MRI-scanners, infuuspompen, röntgenapparatuur en andere elektronische hulpmiddelen in de zorgsector vormen een gevaar voor de gezondheid, zeggen IT-beveiligers.
De IT-beveiliging van medische apparatuur rammelt op het meest elementaire niveau, valt te concluderen uit de presentatie van concludeerde Scott Erven, mededirecteur van adviesbureau Protiviti op de DerbyCon-beveiligingsconferentie.
Hij deed samen met onderzoeker Mark Collao een zoektocht naar aan internet gekoppelde medische apparatuur door te zoeken naar termen als ‘radiology’ en ‘podiatry’ in de zoekmachine Shodan. Ze vonden vele duizenden apparaten, meldt Computerworld. De onderzoekers zochten vervolgens naar de handleidingen online en ontdekten dat bij heel veel apparatuur die zij benaderden, nog altijd de default wachtwoorden werden gebruikt die werden meegegeven door de fabriek. Dat is helemaal bijzonder omdat een aantal fabrikanten van de apparatuur waarschuwt dat de aanspraak op ondersteuning vervalt wanneer de default wachtwoorden niet zijn veranderd.
Fouten bij de installatie
Ook werden wachtwoorden vele malen hergebruikt. Sommigen apparatuur was bewust aan internet gekoppeld maar er waren ook heel veel hulpmiddelen die per ongeluk online benaderbaar waren, bijvoorbeeld door een fout in de installatieprocedure.
De gevonden situatie vormt niet alleen een groot privacyrisico, aangezien de data van patiënten hiermee op straat kan komen te liggen, maar zorgt ook voor een veiligheidsrisico, bijvoorbeeld wanneer er met de instellingen kan worden gerommeld. Evren noemde twee gevallen waarbij de patiënten hun eigen pijnmedicatie hadden opgeschroefd door in te breken op hun infuuspomp.
Phishingkansen voor het oprapen
De onderzoekers vonden ook bij minstens een Amerikaanse zorgaanbieder de mogelijkheid in te breken en de gedetailleerde informatie van 68.000 apparaten in te zien. Daaruit bleek wat het betreffende apparaat doet, waar het zich bevindt in het ziekenhuis en en welke artsen toegang hebben tot de apparatuur. Die informatie biedt mogelijkheden voor phishing bij artsen en verplegend personeel.
Tot slot liet Evren een test zien waarbij de onderzoekers een idee wilden krijgen van het actuele gevaar waaraan dergelijke makkelijk toegankelijke apparatuur blootstaat. Ze installeerde tien zogeheten ‘honeypots’ die zich voordeden als medische apparatuur. Tijdens de onderzoeksperiode werd er 55 keer ingelogd op de honeypots, werden 24 exploits gebruikt en 299 vormen van malware aangetroffen.
Bron: Automatiseringgids
