Medische apparatuur vatbaar voor virussen

mdc4Medische apparatuur blijkt vatbaar voor virussen. Voor informatici in de zorg is dit eigenlijk geen nieuws. Wel is het nieuws dat dit nu eindelijk in het nieuws komt. Want onafhankelijk onderzoek toont nu aan wat velen al lang weten: veel medische apparatuur is daadwerkelijk besmet met virussen en andere malware. Gewetensvraag: Is dat erg? Het vervelende is dat we het niet weten. Veel malware zal mogelijk weinig invloed uitoefenen op de kwaliteit van de CT of de MRI. Maar hoe veilig voelt u zich als u weet dat uw hartbewakingsapparaat op afstand bestuurd kan worden door criminelen uit wie weet welk land? Voorkomen is beter dan genezen…

Dit soort problematiek speelt overigens niet alleen in de zorg. SCADA-systemen bijvoorbeeld (systemen die bruggen, sluizen, fabrieken, raffinaderijen, en dergelijke besturen), uit allerlei sectoren worden vaak zomaar aan computernetwerken en daarmee ook aan internet gekoppeld, zonder dat de risico’s daarvan goed zijn onderzocht. Maar dit soort systemen zijn helemaal niet ontworpen en gebouwd om publiekelijk bereikbaar te zijn. De besturingskasten van dit soort systemen staan van oudsher in een beveiligde ruimte, waar veelal gelaagde beveiliging wordt toegepast, om zeker te zijn dat onbevoegden niet zomaar bij de bedieningspanelen kunnen. Het koppelen van dit soort systemen aan internet omzeilt deze beveiliging volledig, “omdat het zo handig is er op afstand bij te kunnen”.

Ditzelfde geldt ook voor medische apparatuur. Ziekenhuispersoneel krijgt zeer specialistische opleidingen om de apparatuur te mogen bedienen. De apparatuur is dan ook ontworpen en gebouwd om bediend te worden door mensen met kennis van zaken. Tot zover gaat het goed. Echter, ook hier kan het koppelen van de apparatuur aan het netwerk (en daarmee meestal ook aan internet) nooit de bedoeling zijn geweest. Maar omdat een interface snel gebouwd is en er allerlei redenen te bedenken zijn waarom het “zo handig” is er op afstand bij te kunnen worden dit soort koppelingen zomaar toegestaan.

Maar wiens verantwoordelijkheid is eigenlijk de beveiliging van dergelijke apparaten? Is het niet de taak van de fabrikant om een veilig apparaat op te leveren en te zorgen dat de patiëntgegevens veilig worden verwerkt? En dat de apparatuur gegarandeerde resultaten geeft? Vanuit security-design vind ik het onvoorstelbaar dat malware in staat is zich te nestelen op dergelijke dure en specialistische apparatuur (waar blijkbaar standaardcomponenten en -systemen aan ten grondslag liggen). En ligt er ook verantwoordelijkheid bij de zorginstelling? Lijkt me wel. Want de zorginstelling treedt op als behandelaar. Daarom is het belangrijk om sowieso eisen te stellen aan de fabrikant. Maar blijkt het gezien voornoemde problematiek nodig dat monitoren en toetsen van netwerkverkeer op kwaadaardige inhoud plaatsvindt, zo ook de medische apparatuur. En wat doet een USB-stick in een hartbewakingsapparaat…?

Informatiebeveiliging moet zeker niet de Business Prevention Department van de zorginstelling worden. Of in dit geval de Healthcare Prevention Department. Maar… informatiebeveiliging kan er wel voor zorgen dat patiënten met een vertrouwder gevoel hun behandeling kunnen ondergaan, zonder zich zorgen te hoeven maken over een virus op de MRI of ander apparaat.

Hoe doe je dat dan? Niet door alles te verbieden en tegen te werken, maar door de risico’s in kaart te brengen en samen met het bestuur de juiste maatregelen te kiezen om de apparatuur en bijbehorende informatiestromen te beschermen, zodat een goede behandeling gewaarborgd blijft.

Help, onze bedrijfsgegevens zijn gegijzeld!

Stel je eens voor, je komt ’s morgens op je werk en het hele bedrijf zit op slot en de sloten zijn vervangen. Zelfs met een breekijzer kom je er niet meer in. Je kan niet meer bij je spullen, niet bij je apparatuur, niet bij je documenten, niet bij je contracten, niet bij je administratie, niet bij je voorraad onderhanden werk, niet bij je productieplanning, etc. Ondenkbaar? In de “fysieke” wereld misschien wel.

ScreenshotMaar het komt steeds vaker voor dat bedrijven slachtoffer worden van ransomware: een soort virus dat alle bestanden versleutelt met een voor jou onbekend wachtwoord. En tegen betaling van een bepaald bedrag krijg je het wachtwoord om je gegevens te ontsleutelen. Zowel particulieren als kleine en grote bedrijven en organisaties hebben hier last van. Wat doe je? Betaal je?

Of een ander scenario: je krijgt een bericht vanuit obscure hoek: we hebben je klantenbestand gestolen. Of andere gevoelige informatie. En als je niet binnen 48 uur geld betaalt, zetten we die bestanden publiekelijk op internet. Wat doe je? Betaal je?

Binnen informatiebeveiliging is Business Continuity een veel besproken onderwerp. Maar dan wordt er vaak rekening gehouden met rampen als brand, storm en dergelijke. Hooguit wordt er nog nagedacht over een mislukte back-up en dat die regelmatig getest moet worden. Maar wat als je data wordt gegijzeld door cybercriminelen? Wat doe je? Betaal je? Of heb je van tevoren nagedacht over dit soort scenario’s en kun je hier op een verantwoorde manier mee omgaan? Of liever: kun je dit voorkomen?

Dat betekent wel dat je van tevoren maatregelen moet nemen. Zorg dan ook dat je de risico’s van je organisatie kent en passende maatregelen neemt tegen de risico’s die je organisatie loopt. Voorkomen én genezen :-).

Je beveiliging beveiligd?

cameraVeel bedrijven, maar ook steeds meer particulieren maken gebruik van IP-camera’s als beveiligingsmaatregel. Ik laat in het midden of dat een goede ontwikkeling is, maar makkelijk is het wel; waar en wanneer je maar wil kun je zien wat er gebeurt onder het oog van je camera.

Laatst sprak ik met een vakbroeder die gespecialiseerd is in videobewaking en veel kennis heeft van dit soort apparatuur. Hij constateert dat klanten een IP-camera behandelen als een ouderwetse analoge camera: gewoon uit de doos halen en aanzetten. Terwijl een IP-camera feitelijk een computer is die geconfigureerd en beveiligd moet worden. Je moet er over nadenken hoe je de camera gaat koppelen en wie er waarom allemaal toegang mogen hebben tot deze camera.

Een beveiligingscamera is een informatiemiddel als alle anderen geworden. Helaas met allerlei kwetsbaarheden erin. En fabrikanten van dat soort producten hebben geen “patch Tuesday”, zoals bijvoorbeeld Microsoft dat heeft. Wel eens een risicoanalyse op de camera-omgeving gedaan? Uitkomst wordt waarschijnlijk dat de camera’s gewoon onder het informatiebeveiligingsbeleid horen te vallen, gewoon een classificatie meekrijgen, gewoon onder de processen patch management en change management vallen, en gewoon onderdeel moeten zijn van het autorisatiebeheer.

Conclusie? Klinkt misschien vreemd, maar ook beveiligingsmaatregelen moeten worden beveiligd!

Security-awareness, niet alleen voor Tibetaanse monniken!

LaptopOp Security.nl stond een bericht over Tibetaanse monniken die digitale veiligheidslessen krijgen. Ik dacht direct: zou voor de rest van de wereldbevolking ook wel goed zijn, daar hoef je geen Tibetaanse monnik voor te zijn. Gewoon, een beetje nadenken bij wat je doet als je achter je computer zit, of als je informatie verwerkt.

Je mag tenslotte ook niet zomaar met een auto de weg op, je moet eerst weten hoe je met zo’n gevaarte om moet gaan, omdat er anders ongelukken gebeuren. Met een computer (maar ook in het omgaan met “fysieke” informatie) is het niet anders. Ik heb wel vaker gepleit voor verplichte training voordat je de digitale snelweg op gaat.

Vraagje: Is er binnen jullie bedrijf wel eens aandacht voor security? Staat het op de agenda in je afdelingsoverleg? Denken je collega’s na over de risico’s die de organisatie loopt? Heb je wel eens met het team een sessie “herken de phishing mail” gedaan?

Alleen al met elkaar er over praten helpt al enorm. Bij awareness-trainingen hoor ik heel vaak opmerkingen als “goh, nooit over nagedacht” of “ja, eigenlijk heel logisch dat je nadenkt bij wat je doet. Maar nu ik de risico’s ken, snap ik ook beter waarom het belangrijk is”.

Ken je de risico’s van je organisatie? En weet je of je medewerkers voldoende bagage hebben om met de risico’s om te gaan? Met een kleine inspanning kan al veel resultaat worden behaald!

Vertrouw je je virusscanner?

virus-detectedVandaag las ik een (on)verwacht nieuwsbericht over het vertrouwen in virusscanners. Het bericht stelt dat veel mensen hun antivirussoftware de beste bescherming vinden tegen de risico’s van internetgebruik. En dat is onterecht vindt het artikel. Dat vind ik zelf overigens ook ;-).

Dat wordt verteld dat een virusscanner alleen niet voldoende is, is natuurlijk goed nieuws voor fabrikanten van security-oplossingen die dit al langer weten. Maar de vraag is dan: wat moet je binnen je bedrijf nog meer doen dan alleen die virusscanner installeren? Daar zegt het artikel niet veel over.

Deze vraag is ook lastig te beantwoorden, want veel bedrijven hebben eigenlijk geen idee wat nou precies de risico’s zijn die ze lopen. Laat staan dat ze weten wat de juiste maatregelen zijn om die risico’s te beheersen. Maar dát er meer nodig is dan alleen een virusscanner, moge duidelijk zijn. Niemand wil (te) slecht beveiligd zijn, maar aan de andere kant ook geen overbodige maatregelen nemen en daarmee te veel geld uitgeven. En dan is “niets doen” een veel gekozen strategie.

Het is waarschijnlijk niet verrassend, maar een passend niveau van beveiliging bereik je door een combinatie van maatregelen. Niet alleen technische maatregelen, maar ook organisatorische maatregelen (mensen/processen/techniek). En het is belangrijk dat deze maatregelen onder controle zijn. Helaas bestaat er nog geen koop-dit-product-want-dan-ben-je-veilig-oplossing. En tot die tijd ben je genoodzaakt goed over de risico’s na te denken.

Daarom: vertrouwen op je virusscanner is goed, maar goed en gestructureerd risicomanagement is beter!

Houdt het nou nooit op?

200148614-001Het gaat maar door, die meldingen over vertrouwelijke gegevens die op straat komen te liggen, over verstoorde dienstverlening door DDoS aanvallen, over DigID-oplichting, marktplaatsfraude en over (bedrijfs)spionage door allerlei inlichtingendiensten. “Houdt het nou nooit op?”, vraag je je misschien wel eens af. Ik denk dat het antwoord kort is: inderdaad, het houdt nooit op. Sterker, ik denk dat dit slechts het begin is.

Niet om FUD (fear, uncertainty and doubt) te verkondigen, maar ben je je bewust van de risico’s die jouw organisatie loopt? En beheers je deze risico’s? En wat doe je als het klantenbestand ineens op straat blijkt te liggen? Of wanneer je webshop onderuit ligt? Of als je bedrijfsgeheimen bij de concurrent terecht komen? Kun je dat voorkomen, en heb je een plan klaarliggen hoe om te gaan met een incident?

Probeer er eens gestructureerd over na te denken. Een norm als de ISO27001 kan hierbij een prima hulpmiddel zijn. Niet om een papieren tijger te creëren, maar om er uit te halen wat relevant is. Certificering op zo’n norm is dan niet eens noodzaak, maar als referentiekader prima toepasbaar.

Er wordt wel eens beweerd dat certificering op ISO27001 helemaal niets brengt. Ik denk echter van wel. De norm helpt je om na te denken over de verschillende informatiestromen en -systemen binnen je organisatie en hoe deze adequaat te beveiligen: hoe je de beschikbaarheid, integriteit en vertrouwelijkheid van je informatie waarborgt. Met een ISO27001 certificering verplicht je jezelf om in ieder geval één keer per jaar eens goed na te denken over de risico’s die je als organisatie loopt en welke maatregelen je daartegen neemt.

Beveiligings- en privacyrisico’s worden helaas steeds groter. 100% veiligheid valt niet te creëren, maar als je voorbereid bent, weet je in ieder geval wat te doen bij een incident en ben je in staat de gevolgen beperken.

Enne… laat eens een onderzoek doen door een legal hacker om te toetsen hoe gemakkelijk gegevens bij jouw organisatie te achterhalen zijn!

Over een gehackt Afrikaans vliegveld en een Europees computerrijbewijs

Laatst was ik op bezoek op een vliegveld in een Afrikaans land. En dat was voor een informatiebeveiliger flink afzien. Niet vanwege de temperatuur, die was geweldig. Maar wel vanwege datgene wat ik aantrof. Netwerkkabels kriskras door het gebouw. Kabels letterlijk aan elkaar geknoopt. Een nagenoeg onbeheerd netwerk. Pc’s met de meest wazige software erop; het meeste niet-werkgerelateerd uiteraard. Mensen hadden echt vanalles op hun pc geïnstalleerd. Ik heb nog nooit zoveel “handige” toolbars bij elkaar gezien. Mensen die klikken op iedere link. (Ik dacht eigenlijk dat phishing mails vanuit Afrika naar Nederland worden gestuurd vanwege het feit dat Afrikanen er niet in trappen. Niets is minder waar, ook in Afrika worden te pas en te onpas bijlagen geopend en op “opportunistische links” geklikt.) Ik ga er vanuit dat het hele vliegveld volledig gecompromitteerd is door hackers. En de medewerkers op het vliegveld maar roepen dat ’t allemaal zo traag is, dat printers niet meer werken en dat pc’s het vaak niet doen… Sja, geen commentaar. Of juist wel eigenlijk…

Ik heb me de laatste tijd af zitten vragen of we hier iets van kunnen leren. En dat kunnen we mijns inziens zeker! Een strakke beheerorganisatie is zo gek nog niet. Dichttimmeren dat netwerk; alleen goedgekeurde applicaties toestaan en voor de rest geen mogelijkheden geven om software te installeren. Voorwaarde is uiteraard wel dat goed is nagedacht over de informatievoorziening. Degelijk informatiemanagement is daarom een vereiste op het moment dat je gebruikers gaat beperken in bevoegdheden.

Maar dat niet alleen. Ik pleit voor een examen wat mensen met goed gevolg moeten afleggen voordat ze op internet mogen. Of eigenlijk überhaupt een computer mogen bedienen. Er zijn meerdere initiatieven, zoals het European Computing Driving License. (Er is ook een Amerikaanse versie, een Afrikaanse versie zou welkom zijn). De gedachte hierachter is dat je zonder dit rijbewijs niet de digitale snelweg op mag. Anders krijg je ongelukken.

Het hebben van een autorijbewijs is geen garantie dat je geen ongeluk krijgt, maar de kans op ongelukken is een stuk kleiner als iedere chauffeur weet hoe je een auto moet bedienen en zich ook nog eens aan (dezelfde) regels houdt. Als je dat namelijk niet weet en doet, is een auto feitelijk een levensgevaarlijk moordwapen. Het wordt meer en meer duidelijk dat dit voor het bedienen van een computer ook geldt.

Gezien de enorme digitalisering van onze maatschappij, leidt het op grote schaal foutief bedienen van computers tot enorme schade. Denk maar aan de DDoS-aanvallen op de Belastingdienst, ING, SNS Bank, ABNAMRO, KLM en DigID de laatste tijd. Laatst las ik op security.nl een quote dat het internet inmiddels een oorlogsgebied is geworden. Gezien de initiatieven van zo’n beetje alle landen op het gebied van cybercrime en cyberwar is dat nog niet zo’n gek statement. Het verontrustende is dat argeloze gebruikers in hun ontwetendheid een pion worden in deze digitale oorlogsvoering.

Het hele rijbewijs hoeft voor mij overigens niet hoor. Maar het volgen en begrijpen van de security-module (op de pagina onderaan) zou voor veel wereldgenoten geen overbodige luxe zijn. Een idee van de onderwerpen:

Beveiligingsbegrippen:
– Kan gegevensbedreigingen kennen en herkennen;
– Kan waarde van informatie begrijpen en bewaken;
– Kan persoonlijke beveiliging bewaken en beschermen;
– Kan bestandsbeveiliging bewaken en beschermen.

Malware
Weet de definitie en functie van Malware en kan soorten Malware herkennen, de werking begrijpen en de werking van bescherming begrijpen.

Netwerkbeveiliging
– Het weten wat een netwerk inhoudt en de functies hiervan kennen
– Netwerkverbindingen en de consequenties voor beveiliging weten
– Draadloze beveiliging en de consequenties voor beveiliging kennen
– Toegangsbeheer begrijpen en deze kunnen toepassen

Veilig internetgebruik
– Surfen op het internet en de gevaren begrijpen, voorzorgen kunnen nemen

Communicatie
– De gevaren van e-mail begrijpen en voorzorgen kunnen nemen
– De gevaren van Instant Messaging begrijpen en voorzorgen kunnen nemen

Dit lijkt me toch minimaal basiskennis voor verantwoord gebruik van IT-middelen. En nee, ik heb geen aandelen bij het ECDL.

Mag ik je pincode even lenen?

Weten jouw collega’s en vrienden je pincode al? Echt niet? Vind je dit zo’n rare vraag dan?

Natuurlijk is dit een rare vraag. Wie geeft er nu zijn pincode weg. Dat doe je toch niet? Je hebt gelijk, dat zou ik zelf ook nooit doen. Niemand weet mijn pincode en ik ken niemand die zijn pincode met collega’s of anderen deelt.

Maar waarom doe je dat eigenlijk niet? Wel eens over nagedacht? Het heeft te maken met je “digitale” identiteit. Je identiteit die hoort bij je bankrekening. Zonder je pas heeft niemand iets aan je pincode, maar zonder je pincode heeft ook niemand iets aan je pas. Eigenlijk zijn je pas en je pincode je digitale identiteit bij de geldautomaat. Je bankpas zegt wie je bent en je pincode bevestigt wie je zegt dat je bent, zodat de geldautomaat het gevraagde bedrag uitkeert. Logisch dus dat je je pincode én je pas voor jezelf houdt.

Eigenlijk best een interessant ding: zo’n digitale identiteit. We hebben er allemaal mee te maken en we hebben er inmiddels één of meerdere van. Denk maar eens aan je digitale identiteit op Facebook, Gmail of Hotmail, maar ook je DigID om je belastingaangifte mee te doen of om de kinderbijslag mee te regelen.

Hoe zit dat dan met je wachtwoord (lees: je pincode om op Facebook of DigID te komen)? Geef je zomaar je Facebook-wachtwoord aan een collega? Of het wachtwoord van je Gmail of Hotmail? Of je DigID? Natuurlijk niet, dat doet niemand toch? De reden is vergelijkbaar met het geheimhouden van je pincode: je wilt niet dat mensen zich als jou voordoen en namens jou allerlei berichten de wereld insturen, zonder dat jij daar invloed op hebt.

Hoe is dat op je werk? Heb je daar ook een digitale identiteit? Jazeker, je gebruikersnaam en wachtwoord zijn jouw digitale identiteit op het netwerk en binnen je applicaties. Navraag bij werknemers binnen veel verschillende organisaties leert dat verbazingwekkend veel collega’s elkaars wachtwoorden kennen. Gewoon, omdat dat makkelijk is. Maar is dat echt nodig?

Als we zo zuinig zijn op onze privé-identiteiten, waarom dan niet op het werk? Houd er rekening mee dat je activiteiten op het netwerk en binnen je applicaties worden bijgehouden (gelogd). Deze logs zijn gekoppeld aan jouw gebruikersnaam, dus je digitale identiteit. Stel dat je collega onder jouw naam onbewust een foutje maakt, met allerlei gevolgen voor jouw bedrijf, klanten of medewerkers, toon dan maar aan dat jij het niet geweest bent. Kun je de gevolgen overzien? Zeker met de steeds verdergaande digitalisering (we gaan steeds meer digitaal werken) is het belangrijk dit te realiseren.

Je wachtwoord is tenslotte als je pincode, die leen je ook niet uit…

“Hoe was het vandaag op Facebook?”

Een oud-collega attendeerde me op deze boeiende vraag. Veel ouders vragen aan hun kind als het thuiskomt “Hoe was het op school?”. Een normale vraag, die we allemaal wel eens hebben gekregen. Want het belangrijkste deel van het sociale leven van een kind speelt zich tenslotte op school af. Alleen, dekt deze vraag in 2012 nog wel de lading? Mijn collega stelde voor om je kind ook regelmatig de vraag te stellen: “En hoe was het nou op Social Media?”. Daar heb ik even over nagedacht en ik moet zeggen dat ik het zeker geen gekke vraag vind. Sterker nog, het is misschien wel een essentieel onderdeel van de tegenwoordige opvoeding.

Kijk maar naar de belevingswereld van je kind. Zeggen wat je denkt is op Social Media een stuk gemakkelijker dan in real life. Voor sommigen is Social Media daarom een uitkomst, want achter stille muurbloempjes blijken soms bijzonder humoristische, intelligente en adremme kinderen te schuilen. Maar het heeft helaas ook een minder leuke kant: die relatieve anonimiteit van Social Media werkt on-line pesten in de hand. Daar zijn helaas veel voorbeelden van te vinden.

Scholen hebben allerlei maatregelen genomen (al dan niet door de overheid voorgeschreven) om (off-line) pestgedrag te herkennen en daar wat mee te doen. Het is bijvoorbeeld verplicht een pestprotocol te hebben. Maar hoe zit het dan met het herkennen (en bestrijden) van digitaal pesten? Dat ligt een stuk lastiger. Digitaal pesten gebeurt letterlijk in stilte, en de enige die deze stilte kan verbreken is het slachtoffer zelf. Dat vereist een belangrijke vertrouwensband tussen het gepeste kind en degene aan wie het durft te vertellen dat er wordt gepest. Het winnen van een dergelijk vertrouwen kost veel tijd. Vertrouwen… misschien wordt dat wel het onderwerp van een volgend blog.

“Hoe was ’t op school?” is een vraag die ik vrijwel dagelijks aan mijn kinderen stel. De vraag “Hoe was ’t op Facebook?” zit zeker nog niet tussen m’n oren. Het zal denk ik een kwestie van wennen zijn, maar ík ga er in ieder geval mee aan de slag!