Medische apparatuur vatbaar voor virussen

mdc4Medische apparatuur blijkt vatbaar voor virussen. Voor informatici in de zorg is dit eigenlijk geen nieuws. Wel is het nieuws dat dit nu eindelijk in het nieuws komt. Want onafhankelijk onderzoek toont nu aan wat velen al lang weten: veel medische apparatuur is daadwerkelijk besmet met virussen en andere malware. Gewetensvraag: Is dat erg? Het vervelende is dat we het niet weten. Veel malware zal mogelijk weinig invloed uitoefenen op de kwaliteit van de CT of de MRI. Maar hoe veilig voelt u zich als u weet dat uw hartbewakingsapparaat op afstand bestuurd kan worden door criminelen uit wie weet welk land? Voorkomen is beter dan genezen…

Dit soort problematiek speelt overigens niet alleen in de zorg. SCADA-systemen bijvoorbeeld (systemen die bruggen, sluizen, fabrieken, raffinaderijen, en dergelijke besturen), uit allerlei sectoren worden vaak zomaar aan computernetwerken en daarmee ook aan internet gekoppeld, zonder dat de risico’s daarvan goed zijn onderzocht. Maar dit soort systemen zijn helemaal niet ontworpen en gebouwd om publiekelijk bereikbaar te zijn. De besturingskasten van dit soort systemen staan van oudsher in een beveiligde ruimte, waar veelal gelaagde beveiliging wordt toegepast, om zeker te zijn dat onbevoegden niet zomaar bij de bedieningspanelen kunnen. Het koppelen van dit soort systemen aan internet omzeilt deze beveiliging volledig, “omdat het zo handig is er op afstand bij te kunnen”.

Ditzelfde geldt ook voor medische apparatuur. Ziekenhuispersoneel krijgt zeer specialistische opleidingen om de apparatuur te mogen bedienen. De apparatuur is dan ook ontworpen en gebouwd om bediend te worden door mensen met kennis van zaken. Tot zover gaat het goed. Echter, ook hier kan het koppelen van de apparatuur aan het netwerk (en daarmee meestal ook aan internet) nooit de bedoeling zijn geweest. Maar omdat een interface snel gebouwd is en er allerlei redenen te bedenken zijn waarom het “zo handig” is er op afstand bij te kunnen worden dit soort koppelingen zomaar toegestaan.

Maar wiens verantwoordelijkheid is eigenlijk de beveiliging van dergelijke apparaten? Is het niet de taak van de fabrikant om een veilig apparaat op te leveren en te zorgen dat de patiëntgegevens veilig worden verwerkt? En dat de apparatuur gegarandeerde resultaten geeft? Vanuit security-design vind ik het onvoorstelbaar dat malware in staat is zich te nestelen op dergelijke dure en specialistische apparatuur (waar blijkbaar standaardcomponenten en -systemen aan ten grondslag liggen). En ligt er ook verantwoordelijkheid bij de zorginstelling? Lijkt me wel. Want de zorginstelling treedt op als behandelaar. Daarom is het belangrijk om sowieso eisen te stellen aan de fabrikant. Maar blijkt het gezien voornoemde problematiek nodig dat monitoren en toetsen van netwerkverkeer op kwaadaardige inhoud plaatsvindt, zo ook de medische apparatuur. En wat doet een USB-stick in een hartbewakingsapparaat…?

Informatiebeveiliging moet zeker niet de Business Prevention Department van de zorginstelling worden. Of in dit geval de Healthcare Prevention Department. Maar… informatiebeveiliging kan er wel voor zorgen dat patiënten met een vertrouwder gevoel hun behandeling kunnen ondergaan, zonder zich zorgen te hoeven maken over een virus op de MRI of ander apparaat.

Hoe doe je dat dan? Niet door alles te verbieden en tegen te werken, maar door de risico’s in kaart te brengen en samen met het bestuur de juiste maatregelen te kiezen om de apparatuur en bijbehorende informatiestromen te beschermen, zodat een goede behandeling gewaarborgd blijft.

Help, onze bedrijfsgegevens zijn gegijzeld!

Stel je eens voor, je komt ’s morgens op je werk en het hele bedrijf zit op slot en de sloten zijn vervangen. Zelfs met een breekijzer kom je er niet meer in. Je kan niet meer bij je spullen, niet bij je apparatuur, niet bij je documenten, niet bij je contracten, niet bij je administratie, niet bij je voorraad onderhanden werk, niet bij je productieplanning, etc. Ondenkbaar? In de “fysieke” wereld misschien wel.

Maar het komt steeds vaker voor dat bedrijven slachtoffer worden van ransomware: een soort virus dat alle bestanden versleutelt met een voor jou onbekend wachtwoord. En tegen betaling van een bepaald bedrag krijg je het wachtwoord om je gegevens te ontsleutelen. Zowel particulieren als kleine en grote bedrijven en organisaties hebben hier last van. Wat doe je? Betaal je?

Of een ander scenario: je krijgt een bericht vanuit obscure hoek: we hebben je klantenbestand gestolen. Of andere gevoelige informatie. En als je niet binnen 48 uur geld betaalt, zetten we die bestanden publiekelijk op internet. Wat doe je? Betaal je?

Binnen informatiebeveiliging is Business Continuity een veel besproken onderwerp. Maar dan wordt er vaak rekening gehouden met rampen als brand, storm en dergelijke. Hooguit wordt er nog nagedacht over een mislukte back-up en dat die regelmatig getest moet worden. Maar wat als je data wordt gegijzeld door cybercriminelen? Wat doe je? Betaal je? Of heb je van tevoren nagedacht over dit soort scenario’s en kun je hier op een verantwoorde manier mee omgaan? Of liever: kun je dit voorkomen?

Dat betekent wel dat je van tevoren maatregelen moet nemen. Zorg dan ook dat je de risico’s van je organisatie kent en passende maatregelen neemt tegen de risico’s die je organisatie loopt. Voorkomen én genezen :-).

Je beveiliging beveiligd?

cameraVeel bedrijven, maar ook steeds meer particulieren maken gebruik van IP-camera’s als beveiligingsmaatregel. Ik laat in het midden of dat een goede ontwikkeling is, maar makkelijk is het wel; waar en wanneer je maar wil kun je zien wat er gebeurt onder het oog van je camera.

Laatst sprak ik met een vakbroeder die gespecialiseerd is in videobewaking en veel kennis heeft van dit soort apparatuur. Hij constateert dat klanten een IP-camera behandelen als een ouderwetse analoge camera: gewoon uit de doos halen en aanzetten. Terwijl een IP-camera feitelijk een computer is die geconfigureerd en beveiligd moet worden. Je moet er over nadenken hoe je de camera gaat koppelen en wie er waarom allemaal toegang mogen hebben tot deze camera.

Een beveiligingscamera is een informatiemiddel als alle anderen geworden. Helaas met allerlei kwetsbaarheden erin. En fabrikanten van dat soort producten hebben geen “patch Tuesday”, zoals bijvoorbeeld Microsoft dat heeft. Wel eens een risicoanalyse op de camera-omgeving gedaan? Uitkomst wordt waarschijnlijk dat de camera’s gewoon onder het informatiebeveiligingsbeleid horen te vallen, gewoon een classificatie meekrijgen, gewoon onder de processen patch management en change management vallen, en gewoon onderdeel moeten zijn van het autorisatiebeheer.

Conclusie? Klinkt misschien vreemd, maar ook beveiligingsmaatregelen moeten worden beveiligd!

Houdt het nou nooit op?

Het gaat maar door, die meldingen over vertrouwelijke gegevens die op straat komen te liggen, over verstoorde dienstverlening door DDoS aanvallen, over DigID-oplichting, marktplaatsfraude en over (bedrijfs)spionage door allerlei inlichtingendiensten. “Houdt het nou nooit op?”, vraag je je misschien wel eens af. Ik denk dat het antwoord kort is: inderdaad, het houdt nooit op. Sterker, ik denk dat dit slechts het begin is.

Niet om FUD (fear, uncertainty and doubt) te verkondigen, maar ben je je bewust van de risico’s die jouw organisatie loopt? En beheers je deze risico’s? En wat doe je als het klantenbestand ineens op straat blijkt te liggen? Of wanneer je webshop onderuit ligt? Of als je bedrijfsgeheimen bij de concurrent terecht komen? Kun je dat voorkomen, en heb je een plan klaarliggen hoe om te gaan met een incident?

Probeer er eens gestructureerd over na te denken. Een norm als de ISO27001 kan hierbij een prima hulpmiddel zijn. Niet om een papieren tijger te creëren, maar om er uit te halen wat relevant is. Certificering op zo’n norm is dan niet eens noodzaak, maar als referentiekader prima toepasbaar.

Er wordt wel eens beweerd dat certificering op ISO27001 helemaal niets brengt. Ik denk echter van wel. De norm helpt je om na te denken over de verschillende informatiestromen en -systemen binnen je organisatie en hoe deze adequaat te beveiligen: hoe je de beschikbaarheid, integriteit en vertrouwelijkheid van je informatie waarborgt. Met een ISO27001 certificering verplicht je jezelf om in ieder geval één keer per jaar eens goed na te denken over de risico’s die je als organisatie loopt en welke maatregelen je daartegen neemt.

Beveiligings- en privacyrisico’s worden helaas steeds groter. 100% veiligheid valt niet te creëren, maar als je voorbereid bent, weet je in ieder geval wat te doen bij een incident en ben je in staat de gevolgen beperken.

Enne… laat eens een onderzoek doen door een legal hacker om te toetsen hoe gemakkelijk gegevens bij jouw organisatie te achterhalen zijn!