Uit een test door ethische hackers van Check Point blijkt dat ziekenhuistoestellen met een verouderd besturingssysteem makkelijk te hacken zijn. Ziekenhuisinformatici die anoniem willen blijven, bevestigden het verhaal aan VRT NWS.
Op zich niet verwonderlijk. Eerder al signaleerde De Specialist dat hetzelfde gold voor duizenden pacemakers. Maar dus ook echografie-apparaten, scanners en allerlei labtoestellen met een onaangepast besturingssysteem lopen risico.
Check Point, een Israëlisch bedrijf dat gespecialiseerd is in internetveiligheid, checkt zelf via een team van 200 ethische hackers de klok rond zwakke punten in netwerken. Zo konden ze een echografietoestel dat draait op het verouderd besturingssysteem Windows 2000, vrij makkelijk binnenbreken. En zelfs echo’s verwisselen. Christof Jacques van Check Point: "We kregen ook toegang tot het volledige medisch dossier van de patiënt."
Het is niet duidelijk hoeveel scanners, echografie- en ECG-apparaten met een verouderd besturingssysteem er nog in omloop zijn. De grote ziekenhuizen zijn voldoende beveiligd, vooral kleine ziekenhuizen zouden nog toestellen met een verouderd besturingssysteem hebben.
Volgens Jacques is het probleem “dat veel van die apparaten op Windows XP of Windows 2000 draaien, besturingssystemen die niet meer over de nodige "patches" beschikken. Die patches zijn stukjes software die het besturinggsysteem extra beveiligen. Vandaar dat Windows al een hele tijd geleden liet weten dat het Windows XP en 2000 niet meer ondersteunt."
Gedragscode nodig
Een informaticus van een middelgroot ziekenhuis zou aan VRT NWS verklaard hebben dat een aantal dure toestellen die een paar jaar oud zijn, niet vervangen worden omdat dat “handenvol geld kost. Toch worden ze aan het internet gekoppeld zonder dat men kijkt naar de mogelijke risico's." Een en ander heeft er ook mee te maken dat zo het onderhoud via internet goedkoper is want men hoeft niemand ter plaatse te sturen. Ook daar laten de besparingen voor ziekenhuizen zich dus voelen: ziekenhuizen stellen de aankoop van nieuwe, veilige toestellen uit en informaticadiensten zijn onderbemand. "Als je beseft dat er in onze ziekenhuisgroep duizenden mensen werken, kunnen we moeilijk controleren of elke internetaansluiting wel veilig is", getuigt een andere informaticus die aandringt op een gedragscode: "Iedereen kan hier binnenstappen en zijn laptop aan het netwerk koppelen."
Marc Monballieu, directeur IT AZ Maria Middelares Gent, heeft weet van twee toestellen die nog op Windows XP draaien, “maar ze zijn niet verbonden met het netwerk. Wij controleren ons netwerk ook constant op mogelijke risico's. Daarnaast hebben we twee "firewalls", een interne en een externe. Als een extern bedrijf toegang wil tot een toestel krijgt het alleen toegang tot dat toestel."
Het Maria Middelares-ziekenhuis beschermt het netwerk verder door het in te delen in verschillende compartimenten. Zo kan een hacker bij een mogelijke inbraak niet het hele netwerk platleggen. “Een een aanval kan je, zoals in andere sectoren, niet 100% vermijden", heet het nog. Dat wordt ook bevestigd door Frank Robben, hoofd van e-Health. Zijn maatregelen: “De patiëntendossiers staan niet op één server, maar zijn verspreid over verschillende plekken. Daarnaast is het mailverkeer tussen zorgverstrekkers versleuteld. Zo kunnen ze niet gelezen worden als die worden onderschept."
Dat ziekenhuizen een begeerd doelwit vormen voor hackers werd twee weken geleden nog duidelijk. Een groep - vermoedelijk Russische hackers - slaagde erin om het netwerk van het ziekenhuis André Renard in Herstal plat te leggen. Om het virus te verwijderen vroegen ze aan het ziekenhuis een paar duizend euro's.
BeMedTech, de federatie van producenten van ziekenhuisapparatuur, is er zich van bewust dat er toestellen met een verouderd besturingssysteem in omloop zijn. Daarom vraagt de organisatie aan ziekenhuizen dat ze hun toestellen tijdig onderhouden en indien nodig vervangen. BeMedTech vraagt ook om duidelijk richtlijn voor het onderhoud van ziekenhuistoestellen.
Vorig jaar nog werd het AZ Turnhout gechanteerd met gestolen patiëntengegevens maar dat haalde gelukkig niet veel uit. Topman van Microsoft Karel Dekyvere voorspelde deze risico’s al eerder en kwam er ook over spreken op het MemHo congres van De Specialist vorig jaar.
> Lees ook : AZ Turnhout gechanteerd met gestolen patiëntengegevens