image

CBP over legacy-systemen: tijdelijk in quarantaine

dinsdag 23 december 2014, 13:38 door Ot van Daalen, 3 reacties

Onlangs publiceerde het College Bescherming Persoonsgegevens een besluit over de beveiliging van de IT-systemen van het Groene Hart Ziekenhuis. Daarin bespreekt het CBP hoe je moet omgaan met slechte beveiligde legacysystemen waarop bedrijfskritieke processen draaien. En misschien nog wel belangrijker: het CBP laat zien dat ze bereid is tot compromissen.

De zaak over het Groene Hart Ziekenhuis kwam aan het rollen door een nieuwsbericht in 2012 over hun slechte beveiliging. Het CBP heeft vervolgens onderzoek gedaan. Dat onderzoek is nu afgerond (pdf): de beveiliging van het ziekenhuis liet inderdaad te wensen over.

Ten eerste draaiden medische systemen die met het netwerk verbonden waren op 'end-of-life' besturingssystemen, zoals Windows 2000 en Windows XP. Ten tweede waren alle systemen aan hetzelfde netwerk verbonden: de computer van de receptie kon de MRI-scanner 'zien', en veel van die apparaten waren ook weer met het internet verbonden. Van sommige medische systemen wist het ziekenhuis niet op welk besturingssysteem ze draaiden, en uit het rapport blijkt zelfs dat het gebruik van een scanner om kwetsbare software in kaart te brengen, bij sommige systemen tot uitval zou kunnen leiden.

Het CBP is van oordeel dat het gebruik van ‘end-of-life’ systemen een ernstig beveiligingsrisico vormt en in strijd is met de Wbp. Het probleem is dat die systemen niet geüpdatet worden, en dat ze ook niet meer door de fabrikant op kwetsbaarheden worden onderzocht, zodat de systemen mogelijk onbekende kwetsbaarheden bevatten.

Ook het gebrek aan netwerksegmentering is in strijd met de Wbp. Als één systeem wordt gehackt heeft een aanvaller direct toegang tot het hele interne netwerk, inclusief alle medische apparaten die aan dat netwerk hangen. Nu veel van die systemen niet meer bijgewerkt worden, is de kans dát een systeem wordt gehackt groot. De plicht tot netwerksegmentering volgt overigens ook uit de sectorspecifieke beveiligingsstandaard NEN 7510 waaruit het CBP citeert.

Het ziekenhuis gaf echter aan dat het ook een risico was om de systemen bij te werken. Sommige systemen werden gebruikt bij langlopende onderzoeken, en een recalibratie van de systemen zou ertoe leiden dat uitslagen niet meer bruikbaar zijn. Sommige systemen zouden kunnen stoppen met werken, wat een risico voor de patiënt is. En sommige systemen kon ze bovendien niet bijwerken, omdat de software door de leverancier is ontwikkeld en door de leverancier werd bijgehouden.

Het CBP gaat akkoord met een oplossing waarbij deze legacy-systemen in een apart netwerksegment worden geplaatst: het quarantaine netwerk. Zolang het ziekenhuis dat niet heeft gedaan, handelt ze in strijd met de beveiligingsplicht uit de Wbp. Daaruit kan je opmaken dat het CBP bereid lijkt tijdelijk een onveilige situatie te accepteren als daar bedrijfskritische processen van afhangen, als wel op korte termijn naar een veiliger situatie wordt toegewerkt.

Ot van Daalen is advocaat en oprichter van advocatenkantoor Digital Defence dat is gespecialiseerd in security- en privacyrecht. Daarvoor was hij oprichter en directeur van de digitale burgerrechtenbeweging Bits of Freedom. Hij werkt ook als onderzoeker privacy- en securityrecht bij het Instituut voor Informatierecht aan de Universiteit van Amsterdam.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (3)
23-12-2014, 15:19 door Anoniem
In feite is het niks anders dan SCADA systemen die ook als legacy vaak slecht te beveiligingen zijn. Segmenteren en zover als mogelijk isoleren, versterken monitoring.
23-12-2014, 15:59 door Anoniem
tsja, maar zou je die klus over willen laten aan de faalhazen die dat open netwerk daar al die tijd hebben laten bestaan?

Voor een grote zuidelijke productie apotheek hebben we dat prima opgelost:
Elk apparaat in een eigen Vlan, waarbij alle noodzakelijke verkeer door de router/firewall gaat en daarmee in ieder geval gelogd is, en ongewoon verkeer geblokt en gevlagd wordt.
elke aanpassing/oplevering vergezeld van een risico-analyse voor C,I en A van zowel de te plaatsen zaken, als de reeds aanwezige zaken.
Systemen die internet nodig hebben om door de leverancier te worden gemonitord/geupdate? eigen vlan. Alle kantoorautomatisering? remote-office. Printers? VPN naar de remote office omgeving.

all it takes is een netwerkbeheerder die het een beetje snapt en het risico durft te nemen om een slechte situatie aan te passen.

ze mogen me bellen bij dat Groene hart, ik ben te vinden op Monsterboard en collega sites onder Netwerkbeheerder met een salaris boven de 2000,-
05-01-2015, 14:06 door Anoniem
Inderdaad, ringfencing toepassen. Dat houdt in: Het kwetsbare system achter een "digitale wasstraat" (firewall + ids + ips, etc) plaatsen in een apart netwerksegment. Dat geldt ook voor de eventuele aparte managementinterface van het betreffende systeem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.