Medische apparaten het jongste webveiligheidsrisico

Medische apparatuur kwetsbaar voor e-krakersHet is hier al vaker beweerd: verbondenheid aan het wereldwijde web komt met grote risico’s.  Vooral het internet-der-dingen is lekgevoelig. De Amerikaanse ex-vice-president Dick Cheney wil dat zijn hartstimulator beter beschermd wordt tegen e-krakers. Het bedrijf Johnson & Johnson waarschuwt zijn klanten dat insulinepompjes voor suikerpatiënten een veiligheidsprobleem hebben en het bedrijf St.Jude Medical heeft maanden geworsteld met de gevolgen van kwetsbaarheden  in sommige van de apparaten die het bedrijf levert, zoals hartdefibrillators, hartstimulatoren en andere medische elektronica. Je zou denken dat fabrikanten inmiddels weten welke gevaren er schuilen in een kwetsbaar verbonden medisch apparaat, maar volgens deskundigen is dat een wensgedachte. 

Er zijn natuurlijk allang thrillerscenario’s bedacht, waarbij kwetsbaarheden in medische apparatuur gebruikt worden om, ik zeg maar wat, iemand te vermoorden. Een ander risico van een slechte beveiliging van een medisch apparaat is dat je zo in het computersysteem van ziekenhuizen kunt binnendringen. Je hoeft niet veel fantasie te hebben om te bedenken dat dat nare gevolgen kan hebben.
“Afpersing gaat een heel nieuwe richting in”, zegt Ed Cabrera van webbeveiligingsbedrijf Trend Micro. Zo vonden in december Britse en Belgische onderzoekers dat er veiligheidslekken in het communicatieprotocol (pdf-bestand) zitten in tien op de markt aanwezige implanteerbare defibrillators. Dan heb je het over apparaten die draadloos verbonden en op afstand aflees- en instelbaar zijn, met andere woorden aan het wereldwijde web hangen.

Beduidend

Het is ook geen onbeduidend LEK. In Amerika zou in ziekenhuizen elk bed tegenwoordig zo’n tien tot vijftien van die verbonden apparaten hebben. “We zijn geneigd te denken dat de gezondheidszorg erg conservatief en traag is door de regelgeving, maar door de grote voordelen maken ziekenhuizen steeds meer gebruik van het internet-der-dingen”, zegt May Wang van Zingbox. “De afgelopen drie jaar is de gezondheidssector vaker gekraakt dan de financiële sector. Steeds vaker zijn medische apparaten het doelwit.”
Dat komt deels doordat die doelwitten zulke makkelijke slachtoffers zijn. Je kunt van veel medische apparaten gegevens verkrijgen op Shodan, een soort zoekmachine voor het internet-der-dingen. Die zijn niet allemaal kwetsbaar voor aanvallen, maar staan wel in de schijnwerpers (vanwege Shodan). Een niet-onbelangrijk deel van die medische apparaten werkt nog steeds met oude besturingssystemen zoals Windows XP, die niet eens meer bijgehouden worden. Daar zal iets aan gedaan moeten worden.

Er is zelfs aparte kwalijke programmatuur om medische apparaten te kraken. Dan gaat het niet alleen om de implantaten die mensen in zich dragen, maar ook om medische (beeld)apparatuur voor het stellen van diagnoses zoals computertomografen en mri-apparaten. Het is gebleken dat krakers malware explanteren op die apparaten om zo in het netwerk te kunnen rondsnuffelen. Het bedrijf TrapX had een opzetje gemaakt waarbij het spookapparaten aan een ziekenhuisnetwerk hing. TrapX-medewerkers zagen dat als krakers die nepapparaten aanvielen ze daarvoor expres oude progjes gebruikten om apparaten met verouderde besturingssystemen aan te vallen. Daarmee lopen ze minder risico getraceerd en gepakt te worden.
Nieuwere apparaten zouden zo’n aanval detecteren. “Elke keer als we in ziekenhuizen ons product demonstreren moeten we helaas constateren dat er ook een slachtoffer is van de MedJack-aanval”, zegt Anthony James van TrapX. “De meeste instellingen hebben geen idee omdat niemand daar er zich mee bezighoudt. Niemand denkt bij een ct-scanner of een mri-apparaat aan een rode loper voor een grootscheepse aanval.”

Binnen

Als de krakers eenmaal binnen zijn, dan kunnen ze hun positie gebruiken om het netwerk te bestoken. Steeds belangrijker is het overnemen of blokkeren van een netwerk of het versleutelen van dossiers en vervolgens losgeld te eisen. Verschillende ziekenhuizen is dat overkomen. Ziekenhuizen hebben dan al gauw de neiging het losgeld te betalen omdat hun systeem cruciaal is geworden voor het vervullen van hun taken.

We hangen onze maatschappij steeds meer op aan het wereldwijde web, met alle gevaarlijke gevolgen van dien. En nog steeds is de populariteit van zogenaamd ‘slimme’ steden niet geluwd.

Het recept is simpel: zorg voor een deugdelijke en onderhoudbare beveiliging van apparaten die aan het web worden gehangen, of dat nu defibrillators zijn of ct-scanners. Veel fabrikanten hebben daar echter maar weinig aandacht voor en vaak wordt die klus ook nog eens uitbesteed. Het zou zo moeten zijn dat de overheid daar meer aandacht voor heeft, maar overheid en computers dat is geen gelukkige combinatie.
Aan de andere kant zouden zorginstellingen zelf ook wat meer aan de weg mogen timmeren. Een bezoekje aan digitalezorg.nl stemt in dit opzicht niet tot optimisme…

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *