ID: S202605291304
Status: school
Tags: avans 2-4, avans 2-4 LU2, avans 2-4 software security en compliance les
avans 2-4 sscl1 wet en regelgeving en compliance
Deze lessen gaan veel over een komen met de cybersecurity keuzenmodule.
Dit is een overzicht van deze lessen.
| Workshop | Thema | Deliverable |
|---|---|---|
| WS01 | Wet- & regelgeving, NEN-7510, audit mindset | Begrippenkader |
| WS02 | Hardening CI/CD pipeline (CodeQL, Dependabot, SBOM) | Beveiligde pipeline |
| WS03 | Healthcare Risk Assessment (risicomatrix, bow-tie) | Risicorapport |
| WS04 | Compliance Scanning (CVE/CVSS, Snyk, security backlog) | Scanrapport + backlog |
| WS05 | Secure Coding & Privacy by Design | Logging + tests |
| WS06 | Formeel auditrapport | Definitief auditrapport |
- ISO27001 mentioned š«¶
Wet en regelgeving
Je moet je in nederland houden aan je wetten, zowel als individuen en organisaties. Dit kan consequenties hebben als je dat niet doet.
Verschillen tussen termen
- Wet: Deze wetten zijn alndelijk en EU breed afdwingbaar.
- āik wist het nietā zal je niet redden in de rechtzaak.
- vastgesteld door landelijke overheid
- altijd bindend
- overtreden ā sancties
- voorbeelden:
- wetboek van strafrecht
- wegenverkeerswet
- grondwet
- wet computercriminaliteit
- zorg voorbeelden:
- wkkgz
- Wet aanvullende bepalingen verwerking persoonsgegeven
- Verordering: Gedetailleerde regels, vaak lokaal of EU, ook juridisch afdwingbaar.
- geldt binnen een gebied
- bijv gemeente of provincie
- overtreding ā sancties
- voorbeelden:
- APV
- EU:
- Wet geldig in alle EU lidstaten, lidstaten hoeven zelf geen wet meer te maken, zoals AVG
- geldt binnen een gebied
- Richtlijn: stelt een doel vast.
- stelt doel vast
- lidstaten mogen zelf een wet maken om het doel te berijken
- bijv software richtlijnen:
- Richtlijn 2009/24/EG betreffende de rechtsbescherming van computerprogrammaās
- Verplicht EU-landen om computerprogrammaās te beschermen onder het auteursrecht
- In NL wetgeving: auteurswe
- Norm: Afspraken over hoe iets gedaan wordt.
- normalisatie instellingen
- NL: NEN, EU: ETSI, globaal: ISO/ IEC / ITU
- beroepsgropen
- beschrijft best practices
- op zichzelf niet juridisch verplicht
- kan vereist worden vanuit beroepsgroep / aannemer
- gekoppeld aan certificering
- kan vereist worden vanuit beroepsgroep / aannemer
- ook interoperabiliteit
- ISO 27002
- NEN-7510
- normalisatie instellingen
Medische gegevens:
- Diagnoses
- Dossiers
- Behandelplannen Deze gegevens zijn erg gevoelig, en mag niet zomaar gebruikt worden daar alle instanties. Hiervoor moet je bijv de HL7 standaarden volgen.
Klein overzicht aan wetten
- AVG / GDPR
- AI Act
- Cyber Resilience Act - CRA
- Cyber Beveiligings Wet - CBW, implementatie van NIS2
- zorgplicht, meldplicht
- Electronic Identification Authentication and trust Services - eIDAS
- juridisch kader voor identificatie en vertrouwensdiensten
- Wegiz (gegevensuitwisseling)
- WGBO (behandelovereenkomst)
CRA
Dit is een verordening. het verplicht fabrikanten van producten met digitale elementen om Cybersecurity te borgen gedurende de hele levenscyclus. Van ontwerp tot einde van ondersteuning DIt raakt alle software die als product op de makrt komt (soms dus ook open-source)
Kernverplichtingen
- security-by-design
- kwetsbaarheden minimaliseren
- standaard veilige configuraties
- bewijs: risicoanalyse, threat model, SAST
- Software Bill of Materials - SBOM
- formaten: CycloneDX of SPDX
- Kwetsbaarheidsmelding
- 72 uur volledig rapport
- Support periode
- voor kritike software is dit ene alngere verwachte ondersteuning
- einde support: verplichte melding
NEN-7510:2024
Dit is te mappen naar de ISO27001 en ISO 27002.
- Deel 1 van NEN is ā ISO27001, Management systeem ISMS
- Deel 2 van NEN is ā ISO 27002, Beheersmaatregelen
- specefieke handelingen
- vier categorieen
- organisatie
- mens
- fysiek
- technisch
- extra details specefiek voor zorg.
Gebruik xplora databanken en dan NEN CONNECT om het te bekijken
8.3. Beperking van toegang en rechten
- āBreaking the glassā procedure voor als je buiten je gebruiks rechten iets moet doen in nood, dit moet wel ge-logged en ge-Audit worden 8.4. Toegangsbeveiliging op broncode
- Role based access control
- Gebruik SSH-keys en MFA
- disable
force push- zie
Trivy compromise
- zie
- protected branches
- PR only
- code signing
- Audit logging 8.5. Beveiligde authenticatie
- MFA
- wat je weet, wat je bent, wat je hebt
- biometrics mag niet de enige methode zijn.
- wat je weet, wat je bent, wat je hebt
- Wachtwoord beleid
- Controle op lekken
- bescherming tegen brute force
- geen gedeelde accounts
- sessie timeout
- Single Signon - SSO 8.8 Technische kwetsbaarheden
- Software Bill of Materials - SBOM / SCA
- autmoatische scanning
- patch management
- balans, direct updaten is mogelijk issues voor supply chain attacks
- Z-CERT
- computer emergency responce team voor zorg
- Operational Technology - OT
- patchen is vaak lastig
- Compenserende maatregelen bijv losse netwerken 8.15 Logging
- wie, wat, waar, wanneer, hoe
- NEN-7513
- maatregel: leg voor elke handeling in het EPD / ECD de identiteit van de gebruiker, de identiteit van de patient , het tijdstip en de aard van de handeling vast
- concrete acite: Zorg dat logs antwoord geven op: Welke zorgverlener (Wie) heeft op welke datum/tijd (Wanneer) welk specifiek onderdeel van het dossier (Wat) van deze patiƫnt (Bij wie) ingezien of gewijzigd?
- Centraal opslaan
- Security Information and Event Management - SIEM
- Immutable, append-only
- bewaartermijn 8.16 Monitoring
- Herkennen van verdachte patronen
- Security Orchestration Automation and Response - SOAR
- als je een service zoals Slack gebruikt, neem het mee in je Threat modelling.
- Beschikbaarheid
- alarmering bij offline
- alarmering bij gebruik beheer accounts
- threat intelligence
- koppeling aan Z-CERT
- Alertheid van grootschalige campagnes 8.17 Kloksynchronisatie
- NTP Servers
- Linken ana logging
- āMasterā servers inrichten
Audit mindset
References
- dit is de les van vandaag.