteraard was het niet zo dat we nog niets aan cybersecurity deden. Vervolgens hebben we een gap analysis gemaakt: welke verbeteringen zijn nodig om onze cybersecurity op het gewenste niveau te brengen?”

CIS Critical Security Controls: framework om je systemen te beschermen

De CIS Critical Security Controls (CIS Controls) zijn een openbaar beschikbaar framework van achttien controls (thema’s) waarmee je je systemen en netwerken kunt beschermen tegen de meest voorkomende cyberaanvallen. Thema’s zijn onder andere accountmanagement, pentesting en datarecovery.

Daarnaast zijn de CIS Controls verdeeld in drie implementatiegroepen:

  • Groep 1: maatregelen voor basis-cyberhygiëne, vooral gericht op kleinere organisaties met beperkte IT-resources.
  • Groep 2: maatregelen die zich richten op complexere omgevingen, bijvoorbeeld organisaties met verschillende afdelingen die verschillende risicoprofielen hebben. Dit is de basis voor de maatregelen die Radboudumc neemt.
  • Groep 3: maatregelen voor grote organisaties met veel IT-expertise in huis, waarmee je vertrouwelijke data goed kunt beschermen en complexe aanvallen kunt afweren.

Elke implementatiegroep beval een selectie van beheersmaatregelen uit de achttien controls.

Cis controls

Overzicht van de 18 CIS controls

Securityroadmap

“Op basis van de gap analysis hebben we een securityroadmap met bouwblokken gemaakt, waarin zowel technische, procesmatige als mensgerichte maatregelen staan.” De menselijke kant, bewustwording dus, is essentieel maar krijgt nog weleens te weinig aandacht, vindt Sander. “Je kunt nog zo mooie maildetectiesystemen hebben, als mensen toch op verdachte linkjes blijven klikken heb je daar weinig aan.”

Risico-acceptatie

In de securityroadmap staat per maatregel een ambitieniveau. “Het is belangrijk om daar realistisch in te zijn”, vertelt Sander. “Je kunt wel alle maatregelen op het hoogste niveau willen invoeren, maar dat kan gewoon niet en is ook veel te duur. Je moet daarom ook risico-acceptatie meenemen in je overwegingen. Wij zijn in 2021 begonnen met een top 5 van controls waar we gericht aan willen werken. Het vergroten van de bewustwording is er daar één van, maar ook het automatiseren van detectie van systemen en netwerken, scherper inrichten van accountbeheer en het oefenen van cybercrisissituaties horen erbij.”

Groeien naar volwassenheidsniveau

Door zich jaarlijks te richten op een set van CIS-controls die ze willen verbeteren, groeit het Radboudumc gestaag naar een bepaald volwassenheidsniveau: ze hebben nu al veel beter zicht op wat er in hun omgeving gebeurt. Sander: “Dat is winst, want wat je niet ziet, kun je ook niet tegenhouden. We hebben inmiddels de eerste stappen gezet. Denk bijvoorbeeld aan een spamdetectiesysteem dat verbonden is met een wereldwijde database, waardoor verdachte mails nog makkelijker herkend worden. En we hebben ons accountbeheer beter ingericht: vroeger gaf je makkelijk iemand een account, nu kijken we heel goed tot welke systemen iemand wel en geen toegang nodig heeft.”

"Blijf evalueren: waar sta je en wat moet je doen om nog veiliger te worden?"

Sander Vols

Blijven evalueren

“Heel belangrijk is ook om te blijven evalueren”, vervolgt Sander. “We vragen ons steeds af: wat hebben we nu gerealiseerd, en wat moeten we nu doen om onze cyberweerbaarheid nog beter te maken? Die stappen zijn vaak klein, want je moet het doen met de beschikbare middelen. Maar ook kleine stappen leveren veel op.”

Zorg voor een koers

Sander kan niet genoeg benadrukken hoe belangrijk het is om een koers te hebben. “Zorg daar in elk geval voor als je als instelling begint met structurele cybersecuritymaatregelen. Ook al heb je maar een klein budget, bepaal waar je staat en waar je heen wilt, en hoe je de beschikbare middelen inzet. CIS Controls kunnen je daar heel goed bij helpen. Plus: een duidelijke koers zorgt er ook voor dat cybersecurity de aandacht houdt van bestuurders.”

Lees ook over zero trust

Het CIS Controls framework is één methode om cybersecurity systematisch aan te pakken. Een andere methode is het zero trust-principe. Lees het artikel met meer informatie over zero trust, en het praktijkverhaal over zero trust van BUas en Inholland.