>>

Forcare zet security testing in voor beveiliging medische data

Forcare is sinds december 2017 onderdeel van Philips en helpt innovatieve zorginstellingen wereldwijd de interoperabiliteit tussen hun IT-systemen te optimaliseren. Met de software van Forcare wordt complexe medische data beschikbaar en benaderbaar voor alle zorgprofessionals die betrokken zijn bij de behandeling van een patiënt. Daarmee kunnen zij patiënten correct informeren, behandelen of doorverwijzen. Natuurlijk is het essentieel dat de software, en daarmee de persoonlijke data van patiënten, veilig is. Daarom werkt Forcare voor security testing al sinds 2011 samen met Computest (voorheen Pine Digital Security).

“Kwaliteit en beveiliging zijn bij Forcare niet alleen kernwaarden, maar een dagelijkse prioriteit. Daar willen we niet op inleveren”, begint Walco van Loon, Lead Software Architect bij Forcare. “Je wilt immers niet in het nieuws komen omdat verkeerde mensen toegang hebben kunnen krijgen tot de data of omdat er privacygevoelige data op straat ligt. Verder heb je in de gezondheidszorg te maken met certificeringen en standaarden waaraan je moet voldoen. Alle systemen zijn erop ingericht om privacy te garanderen. Uiteraard willen we dat voor ons platform en de software ook kunnen zeggen. Het uitvoeren van security-testen is daarbij essentieel om te bepalen of er kwetsbaarheden in systemen aanwezig zijn.”

Security testing is meer dan het afvinken van een checklist

Om een partij te selecteren voor de security testing van het online platform en de software zocht Van Loon meer dan alleen een consultant die een checklist afvinkt. “We laten onze systemen namelijk niet alleen testen omdat de klant erom vraagt, maar omdat we het zelf belangrijk vinden. We waren dan ook op zoek naar een partij die dit begrijpt, met ons meedenkt en een gedegen methodiek heeft voor security testing. We hadden op alle gebieden een goede klik met Computest en ook over de prijs waren we het snel eens.”

Bernie van Welt, COO bij Forcare: “De eerste vraag die we stelden was: ‘Zijn onze systemen van buitenaf kwetsbaar voor aanvallers? ‘Kijk maar eens of je naar binnen komt.’ Hierbij hebben de specialisten van Computest de website, onze demo-site en de portal onder de loep genomen. Hier kwamen enkele interessante inzichten uit op basis waarvan we hele concrete verbeteringen hebben kunnen doorvoeren. Zowel de toegangsbeveiliging als de security van de zaken waar je bij zou kunnen als je eenmaal binnen bent, is versterkt. Dat is ook direct de grote meerwaarde van het inschakelen van een externe partij: als je zelf in de veronderstelling bent dat alles goed voor elkaar is, ben je niet meer geneigd te optimaliseren. Verder hebben we advies gekregen hoe we veel voorkomende aanvallen kunnen voorkomen. Waardevol, aangezien zaken als ransomware-aanvallen ook in onze sector dagelijks aan de orde zijn.”

Penetratietest voor software in de cloud

De software van Forcare wordt zowel vanuit de cloud als on premise aangeboden bij zorginstellingen. In het eerste geval is Forcare verplicht om een penetratietest te doen. Van Loon: “Ook op dit vlak is Computest een kundige partner en zijn de ervaringen heel positief. We weten nu dat de software werkt zoals we dit voor ogen hebben. De voorzorgsmaatregelen die we getroffen hebben om de security te garanderen, zoals deployment-voorschriften die gevolgd moeten worden, werken ook. Dat is een prettig gevoel.”

Bij Forcare is men enthousiast over de samenwerking met Computest. “De lijnen zijn kort en we kunnen snel schakelen. Testrapporten worden altijd persoonlijk besproken en niet simpelweg via e-mail gestuurd zonder verdere uitleg. Ook zijn de mensen waarmee we aan tafel zitten inhoudelijk goed op de hoogte”, vindt Van Loon. “Je merkt dat het team bij Computest veel ervaring heeft in de zorgsector waardoor de processen heel gedegen en soepel verlopen.”

Continuous Integration

Je merkt dat het team bij Computest veel ervaring heeft in de zorgsector waardoor de processen heel gedegen en soepel verlopen

Walco van Loon, Lead Software Architect bij Forcare

De security-testen worden regelmatig uitgevoerd, maar het liefst zou Van Welt de frequentie daarvan verhogen. “We lopen graag voorop en werken volgens Continuous Integration en Deployment. Idealiter heb je bij iedere sprint met nieuwe functionaliteit een beeld van de security-aspecten. Dat is waar we op dit moment naartoe werken. Het helpt dat Computest al ervaring heeft op dit gebied en kan meedenken over hoe we dit het slimst kunnen aanpakken.”

Forcare heeft een ‘third party memo’ van Computest ontvangen waarin staat beschreven wat er precies is getest en wat de kwaliteit is van de beveiliging van het systeem. “We hebben een bestendig gevoel dat de security van ons platform en de applicaties goed is dichtgetimmerd. Het is van grote meerwaarde dat we het third party memo kunnen laten zien aan klanten zodat ze weten dat de security van privacygevoelige, medische gegevens is gegarandeerd”, besluit Van Welt.