Levens kunnen hierdoor in gevaar gebracht worden. Dat kondigden onderzoekers van McAfee aan op het Defcon-hackersevenement in Las Vegas.
Het onderzoek
De onderzoekers voerden de aanval uit via enkele patiëntmonitoren die zij op eBay kochten. Door deze slechte beveiliging konden onderzoekers de apparaten aansluiten op het ziekenhuisnetwerk. Via Address Resolution Protocol (ARP) konden de apparaten zich voordoen als patiëntmonitor en verkeerde informatie naar het centrale monitoringsstation sturen.
Het centraal monitoringsstation draaide op Windows XP Embedded, wat nog uit 2004 stamt. Tevens werd de onderzochte patiëntenmonitor veertien jaar geleden geproduceerd. Beide systemen worden nog in ziekenhuizen gebruikt, wat zorgelijk is. De beveiliging van deze systemen is namelijk niet optimaal – zo wordt er tijdens het communiceren geen gebruik gemaakt van authenticatie en encryptie. Gegevens worden daarom niet keer op keer versleuteld, waardoor hackers gemakkelijk kunnen inbreken op deze systemen.
Fabrikanten krijgen dan ook het advies om het netwerkverkeer tussen apparaten te versleutelen en authenticatie in te schakelen. Tevens moeten systemen op een gescheiden netwerk geplaatst worden.
Gevaar
Medische professionals gebruiken de centrale monitoringsstations om cruciale beslissingen te nemen over een groot aantal patiënten. Zolang de veranderingen geloofwaardig zijn, zal de informatie niet altijd worden geverifieerd. Patiënten verkeren hierdoor in levensgevaar.
Dr. Shaun Nordeck legt uit wat de impact is van een cyberaanval: ‘Verkeerde informatie over hartritmes kan bijvoorbeeld leiden tot een langere ziekenhuisopname en het voorschrijven van verkeerde medicijnen om het hartritme te beheersen of stolsels te voorkomen. Artsen kunnen dus beslissingen nemen op basis van foutieve informatie. Afhankelijk van de ziekte kan dat gevaarlijk zijn voor de gezondheid.’
Zorg-CERT
Eerder dit jaar is in Nederland Zorg-CERT van start gegaan. Zorg-CERT ondersteunt zorginstellingen op het gebied van cybersecurity. Nienke van den Berg, oprichter en directeur van Z-CERT, stelt dat het bewustzijn van digitale veiligheid in de zorgsector omhoog moet. ‘Het is een sector waar veel vertrouwelijke gegevens worden vastgelegd en uitgewisseld. De veiligheid van patiënten kan afhankelijk zijn van de veiligheid van digitale apparatuur.’
Daarom heeft Zorg-CERT een helpdesk opgericht die ziekenhuizen en ggz-instellingen helpt bij cyberincidenten. Daarnaast helpt de organisatie om de cyberweerbaarheid van zorginstellingen structureel te verbeteren. Bovendien dient het initiatief als platform om kennis en ervaring uit te wisselen.
Welke HACKER heeft het recht de levens van kwetsbare mensen in gevaar te brengen?