Begin 2020 werd Nederland bezig gehouden met een beveiligingsissue in Citrix. Diverse bedrijven maar ook zorginstellingen liepen een groot risico gehackt te worden vanwege een niet tijdig bijgewerkte Citrix-versie. Maar wat doet PinkRoccade Care eigenlijk aan de beveiliging van de gegevens in mijnCaress? Wat kunt u als zorginstelling doen om te zorgen dat cliëntgegevens zo veilig mogelijk zijn in mijnCaress?

De veiligheid van cliëntgegevens staat bij PinkRoccade Care hoog in het vaandel. Daarom nemen wij tijdens de ontwikkeling van mijnCaress maar ook tijdens de exploitatie van mijnCaress diverse maatregelen.

Continue security testen tijdens ontwikkeling

Voordat wij een release uit brengen, zorgen wij dat de software is onderworpen aan een zogenaamde attack & penetratietest (A&P test). Hiertoe huren wij een gerenommeerde en gespecialiseerde organisatie in. Maandelijks voert deze organisatie een A&P test uit op de software die in de afgelopen maand is ontwikkeld. Daarmee wordt de software dus al diverse keren onderworpen aan een security test voordat deze in een release beschikbaar gesteld wordt aan onze klanten. Daarnaast voert deze zelfde organisatie twee maal per jaar een integrale A&P test uit op mijnCaress.

Tijdens het schrijven van dit artikel loopt er in de ontwikkelafdeling van mijnCaress een Proof of Concept met een tool waarmee het mogelijk is om dagelijks op geautomatiseerde wijze A&P tests uit te voeren op mijnCaress als geïntegreerd onderdeel van het ontwikkelproces. Hierdoor zouden wij nog vaker en nog eerder in het ontwikkelproces de feedback ontvangen én op een minder arbeidsintensieve manier.

Middels deze aanpak zijn wij continu zo goed als mogelijk op de hoogte van eventuele beveiligingsrisico’s in de software en dichten wij de belangrijkste potentiële beveiligingslekken.

Ook ontwikkelgereedschappen kennen beveiligingsrisico’s

In het ontwikkelproces gebruiken wij diverse ontwikkelgereedschappen; frameworks, tools en servers. Ook deze gereedschappen kennen potentiele beveiligingslekken. Wij voeren een actief update beleid; wij zorgen waar mogelijk dat we altijd de meest recente versies gebruiken en het beveiligingsrisico zo laag mogelijk is. Het werken met actuele versies van deze software leidt ook nog eens tot stabielere software!

Beveiliging van data in de Pink Private Cloud

Een groot aantal van onze klanten heeft mijnCaress gehost in de Pink Private Cloud. Wij ontzorgen onze klanten daarmee voor de hosting en het in de lucht houden van mijnCaress. Net zoals dat voor de software geldt, geldt voor de hosting infrastructuur dat wij deze tijdig patchen met security patches van leveranciers en dat wij met regelmaat een attack en penetratietest uit laten voeren op onze infrastructuur door een gerenommeerde externe partij. Daarnaast wordt actief gespeurd naar kwetsbaarheden in de infrastructuur, wordt met moderne technologie al het dataverkeer beoordeeld en hebben we een Security Team (Security Operations Center) actief, dat afwijkend verkeer of afwijkende gebeurtenissen in het netwerk detecteert.

Wat nou als er toch sprake is van een (potentieel) datalek?

Ondanks alle maatregelen vooraf kan het toch voorkomen dat er sprake is van een mogelijk datalek. In dat geval hebben wij een standaard protocol over hoe wij hier mee om gaan. Onderdelen van dit protocol zijn hoe wij het onderzoek uitvoeren, wie hierbij betrokken is, welke onderzoeksvragen gesteld worden en hoe wij onze klanten hierover informeren.

Advies aan onze klanten

Over het algemeen lossen wij mogelijke security risico’s op in een major release. In speciale gevallen dichten wij een security risico in een patch. Als dit het geval is, dan communiceren wij dat ook als zodanig aan onze klanten, inclusief een advies om de betreffende patch zo snel mogelijk te installeren.

Omdat de meeste security risico’s opgelost worden in een major release, adviseren wij onze klanten om nieuwe major releases zo snel als mogelijk in productie te nemen. Hierdoor zorgen ook onze klanten zelf voor een zo laag mogelijk beveiligingsrisico.

Daarnaast adviseren wij onze klanten om hun eigen infrastructuur actueel te houden en aan actief update beleid te voeren.

Ruud Steeghs
Ruud Steeghs is sinds 1 november 2017 manager R&D van mijnCaress. Voor die tijd werkte hij onder meer als manager Ontwikkeling bij zorgverzekeraar VGZ en ICT-dienstverlener Sogeti. 

Wil je meer weten over zijn visie op software ontwikkeling of het jaarplan van R&D mijnCaress, neem dan contact op via Ruud.Steeghs@PinkRoccade.nl.

Share This