Ransomware en NEN 7510: Waarom uw interne audit de 'Kill Switch' mist
Gepost door
Rob Veen
Samenvatting voor de snelle lezer: Een traditionele NEN 7510 interne audit richt zich vaak op beleidsdocumentatie (compliance), terwijl moderne ransomware-aanvallen zich richten op de menselijke en technische kwetsbaarheden (security). Uit data van Z-CERT blijkt dat 37% van de getroffen zorginstellingen langer dan een maand nodig heeft voor herstel. Dit artikel analyseert de kritieke gaten tussen de papieren norm en de digitale realiteit, en hoe u uw interne audit inzet om daadwerkelijke patiëntveiligheid te borgen.
Het bezitten van een NEN 7510 certificaat creëert rust binnen veel zorginstellingen. Het managementrapport is groen, de procedures zijn vastgelegd en de externe auditor is tevreden.
Echter, er bestaat een risicovolle discrepantie tussen compliance (voldoen aan de norm) en security (weerbaarheid tegen aanvallen). Een traditionele interne audit controleert of u een beleid heeft voor incidentmanagement. Een moderne aanvalsgroep, zoals LockBit of Clop, controleert of u daadwerkelijk in staat bent uw primaire processen te herstellen na totale encryptie.
In dit artikel bespreken we waarom een document-gedreven interne audit u niet beschermt tegen de huidige dreigingsbeelden en hoe u de focus verlegt naar daadwerkelijke risicobeheersing.
De harde data: Waarom 'Compliance' niet genoeg is
De urgentie is niet theoretisch. Volgens het Cybersecuritybeeld Zorg 2024 van Z-CERT is de aard van dreigingen fundamenteel veranderd. Het doel van criminelen is verschoven van datadiefstal naar operationele ontwrichting om de druk tot betaling te maximaliseren.
De statistieken van Z-CERT schetsen een ontnuchterend beeld voor instellingen die enkel op papier 'in control' zijn:
Hersteltijd: 37% van de getroffen instellingen heeft meer dan een maand nodig om volledig te herstellen.
Back-ups: Bij 95% van de geslaagde ransomware-aanvallen worden de back-ups gecompromitteerd of versleuteld.
Kosten: De gemiddelde kosten van herstel en bedrijfsstilstand overstijgen de kosten van het losgeld vele malen.
De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft in haar Toetsingskader Digitale Zorg (mei 2024) aangegeven strenger te toetsen op de borging van veiligheid, niet enkel de opzet. Een interne audit die deze realiteit negeert, voldoet wellicht aan de letter van de norm, maar faalt in de geest van de wet: patiëntveiligheid garanderen.
3 Kritieke 'Audit Gaps' in NEN 7510
Waar laten traditionele interne audits steken vallen? Hieronder analyseren we de drie grootste verschillen tussen wat de auditor doorgaans vraagt en wat de werkelijke dreiging vereist.
1. Van Back-up Beleid naar 'Immutable Storage'
NEN 7510 Beheersmaatregel A8.13 (Informatieback-up) eist dat er reservekopieën worden gemaakt.
De traditionele audit: "Is er een back-up beleid?"
De auditor ziet een document, zet een vinkje en loopt door.Het reële risico: Ransomware scant het netwerk specifiek naar back-servers om deze als eerste te versleutelen. Een beleidsstuk stopt geen encryptie.
De noodzakelijke toets: Uw interne audit moet verifiëren of de back-ups 'immutable' (onveranderbaar) zijn. Kan een beheerder met root-toegang de back-up verwijderen? Zo ja, dan kan een hacker dat ook. Daarnaast moet de 'Time-to-Restore' getest worden: hoe lang duurt het terugzetten van 5TB aan EPD-data daadwerkelijk?
2. Van Netwerktekening naar 'Lateral Movement' & Zero Trust
NEN 7510 Beheersmaatregel A8.22 (Scheiding van netwerken) eist dat groepen informatiediensten, gebruikers en informatiesystemen worden gescheiden.
De traditionele audit: "Is er een netwerkschema?"
Er wordt een tekening getoond die vijf jaar geleden is gemaakt. Vinkje.Het reële risico: Via verouderde randapparatuur (IoMT - Internet of Medical Things) of een phishingmail op een receptie-PC, proberen aanvallers zich lateraal door het netwerk te bewegen (Lateral Movement).
De noodzakelijke toets: In de nieuwe NEN 7510:2024 wordt specifiek aandacht gevraagd voor het Zero Trust beginsel. Zeker bij cloud-based werken is een simpele firewall niet genoeg. De audit moet vragen om bewijs van segregatie-testen: Is het technisch mogelijk om vanaf het gastennetwerk verbinding te maken met de database van het ZIS?
3. Van Loggen naar Monitoren (NEN 7513)
NEN 7513 schrijft gedetailleerde logging voor.
De traditionele audit: "Worden de logfiles bewaard volgens de bewaartermijn?"
Het reële risico: De Autoriteit Persoonsgegevens meldt dat de zorgsector koploper blijft in incidenten. Veel datalekken worden pas maanden later ontdekt.
De noodzakelijke toets: Logging zonder actieve monitoring is slechts digitaal forensisch materiaal voor na de ramp. De interne audit moet toetsen of er alerting is ingesteld. Gaat er een alarm af bij de IT-afdeling als er om 03:00 uur 's nachts 500 patiëntdossiers worden opgevraagd?
Papieren Audit vs. Security Audit
Onderstaande tabel toont hoe AuditDirect de vertaalslag maakt van de nieuwe NEN 7510:2024 norm naar de praktijk.
NEN 7510 Onderdeel | De 'Vinklijst' Vraag (Papieren veiligheid) | De 'Security' Vraag (AuditDirect Aanpak) |
Back-ups (A8.13) | "Maken we dagelijks een back-up?" | "Zijn back-ups immutable en hoe verhouden de RTO/RPO eisen zich tot de geteste back-up frequentie?" |
Toegangsbeveiliging (A5.15 - A5.18) | "Is er een wachtwoordbeleid?" | "Is MFA geforceerd op alle externe toegang? En welke Service Accounts hebben ongemerkt toegang tot kritieke componenten?" |
Incidentbeheer (A5.24 - A5.28) | "Is er een procedure in het handboek?" | "Weet de nachtdienst wie ze moeten bellen als dossiers 's nachts massaal worden versleuteld of gedownload?" |
Leveranciers (A5.19 - A5.22) | "Hebben we een leveranciersbeoordeling gedaan (score 1-5)?" | "Welke leverancier heeft beheerdersrechten in onze omgeving? Hebben we getoetst of hun security op orde is?" |
Begrippenkader
Om misverstanden tijdens uw interne audit te voorkomen, definieert AuditDirect de volgende termen zoals ze in de praktijk getoetst moeten worden:
Immutable Backup: Een back-up die gedurende een vastgestelde periode door niemand – ook niet door systeembeheerders – gewijzigd of verwijderd kan worden.
Lateral Movement: De techniek waarbij een aanvaller, na binnenkomst op een onbelangrijk systeem (bijv. een printer of receptie-pc), zich door het netwerk beweegt op zoek naar kroonjuwelen (patiëntdata).
RTO (Recovery Time Objective): De maximaal toelaatbare tijd dat een systeem (zoals het EPD) plat mag liggen voordat patiëntveiligheid in gevaar komt.
RPO (Recovery Point Objective): De maximaal toelaatbare hoeveelheid dataverlies gemeten in tijd. (Bijvoorbeeld: bij een crash accepteren we maximaal het verlies van de laatste 15 minuten aan mutaties).
De Visie van AuditDirect: Pragmatisch en Veilig
Bij AuditDirect geloven we dat een NEN 7510 certificaat een logisch gevolg moet zijn van een veilige organisatie, geen doel op zich. Wij voeren interne audits uit met de bril van de auditor én de bril van de security-specialist.
Wij helpen u niet alleen aan de eisen van de externe auditor te voldoen, maar zorgen er ook voor dat u een eerlijk antwoord heeft op de vraag: "Zijn mijn patiëntgegevens echt veilig?"
Wilt u een interne audit die verder kijkt dan de checklist en echte risico's blootlegt?
👉 Bekijk onze aanpak voor NEN 7510 Interne Audits
Veelgestelde Vragen: Compliance versus Werkelijke Veiligheid
Waarom biedt een NEN 7510-certificaat schijnveiligheid tegen ransomware?
Een certificaat bevestigt vaak dat het beleid en de procedures op papier aanwezig zijn (compliance). Moderne aanvalsgroepen zoals LockBit richten zich echter op de technische uitvoering en menselijke fouten (security). Waar een auditor een vinkje zet bij het bestaan van een incidentmanagementplan, test een aanvaller of u daadwerkelijk kunt herstellen na totale encryptie. Het bezit van het certificaat creëert rust, maar de digitale realiteit is dat 37% van de instellingen na een aanval langer dan een maand nodig heeft voor herstel.
Wat is het grootste risico bij traditionele back-up controles tijdens een audit?
Traditionele audits controleren vaak alleen of er een back-up beleid is. Het reële risico is dat ransomware specifiek zoekt naar back-up servers om deze als eerste te versleutelen. In 95% van de geslaagde aanvallen worden back-ups gecompromitteerd. Een effectieve audit moet daarom toetsen op Immutable Storage (onveranderbare opslag) die zelfs niet door beheerders met root-toegang verwijderd kan worden.
Hoe verandert het toezicht van de IGJ in 2024 op het gebied van digitale zorg?
Volgens het Toetsingskader Digitale Zorg (mei 2024) gaat de Inspectie Gezondheidszorg en Jeugd (IGJ) strenger toetsen. De focus verschuift van de loutere 'opzet' (staat het op papier?) naar de feitelijke borging van veiligheid in de praktijk. Het doel hiervan is om de patiëntveiligheid daadwerkelijk te garanderen in plaats van alleen aan de letter van de norm te voldoen.
Wat is het cruciale verschil tussen logging (NEN 7513) en actieve monitoring?
Logging zonder actieve monitoring is volgens de tekst slechts "digitaal forensisch materiaal voor na de ramp". Hoewel NEN 7513 gedetailleerde logging voorschrijft, ontdekken zorginstellingen datalekken vaak pas maanden later. Een veilige aanpak vereist alerting: een systeem dat direct een alarm slaat bij de IT-afdeling wanneer er op ongebruikelijke tijden (bijv. 03:00 uur 's nachts) massaal patiëntdossiers worden opgevraagd.
Hoe bepalen RTO en RPO de herstelcapaciteit van een zorginstelling?
Deze begrippen zijn essentieel om de 'Time-to-Restore' te toetsen tijdens een audit: RTO (Recovery Time Objective) - De maximale tijd dat een systeem (zoals het EPD) plat mag liggen voordat de patiëntveiligheid in gevaar komt. RPO (Recovery Point Objective) - De hoeveelheid dataverlies die men accepteert (bijvoorbeeld maximaal 15 minuten aan mutaties). Een audit moet verifiëren of de technische infrastructuur deze eisen daadwerkelijk kan waarmaken bij het terugzetten van grote hoeveelheden data.
Geraadpleegde Bronnen:
Z-CERT (2024). Cybersecuritybeeld Zorg 2024. z-cert.nl
Inspectie Gezondheidszorg en Jeugd (IGJ). Toetsingskader Digitale Zorg (Mei 2024). igj.nl
Autoriteit Persoonsgegevens. Rapportage Datalekken. autoriteitpersoonsgegevens.nl
