ZORRO staat voor "ZOrg Redteaming Resilience Oefeningen" en is een Red teaming oefening speciaal voor de zorg.
Ben je onzeker of jouw organisatie een grote cyberaanval op jouw organisatie en operatie kan stoppen?
Wij vallen jouw organisatie aan met ons Red Team, terwijl jij je probeert te verdedigen.
Evalueer jouw detectie- en responsmaatregelen.
Leer van een gesimuleerde aanval om echte schade van een echte aanval te minimaliseren.
Wij voeren & plannen een (cyber) aanval uit op jouw organisatie en registreren elke stap.
Jullie team probeert de aanval te detecteren & mitigeren.
Z-CERT heeft samen met de instellingen van de Nederlandse Zorgsector een raamwerk voor red teaming in de zorg ontwikkeld. Dit raamwerk heet ZORRO, wat staat voor “ZOrg Redteaming Resilience Oefeningen” en is gebaseerd op het TIBER-NL programma gebruikt in de financiële sector.
Met het ZORRO-raamwerk voeren we een red teaming uit waarbij we de organisatie testen tegen realistische dreigingen in de zorg. Hier gebruiken we Tactieken, Technieken en Procedures (TTP’s) van cybercriminelen die actief zijn in de zorgsector.
Z-CERT is een afkorting van Computer Emergency Response Team voor de zorgsector. Met andere woorden: Bij Z-CERT werken cybersecurity-experts die helpen om zorginstellingen digitaal veilig te houden. Dagelijks speuren de eerstelijns security-specialisten van Z-CERT diverse bronnen af naar dreigingen voor de zorgsector. De zorgorganisaties zijn zelf verantwoordelijk voor de beveiliging van hun digitale systemen, maar als het misgaat kan Z-CERT te hulp schieten. Om die reden wordt Z-CERT ook wel de ‘digitale brandweer van de zorgsector’ genoemd.
(bron: https://www.z-cert.nl/over-ons/)
Het Antoni van Leeuwenhoekziekenhuis (AVL) heeft samen met Securify in 2021 als eerste partij in Nederland een ZORRO-test uitgevoerd. De ZORRO-test is zeer goed verlopen, waarbij de het AVL, Z-CERT en Securify intensief hebben samengewerkt om op een veilige wijze een realistische aanval uit te voeren. De case study met ervaringen kan je hier lezen.
Een ZORRO-test verloopt altijd volgens een vooropgezet plan. In overleg met de opdrachtgever en Z-CERT wordt de scope, de duur en het doel van de test bepaald.
Daarop volgt de fase van reconnaissance (verkenning), waarin het red team zoveel mogelijk informatie verzamelt over de organisatie, de aanwezige systemen en het doelwit van de aanval. Bijvoorbeeld de kroonjuwelen. In deze fase komt ook het scenario tot stand. De keuze van het scenario hangt af van hoe volwassen de IT-beveiliging van de organisatie is. En of een organisatie wil weten of ze tegen een bepaalde TA bestand zijn, waar ze dus het pad van een bepaalde TA gaan naspelen.
Daarop volgt de Initial Foothold fase waarmee toegang tot een systeem, een werkplek of een gebruikersaccount wordt verkregen. Eenmaal binnen probeert het Red Team de controle uit te breiden door gebruikersrechten te vergroten. Ook proberen ze op afstand controle over interne bronnen in het netwerk te realiseren. Vervolgens start de zoektocht naar de meest waardevolle assets van de organisatie. Denk bijvoorbeeld aan toegang tot het patientendossier.
Na afloop van de test krijgt de opdrachtgever in een replay sessie gepresenteerd wat het Red Team heeft gedaan en hoever ze zijn gekomen. In een uitgebreid rapport staan ook de aanbevelingen en adviezen voor verbetering van de beveiliging. Indien gewenst kan er adviestraject gestart worden. In een adviestraject helpen onze security specialisten de gevonden issues op te lossen.
Ons team van ervaren cyber experts beschikt over uitgebreide kennis in de gezondheidszorg. We begrijpen de specifieke uitdagingen en wettelijke vereisten waarmee ziekenhuizen worden geconfronteerd, waardoor we gerichte en effectieve ZORRO-test kunnen uitvoeren.