Als we zeggen dat de IT-beveiliging van medische apparaten waardeloos is, is dat een forse understatement. We horen al een groot deel van het afgelopen decennium van experts dat de fysieke beveiliging van de apparaten prima is en ze foutloos functioneren, maar dat als het aankomt op bescherming tegen online aanvallen de apparaten beangstigend kwetsbaar zijn.

Lees ook: Medische apparatuur aan het internet: ach, waarom ook niet?

We hebben talloze rapporten gezien die dit onderstrepen. Zo bleek onlangs dat pacemakers 8000 codefouten bevatten en een rapport eind vorig jaar vond kwetsbaarheden in propriëtaire communicatieprotocollen van nieuwe implanteerbare cardioverter-defibrillatoren (PDF).

In de VS alleen al bleken 36.000 medische apparaten via hardwarezoekmachine Shodan te benaderen (PDF) en in een onderzoek van Ponemon bleek ruwweg een derde van fabrikanten en gezondheidsorganisaties zich bewust van veiligheidsproblemen, maar 17 procent van de fabrikanten en 15 procent van de organsaties nam daadwerkelijk stappen om aanvallen te voorkomen (PDF).

Vertrouwd netwerk

Het probleem is in de kern dat de apparaten worden genetwerkt en vertrouwd worden, zodat patiëntinformatie en patiënten zelf worden beschermd, maar dat ze hier helemaal niet voor zijn ontworpen. Ze zijn alleen veilig voor zover je het aangesloten systeem kunt vertrouwen, vertelt beveiligingsdeskundige Chris Camejo van NTT Security.

"Helaas kun je een ziekenhuisnetwerk niet als vertrouwd aanmerken, omdat het is aangesloten op internet en daarnaast duizenden gebruikers bevat. Elke gebruiker is een potentieel risico die de verkeerde koppeling kan openen of een malafide bijlage uitvoert."

Hoe reëel is dat risico?

Maar de discussie woedt voort over hoe dringend het risico op fysieke schade daadwerkelijk is. Een deskundige in beveiliging van medische apparaten en zelf diabeticus Jay Radcliffe zei op beveiligingscongres Black Hat in 2014 dat het waarschijnlijker was dat "een aanvaller me besluipt en doodslaat met een honkbalknuppel" dan dat een cyberaanval hem zou verwonden.

Hierna: De features die nu worden gebruikt zonder de beveiliging in ogenschouw te nemen die de grootste risico's opleveren.

De experts met wie ik sprak hebben geen van allen nog gehoord van een gedocumenteerde, gerichte praktijkaanval op een apparaat dat vervolgens fysieke schade toebracht aan patiënten. Maar medische IT-beveiliger Stephanie Domas wijst erop dat we niet weten of defecten worden veroorzaakt door security-incidenten. "Ik ken geen fabrikant die forensisch onderzoek doet naar de oorzaak als een apparaat zich onverwacht gedraagt", zegt ze. "Niemand kijkt naar hoe dit is gebeurd."

Levensbelang

Camejo stelt dat ongeacht het type apparaat en los van of het zich in een ziekenhuisomgeving bevindt of daarbuiten de risico's in de kern hetzelfde zijn: "De levens van patiënten zijn afhankelijk van correct functionerende apparatuur en een aanvaller die deze functies kan beheren, kan ze aanpassen om schade toe te brengen aan de patiënt, zelfs tot aan dodelijke gevolgen."

Dus moeten we bepaalde apparaten verbieden? Domas en andere beveiligingsdeskundigen zeggen van niet, omdat het moeilijk in te schatten is of één apparaat of zelfs een type apparaten kwetsbaarder is dan andere. Het probleem ligt volgens hen meer in specifieke functionaliteiten waardoor de apparaten ofwel een aantrekkelijker doelwit vormen of waardoor gebruikers kwetsbaarder zijn. Te weten:

1. Cloudafhankelijkheid

Ongeveer tien procent van de medische apparaten is volgens controleorgaan FDA bedoeld om leven fysiek te ondersteunen of mogelijk te maken (bijvoorbeeld pacemakers of glucosemeters). Als dit soort apparaten wordt gehackt, levert dat een direct patiëntengevaar op.

Advocate Sonali P. Gunawardhana, voormalig FDA-jurist, wijst op internetverbonden glucosemeters die diabetici gebruiken om hun bloedsuikerspiegel te meten. Als de telefoon wordt overgenomen en een patiënt onjuiste gegevens te zien krijgt, leidt dat tot verkeerde beslissingen qua insulinetoediening met potentieel desastreuze gevolgen.

Op de volgende pagina: Lokale connectiviteit versus internetverbindingen.

Synopsys-beveiliger Chris Clark zegt dat apparaten onder het mom van telezorg, zoals infusen en monitorende systemen, verbinding maken met de cloud om diensten te kunnen verlenen. "Ze moeten daarvoor verbinding maken met internet", zegt hij "wat betekent dat er een groot potentieel is voor storing of andere disruptie."

2. RF-connectiviteit

Clark van Synopsis zegt dat apparaten die radiofrequentie gebruiken om verbinding te maken een hoger risico vormen en dat vergelijkt hij met een voorbeeld van fitnessapparaten. "Fitbit gebruikt Bluetooth om te communiceren en dat is prima, omdat het niet met andere apparaten verbindt. Maar de telefoon is een aggregatieplek voor allerlei technologieën, niet alleen die van gezondheidszorg."

"De meeste mensen zijn zich er niet eens van bewust of ze wifi of Bluetooth gebruiken en gaan er vanuit dat de leverancier wel heeft nagedacht over het goed afleveren van data. Maar als we de technologie eenmaal gebruiken, is het een aanlokkelijker doelwit voor aan aanvaller", aldus Clark.

Hierna: Verouderde software en praktische problemen.

3. Software van de omgeving

Medische IT-beveiliger Domas benadrukt dat ransomware WannaCrypt bijvoorbeeld zich niet richtte op medische apparaten, maar deze wel schade toebracht als de malware eenmaal toegang had tot een ziekenhuis. "Dit soort aanvallen kijkt naar alles wat maar kwetsbaar is. WannaCrypt pakt wat het pakken kan", zegt ze.

Zelfs als specifieke apparaten niet worden gegijzeld, zorgt versleuteling van ziekenhuissystemen ervoor dat ook de apparaten die patiënten in leven houden niet meer te bedienen zijn. Die systemen kunnen zwaar verouderd zijn: uit een rondgang van de NOS bleek onlangs dat ziekenhuizen te maken krijgen met ransomware, onder meer omdat bijvoorbeeld MRI-machines worden bediend met oude software op XP-systemen.

Deze ontvangen geen updates meer. De reden dat zulke apparaten nog worden toegestaan is geen laksheid van IT-personeel, maar deels omdat het praktische problemen oplevert om ze uit te faseren en deels omdat het slecht te verkopen is dat het budget dat is bedoeld om zorg te leveren voor een groter deel wordt uitgegeven aan IT. Dat is helaas vaak pas te rechtvaardigen op het moment dat het dringend nodig blijkt, zoals onlangs met NotPetya en hopelijk voordat er grotere problemen optreden.

Lees verder: Dataverwerking op de apparaten levert risico's op.

4. Verwerken van patiëntgegevens

Niet alle apparaten bevatten patiëntgegevens, zegt beveiligingsdeskundige Domas, maar de apparaten die dat wel doen zijn kwetsbaar en erger nog, omdat ze direct met digitale patiëntendossiers communiceren is het een potentiële ingang voor een grotere aanval.

"Er zijn aanvallen in het wild geweest op röntgenapparaten en PACS (archiefsystemen voor afbeeldingen en dossiers van radiologie) en sommige daarvan bevatten een heel patiëntendossier. Deze apparaten zijn ontworpen om te communiceren met je dossier, dus elk apparaat dat kwetsbaar is, vormt een ingang naar de rest van de gegevens", aldus de beveiligingsdeskundige.

Juriste Gunawardhana is het daarmee eens. "Pacemakers, infuuspompen, CT-scanners, MRI-machines en digitale patiëntgegevens vormen de grootste risico's gezien hun connectiviteit naar diverse medische platforms binnen een ziekenhuis", zegt ze. "Er zijn verschillende manieren waarop deze apparaten een patiënt schade kunnen toebrengen."

Op de laatste pagina: Remote monitoring.

5. Third-party verbindingen

Synopsys' Clark zegt dat je niet moet kijken naar het soort apparaat, maar naar diens doel. "Monitoring op afstand begint ongelooflijk populair te worden", zegt hij, omdat het personeel helpt om patiënten in de gaten te houden als het fysiek niet meer mogelijk is.

"Maar het gebruik van third party-servers brengt grote risico's met zich mee", aldus de specialist. Dat vindt Domas ook: apparaten die praten met een externe server zijn afhankelijk van diens security. "Dat slaat een gat in de beveiliging van het ziekenhuisnetwerk", zegt ze, erop wijzend dat dit geldt voor elke verbinding die het netwerk moet verlaten.

Een voorbeeld is een apparaat in een ambulance dat gegevens van de patiënt doorseint naar de SEH zodat artsen daar zien welke stabiliserende handelingen reeds zijn verricht. "Het is belangrijk dat de arts deze informatie heeft", zegt Domas "dus er is een goede reden waarom het apparaat deze functionaliteit heeft. Maar het betekent ook dat de communicatie kwetsbaarder is dan intern binnen het systeem.

Zelfs pc's in het ziekenhuis zou je kunnen bestempelen als een third party. NTT Security's Camejo wijst erop dat veel apparaten beheerd worden via de pc. Een aanvaller die de pc bemachtigt die de apparaten beheert, heeft toegang tot wachtwoorden en communicatieprotocollen waardoor hij of zij het apparaat direct kan aanvallen.