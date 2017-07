Als we zeggen dat de IT-beveiliging van medische apparaten waardeloos is, is dat een forse understatement. We horen al een groot deel van het afgelopen decennium van experts dat de fysieke beveiliging van de apparaten prima is en ze foutloos functioneren, maar dat als het aankomt op bescherming tegen online aanvallen de apparaten beangstigend kwetsbaar zijn.

We hebben talloze rapporten gezien die dit onderstrepen. Zo bleek onlangs dat pacemakers 8000 codefouten bevatten en een rapport eind vorig jaar vond kwetsbaarheden in propriëtaire communicatieprotocollen van nieuwe implanteerbare cardioverter-defibrillatoren (PDF).

In de VS alleen al bleken 36.000 medische apparaten via hardwarezoekmachine Shodan te benaderen (PDF) en in een onderzoek van Ponemon bleek ruwweg een derde van fabrikanten en gezondheidsorganisaties zich bewust van veiligheidsproblemen, maar 17 procent van de fabrikanten en 15 procent van de organsaties nam daadwerkelijk stappen om aanvallen te voorkomen (PDF).

Vertrouwd netwerk

Het probleem is in de kern dat de apparaten worden genetwerkt en vertrouwd worden, zodat patiëntinformatie en patiënten zelf worden beschermd, maar dat ze hier helemaal niet voor zijn ontworpen. Ze zijn alleen veilig voor zover je het aangesloten systeem kunt vertrouwen, vertelt beveiligingsdeskundige Chris Camejo van NTT Security.

"Helaas kun je een ziekenhuisnetwerk niet als vertrouwd aanmerken, omdat het is aangesloten op internet en daarnaast duizenden gebruikers bevat. Elke gebruiker is een potentieel risico die de verkeerde koppeling kan openen of een malafide bijlage uitvoert."

Hoe reëel is dat risico?

Maar de discussie woedt voort over hoe dringend het risico op fysieke schade daadwerkelijk is. Een deskundige in beveiliging van medische apparaten en zelf diabeticus Jay Radcliffe zei op beveiligingscongres Black Hat in 2014 dat het waarschijnlijker was dat "een aanvaller me besluipt en doodslaat met een honkbalknuppel" dan dat een cyberaanval hem zou verwonden.

