Video: Cijfers en Beelden - Inauguratie Prof. Walter Backes (November 2024)
Hoewel artsen hebben gezworen geen kwaad te doen, lijkt hetzelfde niet te gelden voor de apparatuur of de netwerken die ze gebruiken om de zorg te beheren. Volgens een nieuw rapport van de SANS-onderzoeksorganisatie en Norse bezwijken medische zorgverleners al in groten getale aan cyberaanvallen. De studie vond 49.917 unieke kwaadaardige gebeurtenissen van de zorgverleners die ze profileerden, en maak je geen zorgen: het wordt erger.
Life Savers werd kwaad
Uit het rapport bleek dat veel medische apparaten in een netwerk gemakkelijk door hackers konden worden overgenomen. Deze omvatten radiologie-beeldvormingssoftware, videoconferentiesystemen, digitale videosystemen, oproepcontactsoftware en beveiligingssystemen. Zelfs apparaten die bedoeld waren om organisaties te beschermen, zoals VPN's, firewalls en routers, werden gekaapt.
In het rapport werd vastgesteld dat medische apparaten en software een favoriet doelwit van hackers worden voor het uitvoeren van andere aanvallen, hetzij op hetzelfde netwerk of op andere doelen. Uit het rapport: "Eenmaal gecompromitteerd, zijn deze netwerken niet alleen kwetsbaar voor inbreuken, maar ook beschikbaar om te worden gebruikt voor aanvallen zoals phishing, DDoS en frauduleuze activiteiten tegen andere netwerken en slachtoffers."
"Een van de grootste redenen waarom we zien dat de infrastructuur voor ziekenhuizen wordt gebruikt als startplatform voor andere cybercriminaliteit en hacks, is omdat veel van deze apparaten domme apparaten zijn", aldus Norse CTO en mede-oprichter Tommy Stiansen. "Het zijn geen desktops of servers, maar ze draaien allemaal Linux." We hebben al gezien hoe sommige apparaten, met name netwerkcamera's, kunnen worden gebruikt om voet aan de grond te krijgen in het netwerk van een slachtoffer en allerlei chaos te veroorzaken.
Ondanks hun mogelijkheden worden medische apparatuur en bewakingscamera's niet beschouwd als onderdeel van de beveiligingsarchitectuur, aldus CEO en mede-oprichter Sam Glines. "Een document dat door onze crawlers voor een groot ziekenhuis werd ontdekt, had voor alles dezelfde gebruikersnaam en hetzelfde wachtwoord, " zei hij. Dit omvatte levensreddende apparaten zoals dialyseapparatuur. Vergeet niet dat internet nog steeds op schema ligt om je tegen 2014 te vermoorden.
Om de omvang van het probleem aan te tonen, zei Stiansen dat ze voor het eerst geïnteresseerd raakten in dit project toen ze zagen dat creditcardinformatie door medische apparaten werd verzonden. "Als iemand de deur open laat, komen hackers", zei Stiansen.
Meer waardevolle gegevens
Naast onbeveiligde apparaten en software die door ziekenhuizen wordt gebruikt, is er een nog groter probleem: gestolen medische gegevens. Zorgverleners op alle niveaus hebben extreem waardevolle persoonlijke gegevens tot hun beschikking, en het is die informatie die aanvallers wanhopig willen pakken.
De reden, legde Stiansen uit, is eenvoudig: "Je kunt er meer fraude mee plegen dan met creditcardgegevens." Een aanvaller kan snel geld verdienen aan medische gegevens, legde hij uit, via wegen zoals Medicare of receptfraude. Naast medische informatie loopt ook het intellectueel eigendom en de factuurinformatie die is opgeslagen door zorgaanbieders.
Afgezien van de overduidelijke impact op personen die wordt veroorzaakt door uw gegevens te laten stelen, wijst het rapport er ook op dat deze fraude de prijs van de gezondheidszorg nog hoger maakt. Het rapport citeert een Ponemon-repot van vorig jaar, die de kosten van insruance en medische fraude op ongeveer $ 12 miljard schatte.
Hoe repareer je het
Gezondheidszorgorganisaties moeten uiteraard serieus worden over het beveiligen van hun netwerken en apparaten, zelfs op basisniveau. "Beschouw alles met een IP-adres als een kritiek eindpunt", zei Glines, die verder zei dat sterkere wachtwoordprotocollen voor alles, van medische apparaten tot firewalls, de situatie zouden verbeteren.
Nieuwe wetgeving kan ook beter gedrag aanmoedigen. Glines wees op de wetgeving van de Europese Unie die bedrijven een percentage van hun inkomsten oplegt wanneer er een inbreuk plaatsvindt of gegevens verloren gaan. Hoewel HIPAA bedoeld is om bescherming te bieden, beweerde Norse dat compliance simpelweg niet gelijk stond aan beveiliging.
Maar er is ook een rol voor gewone mensen. Stiansen moedigde patiënten aan om hun zorgverlener te vragen naar cybersecurity. Glines was het ermee eens en zei: "Het zijn de consumenten die het meest te verliezen hebben. Ze hebben het recht om te vragen hoe hun gegevens worden bijgehouden en wat voor soort beveiligingsprocedures er zijn."
