Eind 2021 was de hele wereld in de ban van Log4j2. Een beveiligingsissue in Apache met een gevaarscore 10 uit 10 op het CVSS systeem. Bii deze kwetsbaarheid waren kwaadwillenden in staat om via logging de gehele server van organisaties over te nemen. Een zeer groot aantal bedrijven liep daarmee het risico om gehackt te worden wanneer niet tijdig een nieuwe versie van Log4j2 geïmplementeerd zou worden.
En wat dacht je van de oorlog tussen Rusland en Oekraïne en de dreigende cyberoorlog? Een cyberoorlog wordt gezien als een nieuwe manier van oorlogsvoering waarbij op afstand, in potentie, grote delen van de maatschappij plat gelegd kunnen worden. Denk bijvoorbeeld aan aanvallen op onze stroomvoorziening of betaalverkeer.
Deze ontwikkelingen laten meermaals zien dat investeren in een gedegen informatiebeveiligingsbeleid van cruciaal belang is. Voor onze Care markt kan dit zelfs van levensbelang zijn. Maar wat doet PinkRoccade Care eigenlijk aan de beveiliging van de gegevens in mijnCaress? Wat kunt u als zorginstelling doen om te zorgen dat cliëntgegevens zo veilig mogelijk zijn in mijnCaress?
De veiligheid van cliëntgegevens staat bij PinkRoccade Care hoog in het vaandel. Daarom nemen wij tijdens de ontwikkeling van mijnCaress maar ook tijdens de exploitatie van mijnCaress diverse maatregelen.
De eerste stap naar een veilig elektronisch cliëntendossier wordt al genomen nog vóórdat de eerste regel code van mijnCaress geschreven is: het moment waarop ontwerpers en architecten nadenken over de eisen en wensen voor nieuwe functionaliteiten. Daarin nemen zij ook onze security requirements in mee. Dit is een lijst met eisen voor informatiebeveiliging van mijnCaress. Deze lijst met eisen wordt niet alleen door PinkRoccade Care gebruikt, maar door alle business units die vallen onder het bedrijf PinkRoccade Healthcare. Daarmee gelden deze security eisen dus ook voor PinkRoccade Hosting Services.
Elke twee jaar worden de security requirements opnieuw onder de loep genomen. Dit doen we niet zelf, maar dit besteden wij uit aan security experts van een onafhankelijk en gerenommeerd security bedrijf. Zij stellen dit document op op basis van internationaal geldende standaarden voor informatiebeveiliging. Denk daarbij aan eisen voor het veilig kunnen inloggen en een veilige connectie tussen front-end en backend.
Niet alleen op PinkRoccade Healthcare niveau, maar ook op het niveau van ons moederbedrijf Total Specific Solutions (TSS) en Constellation Software (CSI) worden eisen gesteld aan het informatiebeveiligingsniveau van mijnCaress. Deze eisen worden elk kwartaal getoetst in een interne audit.
Security testen uitvoeren op een systeem met veel gevoelige gegevens is een belangrijke en specialistische klus. Hiertoe huren wij een gerenommeerde en gespecialiseerde organisatie in. Voordat wij een release uit brengen, zorgen wij dat de software is onderworpen aan een zogenaamde attack & penetratietest (A&P test). Geen enkele major release verlaat de ontwikkelafdeling zonder dat deze organisatie een A&P test heeft uitgevoerd. De A&P testen zijn onderdeel van een jaarlijkse cyclus bestaande uit één integrale en 2-3 incrementele testen.
Eenmaal per jaar wordt er een A&P test uitgevoerd op de gehele mijnCaress suite. Dit is een zeer uitgebreide test waarbij elke applicatie, vanuit informatiebeveiligingsperspectief, onder de loep wordt genomen. Daarbij wordt ook gecontroleerd of de security requirements op de juiste manier en consequent zijn geïmplementeerd in de software. Doorgaans plannen we deze test voor de release waarin grote wettelijke wijzigingen (iWLZ of iWMO) zijn opgenomen. Dit is immers de major release die vrijwel alle zorgorganisaties in gebruik zullen nemen.
De daaropvolgende major releases worden onderworpen aan een zogeheten incrementele A&P test. Het doel van deze test is beoordelen of de nieuw ontwikkelde functionaliteiten nog wel aan de informatiebeveiligingsstandaarden voldoen, zodat er geen nieuwe security problemen opgeleverd worden. Bovendien beoordeelt deze onafhankelijke organisatie ook de ingebouwde oplossingen voor reeds eerder gevonden security bevindingen.
De trend binnen de ontwikkelafdeling van mijnCaress is om zoveel mogelijk kwaliteit en controle van de software tijdens het ontwikkelen van de functionaliteiten uit te voeren. Hierdoor zouden wij nog vaker en nog eerder in het ontwikkelproces de feedback ontvangen én op een minder arbeidsintensieve manier. De invoering van incrementele A&P testen hebben de feedbackcyclus al aanzienlijk verkort, maar dit kan nóg korter. Onlangs zijn wij daarom gestart om A&P testen op geautomatiseerde wijze op te nemen in ons ontwikkelproces. Er is een Proof of Concept gestart voor onze API. Door een uitbreiding van onze testautomatisering kunnen wij o.a. controles uitvoeren op authenticatie en autorisatie. De organisatie die onze A&P testen uitvoert, ondersteunt ons bij deze implementatie zodat het informatiebeveiligingsniveau van mijnCaress op orde blijft. In de komende periode zullen wij meer van dit soort concepten onderzoeken en waar mogelijk implementeren in ons ontwikkelproces.
Door deze aanpak zijn wij continu zo goed als mogelijk op de hoogte van eventuele beveiligingsrisico’s in de software en dichten wij de belangrijkste potentiële beveiligingslekken.
In het ontwikkelproces gebruiken wij diverse ontwikkelgereedschappen; frameworks, tools en servers. Ook deze gereedschappen kennen potentiële beveiligingslekken. Wij voeren een actief update beleid; wij zorgen waar mogelijk dat we altijd de meest recente versies gebruiken en het beveiligingsrisico zo laag mogelijk is. Het werken met actuele versies van deze software leidt ook nog eens tot stabielere software!
Ondanks alle maatregelen vooraf kan het toch voorkomen dat er sprake is van een mogelijk datalek. In dat geval hebben wij een standaard protocol over hoe wij hier mee om gaan. Onderdelen van dit protocol zijn hoe wij het onderzoek uitvoeren, wie hierbij betrokken is, welke onderzoeksvragen gesteld worden en hoe wij onze klanten hierover informeren.
Over het algemeen lossen wij mogelijke security risico’s op in een major release. In speciale gevallen dichten wij een security risico in een patch. Als dit het geval is, dan communiceren wij dat ook als zodanig aan onze klanten, inclusief een advies om de betreffende patch zo snel mogelijk te installeren. Het updaten van log4j2 was hier een voorbeeld van. In die betreffende periode hebben we meerdere patches van mijnCaress uitgebracht met daarin oplossingen voor het Log4j2 probleem. Het ging hierbij niet alleen om een dringend advies om deze patch in gebruik te nemen, maar zelfs om een dwingend advies.
Let op: in de release notes communiceren wij niets over opgeloste security bevindingen. Wij willen immers niemand wijzer maken dan nodig is.
Omdat de meeste security risico’s opgelost worden in een major release, adviseren wij onze klanten om nieuwe major releases zo snel als mogelijk in productie te nemen. Toch kan het ook voorkomen dat er oplossingen voor zeer belangrijke security risico’s opgelost worden in een patch van mijnCaress. In uitzonderlijke gevallen geldt dan het dwingende advies om te installeren. Daarbij moet de betreffende versie geïnstalleerd worden. Als zorgorganisatie helpt het je dan wanneer het verschil tussen jouw huidige productieversie en de te implementeren versie niet zo groot is. Daarnaast is het ook belangrijk om patch releases tijdig in gebruik te nemen.
Hierdoor zorgen ook onze klanten zelf voor een zo laag mogelijk beveiligingsrisico. Daarnaast adviseren wij onze klanten om hun eigen infrastructuur actueel te houden en aan actief update beleid te voeren.
https://www.mijncaress.nl/wp-content/uploads/2023/05/DZP-afbeelding-blauw.png
1851
4400
Manon Pleiter
https://www.mijncaress.nl/wp-content/uploads/2022/09/mijncaress-1.svg
Manon Pleiter2023-05-23 10:23:112023-05-23 10:23:11Kom ook naar de theatersessie Van Elektronisch Cliënten Dossier naar Digitaal Zorg Platform voor de VVT en GHZ
https://www.mijncaress.nl/wp-content/uploads/2023/05/Post_linkedin_2.jpg
628
1200
Manon Pleiter
https://www.mijncaress.nl/wp-content/uploads/2022/09/mijncaress-1.svg
Manon Pleiter2023-05-04 21:38:122023-05-04 21:40:40Ontmoet mijnCaress op Zorg & ICT 2023
https://www.mijncaress.nl/wp-content/uploads/2023/02/nictiz-2.jpg
300
518
admin
https://www.mijncaress.nl/wp-content/uploads/2022/09/mijncaress-1.svg
admin2023-02-02 12:33:272023-05-23 10:25:17mijnCaress gekwalificeerd voor eOverdracht 4.0
https://www.mijncaress.nl/wp-content/uploads/2023/05/DZP-afbeelding-blauw.png
1851
4400
Manon Pleiter
https://www.mijncaress.nl/wp-content/uploads/2022/09/mijncaress-1.svg
Manon Pleiter2023-05-23 10:23:112023-05-23 10:23:11Kom ook naar de theatersessie Van Elektronisch Cliënten Dossier naar Digitaal Zorg Platform voor de VVT en GHZ
https://www.mijncaress.nl/wp-content/uploads/2023/05/Post_linkedin_2.jpg
628
1200
Manon Pleiter
https://www.mijncaress.nl/wp-content/uploads/2022/09/mijncaress-1.svg
Manon Pleiter2023-05-04 21:38:122023-05-04 21:40:40Ontmoet mijnCaress op Zorg & ICT 2023
https://www.mijncaress.nl/wp-content/uploads/2022/08/1655971284183.jpeg
1001
1635
Yasmijn Baas
https://www.mijncaress.nl/wp-content/uploads/2022/09/mijncaress-1.svg
Yasmijn Baas2022-11-01 10:38:222022-12-21 11:35:20Live partner event CareConnections Connect
https://www.mijncaress.nl/wp-content/uploads/2022/08/1655971284183.jpeg
1001
1635
Yasmijn Baas
https://www.mijncaress.nl/wp-content/uploads/2022/09/mijncaress-1.svg
Yasmijn Baas2022-11-01 10:38:222022-12-21 11:35:20Live partner event CareConnections Connect
Wapenrustlaan 11-31, Apeldoorn
Bezoekadres
info@mijncaress.nl
E-mail ons
055 599 92 00
Bel ons gerust
Copyright mijnCaress is onderdeel van PinkRoccade Care en TSS
Privacy Policy – Vulnerability disclosure policy
mijnCaress behaalt eerste kwalificaties MedMij met informatiestandaard PDF/...