'Ziekenhuiscomputers vaak besmet met malware'
Ziekenhuisapparatuur is steeds kwetsbaarder voor malware-infecties, waardoor de medische apparatuur tijdelijk zelfs onbruikbaar wordt. Hoewel er geen slachtoffers van malware-infecties in ziekenhuizen bekend zijn, groeit het probleem in de Verenigde Staten, zo laat computerwetenschapper Kevin Fu tegenover Technology Review weten.
De medische apparatuur is in veel gevallen via een lokaal netwerk met elkaar verbonden, dat weer met het internet in verbinding staat. Aangezien veel systemen op Windows draaien en fabrikanten niet toestaan dat beheerders patches installeren of beveiligingsmaatregelen nemen, is dit een recept voor een digitale ramp.
Beveiligingsupdate
Fu geeft als voorbeeld een ziekenhuis in Boston waar de systemen oudere versies van Windows draaien. De fabrikanten van de apparatuur staan niet toe dat er iets gewijzigd wordt. Zelfs het installeren van een virusscanner is verboden, omdat dit mogelijk voor problemen met de wetgeving van de Amerikaanse Food and Drug Administration kan zorgen.
Hierdoor komt regelmatig voor dat ziekenhuiscomputers met malware besmet raken en vervolgens één of twee weken offline zijn om schoon te worden gemaakt. "Hier kan ik met mijn pet niet bij", aldus Fu. "Conventionele malware is wijdverspreid in ziekenhuizen omdat medische apparatuur ongepatchte besturingssystemen gebruikt. Er is weinig wat ziekenhuizen kunnen doen als een fabrikant geen updates voor een besturingssysteem toestaat."
Conficker
In 2009 wist de Confickerworm verschillende systemen in ziekenhuizen te infecteren, waaronder in het Beth Israel ziekenhuis in Boston. De malware veroorzaakte een probleem bij een Philips systeem voor de verloskundige zorg, een radiologie werkstation en andere applicaties die wegens wettelijke beperkingen niet gepatcht konden worden.
"Niemand raakte gewond, maar we moesten de systemen uitschakelen, schoonmaken en ze van het internet en lokale netwerk isoleren", aldus CIO John Halamka. Die merkt tevens op dat veel CTO's van ziekenhuizen niet weten hoe ze hun systemen moeten beschermen.
Fu pleit ervoor dat medische apparaten niet meer op onveilige en niet meer ondersteunde besturingssystemen moeten werken. "Meer ziekenhuizen en fabrikanten moeten zich uitspreken over het belang van de veiligheid van medische apparaten."
Echter, je zou ook kunnen beginnen met het scheiden van systemen in separate netwerken, geen koppeling met het internet als dat niet nodig is, virusscanning / IPS op netwerkniveau, etc.
Kortom, roepen dat je kwetsbaar omdat je niet kan patchen is zinloos. Bedenk ook alternatieve oplossingen, want een gepatched systeem kan ook nog steeds met nieuwe versies van Malware besmet worden.
Af en toe als beheerder het standpunt innemen: of de tent wordt beveiligd of afkoppelen van het netwerk. Dan kan er ineens heel veel.
Desktops voor alleen maar office of soortgelijke apps kunnen wel goede geupdate worden...
OT: en hoezo draaien ze die desktops/clients niet gewoon als thinclients, eventuel allemaal in hun eigen aparte VM?
In het ergste geval is zo'n systeem dan een paar minuten offline... gepatched of niet.
Weet je waar ik nou moe van word? Van willens en wetens domme dingen blijven doen, en alle kritiek zo proberen weg te wuiven.
Als ik zo naar de historie van de software en het bijbehorende bedrijf kijk, is windows ook helemaal niet geschikt als fundament voor dit soort toepassingen. Maar idd, afkoppelen van het bredere internet is wel het absolute minste. Dan zet je er maar een bastionhost tussen.
In het ergste geval is zo'n systeem dan een paar minuten offline... gepatched of niet.
Wie had het over "desktops/clients"? We hebben het hier over medische apparaatsturing. Toch net een iets ander verhaal.
Maar net als met die wijdopenstaande pacemaker (ook niet de eerste, overigens), wordt dit soort spul alleen maar voor functie (en dat nog maar matig) en niet op robuustheid gebouwd of zelfs maar ontworpen.
Hetzelfde verhaal met allerlei grote zware industrieele apparaten. De sturing daarvan is vaak ook windows met zelfs contractueel vastgelegde verboden op updates, want de sturingssoftware is daar vaak niet op getest en als wel blijkt ook nog eens dat ze inderdaad vaak zo brak is dat ze niet tegen updates kan.
Want zulke apparaatbouwers weten iets van apparaten maar niets van computersturing. En dan pakken ze wat "iedereen" ook pakt, ook als objectieve evaluatie zou vertellen dat de software gewoon niet geschikt is voor het beoogde doel.
En dan krijg je dus wat we hebben: Een brakke, onbeveiligbare bende, die vervolgens toch maar weer aan het internet gehangen wordt, want "handig". En dat het resultaat dan bloedgevaarlijk is, dat heeft "men" gewoon niet door, of wil men niet weten, of alle tegenwerpingen worden met een zucht weggewuifd....
denk eens aan malware verspreiding via nu.nl paar maanden geleden.
feit is dat je met gebruik van OS windows heel makkelijk aan boze software komt, op wat voor manier dan ook.
Wanneer Linux (of elk ander OS) zoveel gebruikt zou worden als Windows, hadden we het zelfde probleem met Linux!
Snap dat nou eens man. Een OS is interressant voor malware makers als er wat te halen valt.
Akela
en nog veel meer moe van mensen die denken dat malware enkel aan MSFT ligt: MSFT heeft een erg populair OS waardoor het voor malware makers vaak het geliefde platform is om wat voor te ontwikkelen. Als morgen alles op OS X draait in de wereld en MSFT slechts een minderheid doet dan zal het voor een malware maker veel interessanter zijn om zicht te focussen op OS X dan op Windows...
Het is makkelijk zeggen dat er een ander OS op moet of dat er Thin clients geplaatst moeten worden.
Deze mensen die dit roepen kennen de nieuwste techniek heel goed, maar de praktijk helemaal niet in dit soort omgevingen.
Vaak in ziekenhuizen worden apparaten gebruikt die gekoppeld zijn aan een PC.
Bijvoorbeeld bij aanschaf van een röntgenscan word door de fabrikant een PC meegeleverd die dit apparaat aanstuurt en kan uitlezen. (Dus de fabrikant kiest het OS en de applicatie die dit aanstuurt!)
Het gaat in dit artikel om dit soort pc's. De fabrikanten van de apparatuur staan het niet toe hierop updates te installeren en/of een virusscanner te installeren. Dit omdat de werking in combinatie met de röntgenscan niet gegarandeerd is. Sommige gevallen zijn dit soort PC's met het internet verbonden en krijgen updates via het netwerk van de fabrikant. Wanneer de fabrikant de updates heeft getest, worden ze gestuurd naar het apparaat (ook afhankelijk wat voor contract je hebt met de fabrikant/leverancier). Dus als beheerder heb je hierop geen invloed!
Dus hierdoor hebben de beheerders vaak geen keuze of mogelijkheden om deze machines te updaten of alternatieve software te mogen installeren (zoals een virusscanner). Deze PC is alleen voor dit apparaat.
Dat dit soort machines verbonden zijn met internet zou misschien een betere discussie zijn, maar ken situaties dat dit alleen maar is om de updates van de leverancier te kunnen ontvangen.
Dat er medewerkers zijn die achter zo'n computer ook even naar nu.nl gaan is een andere verhaal....
Maar om kort door de bocht te zeggen er moet een ander OS op, of er Thin clients van te maken en virtualiseren slaat nergens op bij dit soort systemen.
Het gaat hier niet om normale werkplekken waar secretaresses een Word document tikken....!!!
Dit issue zou ook spelen bij een Linux of Apple client
Wanneer Linux (of elk ander OS) zoveel gebruikt zou worden als Windows, hadden we het zelfde probleem met Linux!
Snap dat nou eens man. Een OS is interressant voor malware makers als er wat te halen valt.
Als dat de enige factor was, dan maakt het niet uit of je huis van steen of van hout is, of dat er pannen of riet op ligt, qua brandbeveiliging, want alleen de meestgebouwde soort brandt het meeste af.
Helaas, zo werkt het niet. "Veel gebruikt" is maar een klein deel van het verhaal. "Geen enkele interne afscheiding" is lang de "architectuur" geweest in windows, en ook nu nog is de "beveiliging" hap-snap, ertegenaan geplakt, niet handig, makkelijk te omzeilen, en zo verder. Iedere willekeurige unix doet het daar beter, zo ook linux, en dat merk je.
Je hebt best gelijk dat er een groot verschil in volume qua gebruik en qua aanvallen bestaat, maar ook een groot verschil in aanvalsoppervlak, in houding van de fabrikant ("security was not a priority" dixit m$ vp), in architectuur, in noem maar op.
We zouden stukken beter af zijn als a) onze systemen diverser waren en b) ze betere interne afscheidingen en compartimentalisatie zouden hebben. En of ze dan windows heten of niet maakt niet zo gek veel uit. Voorlopig, echter, is windows een schoolvoorbeeld van hoe het niet moet, en dat is in de laatste twintig jaar niet voldoende verbeterd, zelfs minder dan de concurrentie, die al beter begonnen.
Waarom windows dus zo populair is bij malwaremakers? Inderdaad, omdat het veel gebruikt wordt, maar ook omdat het een makkelijk doelwit is, omdat de gebruikers en de beheerders ondermaats veiligheidsbesef hebben, omdat de fabrikant broddelwerk levert, en zo verder. Dus dan hebben we niet maar een enkele reden om het niet te gebruiken in kritieke toepassingen, we hebben er een heleboel.
Waarmee het toch gebruiken van windows voor kritieke toepassingen een automatisch brevet van onvermogen blijkt.
Hoe veilig het OS zelf ook is, als gebruikers van alles en nog wat erop installeren en hier ook toestemming voor geven en geen idee hebben wat ze installeren, kan je OS zo veilig zijn maar nog steeds malware hebben en data lekken.
Denk dat de menselijke factor vaak het probleem is.
Als zo'n ziekenhuis PC die aan apparatuur is gekoppeld geen internet verbinding zou hebben en alleen met specifieke systemen op het netwerk zou mogen communiceren het probleem al niet was geweest (iedergeval nu niet hier op de site had gestaan!)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
