Medische apparatuur vatbaar voor virussen

mdc4Medische apparatuur blijkt vatbaar voor virussen. Voor informatici in de zorg is dit eigenlijk geen nieuws. Wel is het nieuws dat dit nu eindelijk in het nieuws komt. Want onafhankelijk onderzoek toont nu aan wat velen al lang weten: veel medische apparatuur is daadwerkelijk besmet met virussen en andere malware. Gewetensvraag: Is dat erg? Het vervelende is dat we het niet weten. Veel malware zal mogelijk weinig invloed uitoefenen op de kwaliteit van de CT of de MRI. Maar hoe veilig voelt u zich als u weet dat uw hartbewakingsapparaat op afstand bestuurd kan worden door criminelen uit wie weet welk land? Voorkomen is beter dan genezen…

Dit soort problematiek speelt overigens niet alleen in de zorg. SCADA-systemen bijvoorbeeld (systemen die bruggen, sluizen, fabrieken, raffinaderijen, en dergelijke besturen), uit allerlei sectoren worden vaak zomaar aan computernetwerken en daarmee ook aan internet gekoppeld, zonder dat de risico’s daarvan goed zijn onderzocht. Maar dit soort systemen zijn helemaal niet ontworpen en gebouwd om publiekelijk bereikbaar te zijn. De besturingskasten van dit soort systemen staan van oudsher in een beveiligde ruimte, waar veelal gelaagde beveiliging wordt toegepast, om zeker te zijn dat onbevoegden niet zomaar bij de bedieningspanelen kunnen. Het koppelen van dit soort systemen aan internet omzeilt deze beveiliging volledig, “omdat het zo handig is er op afstand bij te kunnen”.

Ditzelfde geldt ook voor medische apparatuur. Ziekenhuispersoneel krijgt zeer specialistische opleidingen om de apparatuur te mogen bedienen. De apparatuur is dan ook ontworpen en gebouwd om bediend te worden door mensen met kennis van zaken. Tot zover gaat het goed. Echter, ook hier kan het koppelen van de apparatuur aan het netwerk (en daarmee meestal ook aan internet) nooit de bedoeling zijn geweest. Maar omdat een interface snel gebouwd is en er allerlei redenen te bedenken zijn waarom het “zo handig” is er op afstand bij te kunnen worden dit soort koppelingen zomaar toegestaan.

Maar wiens verantwoordelijkheid is eigenlijk de beveiliging van dergelijke apparaten? Is het niet de taak van de fabrikant om een veilig apparaat op te leveren en te zorgen dat de patiëntgegevens veilig worden verwerkt? En dat de apparatuur gegarandeerde resultaten geeft? Vanuit security-design vind ik het onvoorstelbaar dat malware in staat is zich te nestelen op dergelijke dure en specialistische apparatuur (waar blijkbaar standaardcomponenten en -systemen aan ten grondslag liggen). En ligt er ook verantwoordelijkheid bij de zorginstelling? Lijkt me wel. Want de zorginstelling treedt op als behandelaar. Daarom is het belangrijk om sowieso eisen te stellen aan de fabrikant. Maar blijkt het gezien voornoemde problematiek nodig dat monitoren en toetsen van netwerkverkeer op kwaadaardige inhoud plaatsvindt, zo ook de medische apparatuur. En wat doet een USB-stick in een hartbewakingsapparaat…?

Informatiebeveiliging moet zeker niet de Business Prevention Department van de zorginstelling worden. Of in dit geval de Healthcare Prevention Department. Maar… informatiebeveiliging kan er wel voor zorgen dat patiënten met een vertrouwder gevoel hun behandeling kunnen ondergaan, zonder zich zorgen te hoeven maken over een virus op de MRI of ander apparaat.

Hoe doe je dat dan? Niet door alles te verbieden en tegen te werken, maar door de risico’s in kaart te brengen en samen met het bestuur de juiste maatregelen te kiezen om de apparatuur en bijbehorende informatiestromen te beschermen, zodat een goede behandeling gewaarborgd blijft.

Help, onze bedrijfsgegevens zijn gegijzeld!

Stel je eens voor, je komt ’s morgens op je werk en het hele bedrijf zit op slot en de sloten zijn vervangen. Zelfs met een breekijzer kom je er niet meer in. Je kan niet meer bij je spullen, niet bij je apparatuur, niet bij je documenten, niet bij je contracten, niet bij je administratie, niet bij je voorraad onderhanden werk, niet bij je productieplanning, etc. Ondenkbaar? In de “fysieke” wereld misschien wel.

Maar het komt steeds vaker voor dat bedrijven slachtoffer worden van ransomware: een soort virus dat alle bestanden versleutelt met een voor jou onbekend wachtwoord. En tegen betaling van een bepaald bedrag krijg je het wachtwoord om je gegevens te ontsleutelen. Zowel particulieren als kleine en grote bedrijven en organisaties hebben hier last van. Wat doe je? Betaal je?

Of een ander scenario: je krijgt een bericht vanuit obscure hoek: we hebben je klantenbestand gestolen. Of andere gevoelige informatie. En als je niet binnen 48 uur geld betaalt, zetten we die bestanden publiekelijk op internet. Wat doe je? Betaal je?

Binnen informatiebeveiliging is Business Continuity een veel besproken onderwerp. Maar dan wordt er vaak rekening gehouden met rampen als brand, storm en dergelijke. Hooguit wordt er nog nagedacht over een mislukte back-up en dat die regelmatig getest moet worden. Maar wat als je data wordt gegijzeld door cybercriminelen? Wat doe je? Betaal je? Of heb je van tevoren nagedacht over dit soort scenario’s en kun je hier op een verantwoorde manier mee omgaan? Of liever: kun je dit voorkomen?

Dat betekent wel dat je van tevoren maatregelen moet nemen. Zorg dan ook dat je de risico’s van je organisatie kent en passende maatregelen neemt tegen de risico’s die je organisatie loopt. Voorkomen én genezen :-).

Vertrouw je je virusscanner?

Vandaag las ik een (on)verwacht nieuwsbericht over het vertrouwen in virusscanners. Het bericht stelt dat veel mensen hun antivirussoftware de beste bescherming vinden tegen de risico’s van internetgebruik. En dat is onterecht vindt het artikel. Dat vind ik zelf overigens ook ;-).

Dat wordt verteld dat een virusscanner alleen niet voldoende is, is natuurlijk goed nieuws voor fabrikanten van security-oplossingen die dit al langer weten. Maar de vraag is dan: wat moet je binnen je bedrijf nog meer doen dan alleen die virusscanner installeren? Daar zegt het artikel niet veel over.

Deze vraag is ook lastig te beantwoorden, want veel bedrijven hebben eigenlijk geen idee wat nou precies de risico’s zijn die ze lopen. Laat staan dat ze weten wat de juiste maatregelen zijn om die risico’s te beheersen. Maar dát er meer nodig is dan alleen een virusscanner, moge duidelijk zijn. Niemand wil (te) slecht beveiligd zijn, maar aan de andere kant ook geen overbodige maatregelen nemen en daarmee te veel geld uitgeven. En dan is “niets doen” een veel gekozen strategie.

Het is waarschijnlijk niet verrassend, maar een passend niveau van beveiliging bereik je door een combinatie van maatregelen. Niet alleen technische maatregelen, maar ook organisatorische maatregelen (mensen/processen/techniek). En het is belangrijk dat deze maatregelen onder controle zijn. Helaas bestaat er nog geen koop-dit-product-want-dan-ben-je-veilig-oplossing. En tot die tijd ben je genoodzaakt goed over de risico’s na te denken.

Daarom: vertrouwen op je virusscanner is goed, maar goed en gestructureerd risicomanagement is beter!

Houdt het nou nooit op?

Het gaat maar door, die meldingen over vertrouwelijke gegevens die op straat komen te liggen, over verstoorde dienstverlening door DDoS aanvallen, over DigID-oplichting, marktplaatsfraude en over (bedrijfs)spionage door allerlei inlichtingendiensten. “Houdt het nou nooit op?”, vraag je je misschien wel eens af. Ik denk dat het antwoord kort is: inderdaad, het houdt nooit op. Sterker, ik denk dat dit slechts het begin is.

Niet om FUD (fear, uncertainty and doubt) te verkondigen, maar ben je je bewust van de risico’s die jouw organisatie loopt? En beheers je deze risico’s? En wat doe je als het klantenbestand ineens op straat blijkt te liggen? Of wanneer je webshop onderuit ligt? Of als je bedrijfsgeheimen bij de concurrent terecht komen? Kun je dat voorkomen, en heb je een plan klaarliggen hoe om te gaan met een incident?

Probeer er eens gestructureerd over na te denken. Een norm als de ISO27001 kan hierbij een prima hulpmiddel zijn. Niet om een papieren tijger te creëren, maar om er uit te halen wat relevant is. Certificering op zo’n norm is dan niet eens noodzaak, maar als referentiekader prima toepasbaar.

Er wordt wel eens beweerd dat certificering op ISO27001 helemaal niets brengt. Ik denk echter van wel. De norm helpt je om na te denken over de verschillende informatiestromen en -systemen binnen je organisatie en hoe deze adequaat te beveiligen: hoe je de beschikbaarheid, integriteit en vertrouwelijkheid van je informatie waarborgt. Met een ISO27001 certificering verplicht je jezelf om in ieder geval één keer per jaar eens goed na te denken over de risico’s die je als organisatie loopt en welke maatregelen je daartegen neemt.

Beveiligings- en privacyrisico’s worden helaas steeds groter. 100% veiligheid valt niet te creëren, maar als je voorbereid bent, weet je in ieder geval wat te doen bij een incident en ben je in staat de gevolgen beperken.

Enne… laat eens een onderzoek doen door een legal hacker om te toetsen hoe gemakkelijk gegevens bij jouw organisatie te achterhalen zijn!