Medische apparatuur vatbaar voor virussen

mdc4Medische apparatuur blijkt vatbaar voor virussen. Voor informatici in de zorg is dit eigenlijk geen nieuws. Wel is het nieuws dat dit nu eindelijk in het nieuws komt. Want onafhankelijk onderzoek toont nu aan wat velen al lang weten: veel medische apparatuur is daadwerkelijk besmet met virussen en andere malware. Gewetensvraag: Is dat erg? Het vervelende is dat we het niet weten. Veel malware zal mogelijk weinig invloed uitoefenen op de kwaliteit van de CT of de MRI. Maar hoe veilig voelt u zich als u weet dat uw hartbewakingsapparaat op afstand bestuurd kan worden door criminelen uit wie weet welk land? Voorkomen is beter dan genezen…

Dit soort problematiek speelt overigens niet alleen in de zorg. SCADA-systemen bijvoorbeeld (systemen die bruggen, sluizen, fabrieken, raffinaderijen, en dergelijke besturen), uit allerlei sectoren worden vaak zomaar aan computernetwerken en daarmee ook aan internet gekoppeld, zonder dat de risico’s daarvan goed zijn onderzocht. Maar dit soort systemen zijn helemaal niet ontworpen en gebouwd om publiekelijk bereikbaar te zijn. De besturingskasten van dit soort systemen staan van oudsher in een beveiligde ruimte, waar veelal gelaagde beveiliging wordt toegepast, om zeker te zijn dat onbevoegden niet zomaar bij de bedieningspanelen kunnen. Het koppelen van dit soort systemen aan internet omzeilt deze beveiliging volledig, “omdat het zo handig is er op afstand bij te kunnen”.

Ditzelfde geldt ook voor medische apparatuur. Ziekenhuispersoneel krijgt zeer specialistische opleidingen om de apparatuur te mogen bedienen. De apparatuur is dan ook ontworpen en gebouwd om bediend te worden door mensen met kennis van zaken. Tot zover gaat het goed. Echter, ook hier kan het koppelen van de apparatuur aan het netwerk (en daarmee meestal ook aan internet) nooit de bedoeling zijn geweest. Maar omdat een interface snel gebouwd is en er allerlei redenen te bedenken zijn waarom het “zo handig” is er op afstand bij te kunnen worden dit soort koppelingen zomaar toegestaan.

Maar wiens verantwoordelijkheid is eigenlijk de beveiliging van dergelijke apparaten? Is het niet de taak van de fabrikant om een veilig apparaat op te leveren en te zorgen dat de patiëntgegevens veilig worden verwerkt? En dat de apparatuur gegarandeerde resultaten geeft? Vanuit security-design vind ik het onvoorstelbaar dat malware in staat is zich te nestelen op dergelijke dure en specialistische apparatuur (waar blijkbaar standaardcomponenten en -systemen aan ten grondslag liggen). En ligt er ook verantwoordelijkheid bij de zorginstelling? Lijkt me wel. Want de zorginstelling treedt op als behandelaar. Daarom is het belangrijk om sowieso eisen te stellen aan de fabrikant. Maar blijkt het gezien voornoemde problematiek nodig dat monitoren en toetsen van netwerkverkeer op kwaadaardige inhoud plaatsvindt, zo ook de medische apparatuur. En wat doet een USB-stick in een hartbewakingsapparaat…?

Informatiebeveiliging moet zeker niet de Business Prevention Department van de zorginstelling worden. Of in dit geval de Healthcare Prevention Department. Maar… informatiebeveiliging kan er wel voor zorgen dat patiënten met een vertrouwder gevoel hun behandeling kunnen ondergaan, zonder zich zorgen te hoeven maken over een virus op de MRI of ander apparaat.

Hoe doe je dat dan? Niet door alles te verbieden en tegen te werken, maar door de risico’s in kaart te brengen en samen met het bestuur de juiste maatregelen te kiezen om de apparatuur en bijbehorende informatiestromen te beschermen, zodat een goede behandeling gewaarborgd blijft.