Ziekenhuizen lijken steeds vaker het doelwit te zijn van hackers. De oplossing voor het groeiende aantal hacks is een betere samenwerking tussen fabrikanten van medische apparatuur en ziekenhuizen waarin deze gebruikt worden. Deze samenwerking zorgt volgens Francisco Dominguez, principal it security exptert bij Fox-it uit Delft, voor een goede cybersecurity.
Ziekenhuizen zijn steeds vaker de dupe van cybercriminelen: medische toestellen worden steeds vaker gehackt en wachtwoorden steeds vaker gekraakt. De komst van het internet of things (IoT) vergroot het risico omdat de medische toestellen via het internet verbonden zullen worden.
Dominguez pleit ervoor dat ziekenhuizen en fabrikanten van medische apparatuur nauwer met elkaar samen moeten werken om hun apparatuur veiliger te maken tegen aanvallers. Ziekenhuizen moeten nauwkeurig zijn in het gebruiken van correcte wachtwoorden en in het inlichten van de fabrikant als er incidenten zijn met apparatuur. Ook fabrikanten spelen in deze samenwerking echter een rol. Zij moeten ook veiligheidseisen invoeren, bijvoorbeeld door een eenmalig wachtwoord aan te leveren dat het desbetreffende ziekenhuis direct moet veranderen. De apparaten kunnen namelijk makkelijk gehackt worden omdat het default wachtwoord niet wordt veranderd bij installatie. Het wachtwoord blijkt de grootste zwakte van medische apparatuur.
Krap bij kas
Fox-IT merkt dat de technische capaciteiten van de ziekenhuizen vaak niet genoeg zijn. De oorzaak hiervan ligt volgens het bedrijf aan de kleine budgetten van de it-afdelingen. ‘We merken dat de it-infrastructuren van ziekenhuizen niet op het niveau zijn waar ze zouden willen zijn. Vaak ligt de oorzaak hiervan bij de budgettaire redenen. Hierdoor wordt het voor hackers makkelijker om via fouten in de broncode binnen te dringen en toegang te krijgen tot persoonlijke gegevens van patiënten en medische apparatuur’, aldus Dominguez.
Volgens Dominguez bestaat de mogelijkheid dat onethische hackers in de toekomst aan de hand van ransomware ziekenhuizen kunnen gijzelen. ‘Alle apparatuur in ziekenhuizen kost ettelijke duizenden euro’s, denk maar aan een MRI-scanner. Als deze plots niet meer werkt door ransomware, staat een ziekenhuis plots voor de vraag: een klein bedrag betalen om het toestel terug te laten werken of het risico lopen dat je peperdure MRI-scanner volledig niet meer bruikbaar is’, aldus Dominguez. Verder voorspelt hij dat medische hacks de volgende trend worden in cybercrime. G Data deed hier eerder al een voorspelling over. Cybercriminelen gaan steeds vaker databases met daarin de gegevens van grote aantallen van klanten of gebruikers proberen te kraken. Zij richten hun pijlen op ‘de gekwantificeerde mens’ (een verzameling van medische gegevens).
Het is niet zo heel moeilijk te voorspellen waar de focus van het hackersgilde op word gericht. Het is gewoon een eenvoudige universele wetmatigheid van verdeel en heers.
1. Hoe meer diversiteit, hoe groter het gevaar van hacking
Het is simpel, de commercie gilt, brut en hyped wat men al of niet welke trends de koper zou moeten volgen omdat Steve Jobs een keer uitkraamde dat een klant eigenlijk helemaal niet wist wat die nodig had. Nee dat moet je de IT toeleverancier laten bepalen en je weet dat je als afnemer altijd het haasje zult zijn.
2. Hausse aan apps, poor usability and results
Ook dit is niets nieuws, uiteraard de uitzonderingen daar gelaten, zie ik steeds meer en vaker bepaalde apps die links en rechts worden neergezet met een zeer discutabele opzet. U hoeft alleen maar te kijken naar waar een app zegt gebruik van te zullen maken tijdens installatie, it proves my point.
De gaten zullen in de nabije toekomst alleen nog maar groter en diverser worden waarbij IoT een groot mijnenveld zal gaan worden. De Toon van Eneco is al hackbaar en levert niet alleen voor een hacker zeer waardevolle informatie op. Niet alleen verkoop technisch maar denkt u ook maar eens aan trenddetection om te zien wanneer mensen al of niet thuis zijn en of er al of niet IP cams zijn aangesloten.
Ik heb aan het begin van het IoT verhaal consequent gesteld dat men eerst maar eens goed na moest gaan denken over verschillende vormen van beveiligen voor dat je het modem bereikt. Dat geld ook voor de apps.
Er is nog heel veel werk te verrichten me dunkt te beginnen bij awareness van ….
20 jaar geleden zei al een medisch studente tegen mij dat de Nederlandse ziekenhuizen de slag met de superbacteriën verloren had. Jaren later moesten de ziekenhuizen dit daadwerkelijk ook toegeven.
We weten al jaren lang dat ziekenhuizen en IT beveiliging niet zo heel erg goed bij elkaar passen en nu blijkt zich dat in de praktijk ook te wraken. Dan is de vraag hoe lang het gaat duren voor dat ziekenhuizen moeten toegeven dat zij ook deze bedreiging niet de baas kunnen worden?
[…] De oorzaak hiervan ligt volgens het bedrijf aan de kleine budgetten van de it-afdelingen […]
Mijn ervaring is wat anders:
20% te wijten aan de kleine budgetten
80% heeft te maken met onvoldoende competenties en vaardigheden, inefficiënt werken en inefficiënte inrichting van de it-afdeling/dienstverlening.