Medische apparatuur ziekenhuizen soms besmet met malware
De medische apparatuur in Nederlandse ziekenhuizen is weleens besmet met malware. Dat blijkt uit onderzoek dat Deloitte onder zeventien ziekenhuizen uitvoerde. Van de geïnterviewde ziekenhuizen gaven er tien aan dat ze weleens te maken hebben gehad met malware op hun medische apparatuur.
Bij zeven ziekenhuizen zou dit nooit zijn gebeurd. "Het risico van computervirussen is groot. Aan de ene kant kan de integriteit en de werking van het medische apparaat niet meer worden gegarandeerd als het besmet is met een computervirus. Daarnaast zorgen sommige virussen voor performanceproblemen. Hierdoor komt de beschikbaarheid van het apparaat in gevaar", aldus de onderzoekers in een rapport.
Een virusscanner op een medisch apparaat is volgens de onderzoekers niet altijd de oplossing, omdat niet alle apparatuur dit ondersteunt en ziekenhuizen niet altijd bevoegd zijn om software te installeren op door hen aangeschafte apparatuur. Naast netwerksegmentatie zouden Intrusion Detection Systemen (IDS) en Security Information and Event Management (SIEM) systemen een oplossing kunnen bieden. "Hiermee kan apparatuur op dezelfde manier worden gebruikt als nu, maar is deze wel weerbaarder tegen besmettingen door malware."
Tegenover de Volkskrant stelt onderzoeker Jeroen Slobbe dat het in de meeste gevallen om "oeps-besmettingen" gaat. "Een bestaand virus dat bijvoorbeeld via een USB-stick wordt overgebracht." Er zijn tijdens het onderzoek geen aanwijzingen gevonden dat het bij de infecties om gerichte acties door criminele of terroristische organisaties ging, bijvoorbeeld om ziekenhuizen af te persen.
Reacties (12)
08-04-2015, 11:03 door
TheKeymaker
Het verbaasd me niet. Leveranciers van medische apparatuur zijn aartsconservatief. Installatie van virusscanners is meestal niet toegestaan en als er al een virusscanner op mag, mag de on-access scanning niet actief zijn. Patchen van dit soort systemen is ook zelden toegestaan. Besmetting met allerlei ellende is dan een logisch gevolg.
Door TheKeymaker: Leveranciers van medische apparatuur zijn aartsconservatief.
De vraag rijst waarom medische apparatuur op Windows wordt geschreven en niet op een real-time os zoals RTOS.
Niet alleen aartsconservatief maar ook oerdom en gemakzuchtig.
Door Anoniem: Niet alleen aartsconservatief maar ook oerdom en gemakzuchtig.
Mogelijk gebruiken ze ook jouw RTOS. Probleem ligt niet bij Windows maar bij falend management.De houding: Security en risk-analyse zijn duur, brengen niets op, mag je niets aan doen. Kosten zo laag mogelijk met de hoogste winsten op de korte termijn (financieel bedrijfsdoel).
Verandering moet opgelegd worden via richtlijnen en controles. Dit is een start.
http://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm416809.htm
Maar deze is voor de achtergrond veel beter. Er staat iets over misconceptie IT/medicals. Voel je je aangesproken? :
https://c.ymcdn.com/sites/www.issa.org/resource/resmgr/JournalPDFs/feature0514.pdf
Quote: Event Management (SIEM) systemen een oplossing kunnen bieden. "Hiermee kan apparatuur op dezelfde manier worden gebruikt als nu, maar is deze wel weerbaarder tegen besmettingen door malware."ENDQUOTE
Weer wat geleerd; een SIEM maakt apparatuur weerbaarder..................wat een onzin!
Misschien een lesje APT nemen?
Weer wat geleerd; een SIEM maakt apparatuur weerbaarder..................wat een onzin!
Misschien een lesje APT nemen?
Laatst nog gezien bij klanten. Een medische scanner van 2 miljoen wat vrolijk op windows xp embedded draait welke sinds 2006 niet meer geupdate is.
vraag je de afdeling is het enige wat ze zeggen "dit is de leverancier en dat is waar die mee geleverd wordt".
Laat die leverancier nu ook een klant zijn en daar is het antwoord "op dit systeem bouwen we sinds 2007 deze systemen. Omdat het werkte en we toen voor windows gekozen hebben, achteraf gezien was linux beter geweest maar toen was het nog windows wat de klok sloeg"...
En of er nog aan updates gedacht werd, ook voor een microscoop van 1.5 miljoen was het antwoord "nee. Dit werkt en niemand durft er nog aan te komen, want als het fout gaat (updaten van xp emb of migreren naar linux) dan kost het je kop.
vraag je de afdeling is het enige wat ze zeggen "dit is de leverancier en dat is waar die mee geleverd wordt".
Laat die leverancier nu ook een klant zijn en daar is het antwoord "op dit systeem bouwen we sinds 2007 deze systemen. Omdat het werkte en we toen voor windows gekozen hebben, achteraf gezien was linux beter geweest maar toen was het nog windows wat de klok sloeg"...
En of er nog aan updates gedacht werd, ook voor een microscoop van 1.5 miljoen was het antwoord "nee. Dit werkt en niemand durft er nog aan te komen, want als het fout gaat (updaten van xp emb of migreren naar linux) dan kost het je kop.
Door Anoniem: Misschien een lesje APT nemen?
ok... https://www.ncsc.nl/dienstverlening/expertise-advies/factsheets/factsheet-de-aanhouder-wint-advanced-persistent-threats.html (even doorklikken naar de pdf) Snelle detectie, netwerk- en informatiesegmentatie geeft de organisatie de mogelijkheden om schade te beperken en (tegen)maatregelen te nemen tijdens de aanval. SIEM staat voor de detectie http://en.wikipedia.org/wiki/Security_information_and_event_management
1/ Nu ben ik benieuwd wat er mis is aan beleidstuk van het NCSC.
2/ Het gemaakte rapport (link artikel) is ook interessant. 4 Van de geninterviewde ziekenhuizen (25% totaal is dus 16) heeft een expliciet informatiebeveilingsbeleid voor medische apparatuur, ergo 12 van de 16 niet.
Mis ik iets of mist er in het beleid en de controle daarop iets?
08-04-2015, 19:56 door
[Account Verwijderd]
[Verwijderd]
Denk niet dat de oplossing is om nog meer dure en ingewikkelde systemen (APT, SIEM, enz) om systemen heen te bouwen waarvan al in de kleine lettertjes staat dat die niet geschikt zijn binnen de nucleaire, medische, enz werkterreinen.
EULA al gelezen?
Dat is immers te vergelijken met het op achteraf basis security gaan "inbouwen" in een systeem wat al helemaal ontwikkeld, geproduceerd en in gebruik genomen is. Kost veel meer, en is niet half zo effectief, dan als je dat gelijk meegenomen had in het ontwerp.
Kortom, pas als je de aanschaf van dat soort dingen een bestuurlijke doodzonde maakt qua inkoopbeleid alleen al, ga je kans maken het over een jaartje of 10 goed geregeld te hebben. Heb je alleen wel het probleem dat de gemiddelde eindverantwoordelijke niet geïnteresseerd is in zaken die over een jaar of 2 pas iemand de kop kunnen gaan kosten. Vooral als het niet hun eigen kop betreft.
Maar goed, liever (veel) geld pompen in iets wolligs als een stoffig rapport dat vooral "nog meer" predikt, dan de dingen bij de bron aanpakken. Toch?
Wij van WC-Eend....
EULA al gelezen?
Dat is immers te vergelijken met het op achteraf basis security gaan "inbouwen" in een systeem wat al helemaal ontwikkeld, geproduceerd en in gebruik genomen is. Kost veel meer, en is niet half zo effectief, dan als je dat gelijk meegenomen had in het ontwerp.
Kortom, pas als je de aanschaf van dat soort dingen een bestuurlijke doodzonde maakt qua inkoopbeleid alleen al, ga je kans maken het over een jaartje of 10 goed geregeld te hebben. Heb je alleen wel het probleem dat de gemiddelde eindverantwoordelijke niet geïnteresseerd is in zaken die over een jaar of 2 pas iemand de kop kunnen gaan kosten. Vooral als het niet hun eigen kop betreft.
Maar goed, liever (veel) geld pompen in iets wolligs als een stoffig rapport dat vooral "nog meer" predikt, dan de dingen bij de bron aanpakken. Toch?
Wij van WC-Eend....
Door Anoniem: a/ Denk niet dat de oplossing is om nog meer dure en ingewikkelde systemen (APT, SIEM, enz) ..
b/ EULA al gelezen? ....
c/ Kortom, pas als je de aanschaf van dat soort dingen een bestuurlijke doodzonde maakt qua inkoopbeleid alleen al, ga je kans maken het over een jaartje of 10 goed geregeld te hebben. ...
d/ Wij van WC-Eend....
b/ EULA al gelezen? ....
c/ Kortom, pas als je de aanschaf van dat soort dingen een bestuurlijke doodzonde maakt qua inkoopbeleid alleen al, ga je kans maken het over een jaartje of 10 goed geregeld te hebben. ...
d/ Wij van WC-Eend....
a/ APT en SIEM hoeven niet duur als je het van begin af in je beleid mee neemt (bestuurlijk gedragen)
b/ EULA Als je de link naar FDA volgt etc. dan zie je dat het allemaal veel genunceerder ligt.
Juist deze afhoudende reactie is een van de te obstakels die je moet opruimen (wordt letterlijk genoemd).
c/ Inderdaad het is in eerste instantie een bestuurlijke vernantwoordelijkheid
Hoe spreek je die aan? Als je wat beters dan een rapport hebt meld het.
Bedenk dat een ICT-er niets heft in te brengen. In hun belevingswereld zijn ze onbegrijpelijk en het werk kan ook wel door een 6 jarige gedaan worden. (Zie b.v. kamerdebat)
d/ Welke WC-eenden bedoel je, die van dat bestuur of die ICT-ers?
Door Anoniem:
a/ APT en SIEM hoeven niet duur als je het van begin af in je beleid mee neemt (bestuurlijk gedragen)
b/ EULA Als je de link naar FDA volgt etc. dan zie je dat het allemaal veel genunceerder ligt.
Juist deze afhoudende reactie is een van de te obstakels die je moet opruimen (wordt letterlijk genoemd).
c/ Inderdaad het is in eerste instantie een bestuurlijke vernantwoordelijkheid
Hoe spreek je die aan? Als je wat beters dan een rapport hebt meld het.
Bedenk dat een ICT-er niets heft in te brengen. In hun belevingswereld zijn ze onbegrijpelijk en het werk kan ook wel door een 6 jarige gedaan worden. (Zie b.v. kamerdebat)
d/ Welke WC-eenden bedoel je, die van dat bestuur of die ICT-ers?
a/ APT en SIEM hoeven niet duur als je het van begin af in je beleid mee neemt (bestuurlijk gedragen)
b/ EULA Als je de link naar FDA volgt etc. dan zie je dat het allemaal veel genunceerder ligt.
Juist deze afhoudende reactie is een van de te obstakels die je moet opruimen (wordt letterlijk genoemd).
c/ Inderdaad het is in eerste instantie een bestuurlijke vernantwoordelijkheid
Hoe spreek je die aan? Als je wat beters dan een rapport hebt meld het.
Bedenk dat een ICT-er niets heft in te brengen. In hun belevingswereld zijn ze onbegrijpelijk en het werk kan ook wel door een 6 jarige gedaan worden. (Zie b.v. kamerdebat)
d/ Welke WC-eenden bedoel je, die van dat bestuur of die ICT-ers?
a/ Precies. Als je het vanaf het begin meeneemt in je beleid. Als nog versterkender van iets dat in de basis al goed zit. Niet als achterafgedachte van de spreekwoordelijke vinger in de dijk.
b/ Maar wordt niet gedaan. Het wordt allemaal voor lief aangenomen. En succes met de legal war machine van Microsoft bevechten als het zover komt. Herinnert u zich die patch nog waarvan de EULA Microsoft in feite toestemming gaf ongevraagd op je computers "in te breken" en "naar hartenlust te grasduinen"? Is er überhaupt iemand die naar het totaal van al die op elkaar gestapelde EULAs kijkt en zich er druk over maakt? Alsof die EULAs volstrekte en totale onzin zouden zijn? Daar heeft het alle schijn van, maar die dingen worden niet voor niets gemaakt.
c/ Met hoofdelijke aansprakelijkheid vanuit de wetgeving. En actieve toetsing daarop. Met navolging indien nodig.
d/ Deloitte heeft kennelijk experts geconsulteerd die datgene geadviseerd hebben dat in hun straatje/broodwinning past.
Wat de oplossing ook is... niet de huidige gang van zaken. Het belangrijkste belang lijkt het individuele commerciële belang van de diverse betrokkenen. Gestapelde commerciële belangen zonder echte verantwoordelijkheid en aansprakelijkheid. Nooit een goed idee.
Dus dan maar gechargeerd figuurlijk tegen gevoelige schenen schoppen en kijken wie er hoe wakker wordt.
Door Anoniem:
Wat de oplossing ook is... niet de huidige gang van zaken. Het belangrijkste belang lijkt het individuele commerciële belang van de diverse betrokkenen. Gestapelde commerciële belangen zonder echte verantwoordelijkheid en aansprakelijkheid. Nooit een goed idee.
Dus dan maar gechargeerd figuurlijk tegen gevoelige schenen schoppen en kijken wie er hoe wakker wordt.
Wat de oplossing ook is... niet de huidige gang van zaken. Het belangrijkste belang lijkt het individuele commerciële belang van de diverse betrokkenen. Gestapelde commerciële belangen zonder echte verantwoordelijkheid en aansprakelijkheid. Nooit een goed idee.
Dus dan maar gechargeerd figuurlijk tegen gevoelige schenen schoppen en kijken wie er hoe wakker wordt.
We zijn het in de grote lijnen eens, dat is mooi.
Kleine details, De eula is meer voor de consumenten lijn. Gelukkig hebben wij nog consumentenrecht dat voorgaat. Dat bestaat niet in de VS, mag je naar de rechter. Laten we hopen dat het hier niet die kant op gaat. Voor bedrijven geld dat niet daar wordt verwacht dat je dat kan regelen. Advocaat in huis en bij de onderhandelingen meenemen. Het is een cultuur http://www.rvo.nl/onderwerpen/internationaal-ondernemen/landenoverzicht/duitsland/markttoegang/dos-and-donts
Hoofdelijke aansprakelijkheid prima, volgens mij is dat al zo, zeker bij aantoonbaar mismanagement. De controles daarop, tja er zijn allerelei controlerende instanties opgetuigd (NZA IGZ RIVM) in de praktijk lijken ze meer de doofpot cultuur the faciliteren. Dit is gesteund door de politiek. Minister Schippers maakt zich duidelijk meer druk om andere zaken.
Deloitte die van dat rapport. Je hebt hem hun belang is natuurlijk meer rapporten opleveren en mogeljik controles uitvoeren (het eigen belang). Het is misschien een scheen, Die anderen die het zouden moeten doen verzaken zo te zien.
http://nieuws-uitgelicht.infonu.nl/mens-en-gezondheid/153632-lijm-in-injectienaalden-van-terumo-veilig-of-onveilig.html
Altijd mooi om het in grote lijnen eens te zijn.
Consumentenrecht. Voor zover er (nog) geen internationale verdragen zijn die als zwaarwegender worden geacht.
Ook al neemt de regering een motie aan.
Hoofdelijk aansprakelijkheid. Dus de bewoordingen zijn er, maar het ontbreekt aan daadkracht. Wie o wie tikt een minister op de vingers als die, feitelijk, met plichtsverzuim bezig is? Niet op papier, maar in de werkelijke werkelijkheid. Antwoord: broekzak, vestzak.
"onafhankelijke" rapportages. Ja, vaak "ons kent ons" en "oude jongens, krentenbrood".
Zal wel "nooit de hand bijten die je voedt" zijn. Ook al gaat dat eigenbelang anderen, de maatschappij, een veelvoud meer kosten. Wie beschermt de maatschappij (als geheel)? Niet de personen wiens (latere) broodwinning het betreft. Dus wie hou je dan over? Broekzak, vestzak?
Een dergelijk "zelfcorrigerend" systeem wordt ook wel omschreven als een draaikolk. Een toenemende kracht die je dieper onder water trekt. Het beste wat je daar tegen kunt doen is uit de buurt van zo'n kracht blijven. En mocht het zich voordoen op vitale punten, dan die vitale punten verleggen naar draaikolkvrije zones.
Consumentenrecht. Voor zover er (nog) geen internationale verdragen zijn die als zwaarwegender worden geacht.
Ook al neemt de regering een motie aan.
Hoofdelijk aansprakelijkheid. Dus de bewoordingen zijn er, maar het ontbreekt aan daadkracht. Wie o wie tikt een minister op de vingers als die, feitelijk, met plichtsverzuim bezig is? Niet op papier, maar in de werkelijke werkelijkheid. Antwoord: broekzak, vestzak.
"onafhankelijke" rapportages. Ja, vaak "ons kent ons" en "oude jongens, krentenbrood".
Zal wel "nooit de hand bijten die je voedt" zijn. Ook al gaat dat eigenbelang anderen, de maatschappij, een veelvoud meer kosten. Wie beschermt de maatschappij (als geheel)? Niet de personen wiens (latere) broodwinning het betreft. Dus wie hou je dan over? Broekzak, vestzak?
Een dergelijk "zelfcorrigerend" systeem wordt ook wel omschreven als een draaikolk. Een toenemende kracht die je dieper onder water trekt. Het beste wat je daar tegen kunt doen is uit de buurt van zo'n kracht blijven. En mocht het zich voordoen op vitale punten, dan die vitale punten verleggen naar draaikolkvrije zones.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
