‘Internet of Things’ (IoT) maakt ons leven op veel vlakken gemakkelijker. Smart home-technologie stelt ons bijvoorbeeld in staat om thuis toestellen in en uit te schakelen met slechts een tik op een touchscreen. Op die manier kunnen we efficiënter met energie omgaan. Ook in de industrie en zakelijke wereld zijn IoT-toestellen snel aan het doorbreken. Zeker in de gezondheidszorg ligt een sterke focus op het internet der medische dingen (‘Internet of Medical Things’, IoMT).
Medische organisaties gebruiken allerlei apparaten die met het internet verbonden zijn, zoals bijvoorbeeld slimme machines voor echografieën, die dokters en patiënten gedetailleerde en soms zelfs levensreddende informatie bieden. In veel gevallen is de IT-omgeving waarin de toestellen functioneren echter niet voorbereid op het veilig beheren en delen van gevoelige patiëntgegevens. Dit vraagt om aandacht voor de potentiële gevaren.
Kwetsbare IoT-apparaten
Het recente cybersecurity rapport van Check Point over bescherming van de cloud, mobile en IoT toont aan dat IoT-apparaten tot de zwakste schakels in een IT-netwerk behoren. Daar zijn verschillende verklaringen voor:
- IoT-apparaten worden vaak gebouwd met een ‘open source’-besturingssysteem, wat ze kwetsbaar maakt voor aanvallen. De apparaten worden meestal niet met security in het achterhoofd ontworpen en vaak wordt security zelfs volledig over het hoofd gezien.
- IoT-apparaten verzamelen steeds meer gegevens, waardoor ze voor cybercriminelen een interessant doelwit worden.
- IoT-apparaten vormen een eenvoudig access point voor hackers om zich in het volledige IT-netwerk te begeven en zo data te stelen die nog gevoeliger is. Een apparaat kan ook rechtstreeks worden aangevallen en uitgeschakeld, wat tot ernstige storingen kan leiden.
Check Point Research maakt door een recent onderzoek met een echografiemachine inzichtelijk hoe kwetsbaar deze apparaten zijn. Onderzoekers namen de binnenkant van het toestel onder de loep en ontdekten dat het apparaat nog steeds Windows 2000 als besturingssysteem gebruikt. Dat platform krijgt intussen geen patches of updates meer. Dat maakt de gehele echografiemachine en de informatie erop een gemakkelijke prooi voor hackers.
Dankzij oude en welbekende beveiligingsproblemen in Windows 2000, was het voor het onderzoeksteam niet moeilijk om toegang te krijgen tot de volledige database van de machine. Dat gaf hen tevens toegang tot de echografische beelden van patiënten.
Ziekenhuizen populair bij hackers
Cyberaanvallen op ziekenhuizen gebeuren bijna wekelijks. Het meest recente incident is een ransomware-aanval op een ziekenhuis voor hartpatiënten in Melbourne: patiëntgegevens werden gestolen en de hackers eisten losgeld. Vorig jaar zijn ook de medische dossiers van de premier van Singapore gestolen bij een aanval op SingHealth, het grootste instituut van de staat. Enkele weken later gingen hackers met 1,4 miljoen dossiers van patiënten bij UnityPoint aan de haal. In mei 2017 verstoorde de WannaCry-aanval de Britse NHS (‘National Health System’), waardoor 20.000 afspraken plotseling werden geannuleerd. Het herstel na de aanval kostte 150 miljoen Britse ponden (circa 17,45 miljoen euro). Naderhand bleek dat een ongepatcht Windows-systeem de enorme schade mogelijk had gemaakt.
Cybercriminelen willen niet alleen grote storingen veroorzaken;
ze zien ook kansen om veel geld te verdienen in de gezondheidssector
Cybercriminelen willen niet alleen grote storingen veroorzaken; ze zien ook kansen om veel geld te verdienen in de gezondheidssector. Met waardevolle data kunnen hackers namelijk toegang krijgen tot dure medische diensten, apparaten en medicijnvoorschriften, en ook fraude plegen om van bepaalde medische overheidsvoordelen te genieten.
Volgens een studie van Ponemon is de medische sector met 408 dollar (circa 363 euro) per dossier veruit de duurste sector om een datalek te herstellen. Andere organisaties betalen gemiddeld 225 dollar (circa 200 euro) per document. Die kosten zijn nodig om het lek te onderzoeken, de schade te herstellen en boetes of losgeld te betalen. Soms gaan bij aanvallen de gegevens van patiënten volledig verloren of is de reputatie van een organisatie definitief geschonden.
Het beveiligingsprobleem
De gezondheidszorg heeft te maken met kritieke gegevens die om directe en snelle toegang vragen vanaf verschillende apparaten en applicaties. Daarom is het meestal niet eenvoudig om een systeem stil te leggen voor het doorvoeren van updates of patches. Andere kwetsbaarheden zijn het gebrek aan versleuteling van gevoelige data en hardgecodeerde of standaard wachtwoorden.
Als gevolg hiervan lopen medische instellingen veel risico op cyberaanvallen. Hackers kunnen medische gegevens van patiënten bewerken en bijvoorbeeld medicatie en doseringen aanpassen. Echografiemachines, MRI-scans en röntgenapparaten lopen allemaal risico. Cybersecurity van medische apparaten kan daardoor een kwestie van leven en dood zijn.
De veilige oplossing
Security-protocol standaardisering van IoMT is nog steeds een vaag concept met veel uitdagingen. Toch kunnen gezondheidsinstellingen zelf al veel doen om data te beschermen. Zo moeten ze alert zijn op de verschillende access points binnen hun netwerk, aangezien er honderden tot soms duizenden apparaten verbonden zijn met het IT-netwerk. Al die apparaten kunnen weer kwetsbaarheden bevatten in hun hardware of software. Alle risico’s uitschakelen is onbegonnen werk. Om die reden moeten organisaties een geavanceerde, preventieve security-oplossing hebben om onvermijdbare aanvallen te onderscheppen.
Er kan bovendien nooit genoeg aandacht zijn voor netwerksegmentatie. Daardoor krijgen IT-experts beter zicht op onregelmatigheden wanneer patiëntgegevens van de rest van het netwerk gescheiden zijn. Bovendien kunnen zij de bedreiging dan isoleren en vermijden dat nog meer gegevens binnen het netwerk gestolen worden. Segmentatie zorgt er ook voor dat personeelsleden uitsluitend toegang hebben tot de systemen die nodig zijn voor hun dagelijkse werkzaamheden.
Conclusies en inzichten
De voordelen van verbonden medische toestellen mogen niet worden genegeerd: ze bieden patiënten en dokters informatie die levens kan redden en maken het mogelijk om die gegevens op efficiënte wijze te gebruiken. Toch moeten gezondheidsorganisaties alert blijven op de kwetsbaarheden die zulke apparaten veroorzaken, aangezien het de kans op datalekken aanzienlijk vergroot.
Segmentatie van het netwerk is een best practice voor IT-experts in de gezondheidszorg om nieuwe digitale, medische oplossingen in te zetten, en tegelijk het netwerk extra te beveiligen, zonder afbreuk te doen aan de prestaties en betrouwbaarheid. Zodra ‘best practice’-cybersecurity van kracht is, kunnen IT-securityteams erop gerust zijn dat de patiëntendossiers, en daarmee ook de financiën en reputatie van hun organisatie, veilig zijn.
UltraHack-video
De hack en de veiligheidsrisico’s worden uitgelegd in deze korte video:
