Veelgestelde vragen over Citrix lek

In de afgelopen maand is het beveiligingslek bij Citrix veel in het nieuws geweest. Informatiebeveiliging stond daardoor extra in de spotlights. Bij het Klant Contact Centrum van SpotOnMedics zijn er veel vragen over gesteld, die we hier bundelen en beantwoorden.

Centraal staat dat de SpotOnMedics producten en oplossingen allemaal direct op het internet aangeboden worden, op basis van moderne programmatuur volgens het SaaS (Software as a Service) model. In dit model wordt geen gebruik maakt van Citrix of andere ondersteunende programmatuur. Met dit bericht geven we graag aan al onze relaties inzicht in de ontvangen beveiligingsvragen en de hierbij behorende antwoorden.

1) Werkt SpotOnMedics echt in de cloud of op basis van een Citrix omgeving? 

SpotOnMedics is ontwikkeld op het internet en gebaseerd op internetstandaarden. Eigenaren en medewerkers van fysiotherapiepraktijken die gebruik maken van onze programmatuur kunnen middels een browser en een internetverbinding inloggen. Als toegangssleutel maken zij gebruik van een gebruikersnaam, een wachtwoord en een unieke beveiligingscode per inlogsessie, waarmee voldaan wordt aan de vereisten van 2-laagse authenticatie. In de SpotOnMedics serversystemen wordt op geen enkele wijze gebruik gemaakt van Citrix of daarmee vergelijkbare ondersteunende programmatuur. De in de pers vermelde problemen met betrekking tot Citrix zijn dus niet van toepassing op SpotOnMedics FysioOne. Het inloggen op SpotOnMedics programmatuur en diensten gebeurt altijd op basis van een beveiligde (versleutelde) internetverbinding waarbij gebruik wordt gemaakt van het HTTPS (HyperText Transfer Protocol Secure) protocol. Gegevens die vanaf en naar de browser verstuurd worden zijn dus altijd versleuteld en daarmee niet leesbaar. 

2) Welke programmeertaal gebruikt SpotOnMedics?

SpotOnMedics FysioOne is ontwikkeld op basis van Microsoft programmeertalen. Data van de fysiotherapiepraktijken wordt opgeslagen in databases, waarbij iedere praktijk zijn eigen database heeft. Indien er sprake is van een gebundelde groep van fysiotherapiepraktijken in een coöperatie of vereniging is de data die specifiek voor de groep van praktijken wordt opgeslagen eveneens in een eigen database opgeslagen.

3) Heeft SpotOnMedics een beleid opgesteld voor calamiteiten?

SpotOnMedics heeft als kerntaken (1) het leveren/hosten en (2) het ondersteunen van de webapplicatie FysioOne, Financieel, Personeel en Intelligence voor haar fysiotherapiepraktijken. De beschikbaarheid van SpotOnMedics FysioOne is voor onze klanten van groot belang. Om de doorlopende beschikbaarheid van FysioOne te waarborgen zijn er verschillende maatregelen genomen, zowel op technisch als organisatorisch gebied. De door SpotOnMedics aan haar gebruikers toegezegde systeembeschikbaarheid is vastgelegd in een formeel servicedocument, wat een SLA (Service Level Agreement) wordt genoemd. De in de SLA genoemde beschikbaarheid is 99,95% op jaarbasis. De toegestane onbeschikbaarheid op jaarbasis, als gevolg van onverwachte storingen (niet gepland systeemonderhoud) is daarmee bepaald op 365 dagen x 24 uur x 0,05% = 4,38 uur.  

Ondanks de genomen technische en organisatorische maatregelen kunnen storingen zich voordoen. Om langdurige stagnatie van het functioneren van de FysioOne serversystemen te voorkomen is een continuïteitsplan opgesteld. In geval van een grote verstoring (systeem onbeschikbaarheid) van meer dan 30 minuten treedt het continuïteitsplan in werking en worden alle benodigde maatregelen genomen ter verhelping van de storing. 

SpotOnMedics beschikt over een adequaat incident beheerproces voor beveiligingsgebeurtenissen die invloed kunnen hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van FysioOne of opgeslagen gegevens. Als zich een incident voordoet, wordt dit door het CERT (Computer Emergency Response Team) geregistreerd en aan de hand van urgentie geprioriteerd. Gebeurtenissen die rechtstreeks gevolgen hebben voor praktijken hebben de hoogste prioriteit. Dit proces specificeert actieplannen, procedures voor melding, escalatie, beperking en documentatie.

4) Hoe zit het met de gevaren voor een attack van buitenaf en afkoop van gegevens?

De FysioOne serversystemen zijn opgesteld in een beveiligd rekencentrum dat in Nederland is gelokaliseerd. Hierbij wordt gebruik gemaakt van faciliteiten voor noodstroom, firewalls en andere maatregelen om de beschikbaarstelling van het FysioOne platform te waarborgen. Dagelijks wordt het platform onderzocht op bekende beveiligingsissues: hierover wordt een systeembeheerrapport opgemaakt. In samenwerking met het rekencentrum zijn aanvullende maatregelen genomen om een hackersaanval te voorkomen en ‘om te leiden’. In geval van een zogenaamde DDOS attack zal het ‘foute verkeer’, dat afkomstig is van de hackers-aanval, uitgefilterd worden en van het platform af gerouteerd worden. In een dergelijke situatie zal het platform dus niet beschadigd/besmet worden, maar is er wel sprake van verminderde performance vanwege de onverwacht hoge belasting op het totale netwerk. 

In de situatie van de universiteit van Maastricht is sprake geweest van gijzeling en een te betalen afkoopbedrag. Naar aanleiding van deze situatie is aan SpotOnMedics gevraagd of wij verzekerd zijn voor het betalen van een zo een situatie. Het antwoord op deze vraag is dat SpotOnMedics inderdaad een zogenaamde cybercrime verzekeringspolis heeft afgesloten. Deze polis biedt dekking op financiële schade als gevolg van cybercrime, en geeft ook op organisatorisch gebied ondersteuning. 

5) Heeft SpotOnMedics een security officer in haar bedrijf aangesteld?

Wij hebben een Security Officer aangesteld voor beveiliging en privacy. Deze medewerker is werkzaam op het tactische niveau binnen de organisatie, wat betekent dat zij direct rapporteert aan de directie en toezicht houdt op alle situaties die betrekking hebben met informatieveiligheid en informatiebeveiliging. De functie van Security Officer wordt uitgevoerd door Lindsey Tol.

Lindsey Tol | Security Officer SpotOnMedics

T: 088 6600 800 | E: l.tol@SpotOnMedics.nl

Praktisch betekent dit dat er op zowel digitale als fysieke wijze verantwoordelijkheid wordt gedragen voor de veiligheid van de informatie binnen organisatie. Zo is het noodzakelijk om aan de gangbare ICT-beveiligingseisen te voldoen. De Security Officer werkt samen met anderen voor het opstellen van het veiligheidsbeleid. Hierbij valt te denken aan het maken van risico-analyses, het opstellen van security-ontdekkende systemen, het opstellen van minimum veiligheidseisen en het digitaal rechercheren.

De Security Officer is lid van het SpotOnMedics management team en vervult daarmee een cruciale rol binnen de organisatie op het gebied van informatiebeveiliging en informatiebeveiligingsincidenten. In de wekelijkse vergaderingen van het managementteam is informatiebeveiliging een vast onderdeel op de agenda. 

Meer weten? 

• Informatiebeveiliging bij SpotOnMedics
• Bron 1 – NOS Nieuws – Schiphol, Tweede Kamer en Amsterdam en Rotterdam zetten Citrix uit
• Bron 2 – NOS Nieuws -Veiligheidsdienst ministerie: kans op aanval in Citrix-systeem is groot

Mocht u naar aanleiding van dit bericht nog vragen hebben dan staat onze Security Officer Lindsey Tol u graag te woord.