Virussen in medische apparatuur

Medische experten maken zich groeiende zorgen over malware in medische apparatuur onder verouderde besturingssystemen.

Medische experten maken zich groeiende zorgen over malware in medische apparatuur onder verouderde besturingssystemen.

Een discussiegroep van de Amerikaanse overheid wees onlangs op het groeiend gevaar voor malware in medische apparatuur, stelt MIT’s Technology Review. Dat dergelijke apparatuur al jaar en dag in wezen computers zijn en vaak in netwerken zijn gekoppeld is niet nieuw. Het probleem is veeleer dat heel wat van die systemen draaien onder verouderde versie van besturingssystemen waarvoor geen updates en/of patches meer worden aangeboden tegen malware. Daarbij wordt in het bijzonder gewezen op Windows, zij het dat dit niet het enige betrokken besturingssysteem is. Het probleem neemt nog grotere omvang omdat producenten van dergelijke apparatuur vaak niet toelaten om nieuwe versies te installeren, of patches aan te brengen. En dat terwijl de apparatuur vaak nooit werd ontworpen met het oog op bescherming tegen informatie security dreigingen.

Rol van de FDA Een cruciale rol hierin wordt gespeeld door de Amerikaanse Food and Drug Administration (FDA), die de goedkeuring verstrekt voor de commercialisering en het gebruik van medische apparatuur. Bij die goedkeuring wordt vooral gekeken naar de nuttige en veilige werking van het apparaat, en niet zozeer naar de voorzieningen tegen malware en dies meer. In 2009 wees de FDA er nog op dat dit laatste een gedeelde verantwoordelijkheid vormt van de medische gebruiker en de producent van het toestel, en dat “gewoonlijk geen FDA goedkeuring nodig is voor het aanbrengen van veranderingen, updates en patches met het oog op cybersecurityaangelegenheden.”

Heel wat producenten interpreteren dit evenwel heel wat terughoudender en nemen blijkbaar geen risico dat ze de vaak lange en dure testfase zouden moeten doorlopen. Meer nog, soms wordt voor ‘nieuwe’ versies gebruik gemaakt van besturingssystemen die op hun beurt al einde carrièrezijn (zoals nieuwe systemen onder Windows XP…). Gewoonlijk hebben de gebruikers van medische apparatuur sowieso geen verhaal tegen dergelijke beslissingen.

In een recent rapport van de Amerikaanse overheidswaakhond GAO (Government Accountability Office, zeg maar het Amerikaanse ‘Rekenhof’) wordt wel opgemerkt dat de FDA zelf stelt meer aandacht te besteden aan cybersecurity in medische apparatuur, maar dat bleek niet uit de feiten. Zo is er geen bewijs dat de FDA testen uitvoert rond het opzettelijk invoeren van foute gegevens van buitenaf, of gerichte aanvallen. In de discussiegroep erkende de FDA wel dat het probleem van met malware besmette apparatuur wijd verspreid is, en dat de organisatie haar standpunt inzake software herziet.

Nog geen slachtoffers Volgens een Amerikaanse medische expert zijn nog geen gevallen gekend van patiënten die door met malware besmette apparatuur problemen ondervonden. Maar wel werden systemen aangetroffen met een verminderde werking, zoals een vertraging in de werking van toestellen voor de bewaking van foetussen bij vrouwen met een moeilijke zwangerschap. Dit gebeurde gelukkig op een dienst van intensieve zorgen waar tevens bewaking door medisch personeel was. Maar als een probleem zich zou aandienen terwijl deze personen een interventie doen…

Voorts zouden er ook nog geen gevallen gekend zijn van gerichte aanvallen op genetwerkte medische apparatuur. De grootste hinder is vandaag de noodzaak een besmet toestel uit te schakelen en te ontsmetten, zodat het een (hele) poos onbruikbaar is. Anderzijds zijn ziekenhuizen wel al vaker het slachtoffer geweest van virusbesmettingen en de kans op een kruisbesmetting kan niet worden uitgesloten.