image

ENISA: Ziekenhuizen kwetsbaar door Internet of Things

zaterdag 26 november 2016, 07:06 door Redactie, 4 reacties

Door de uitrol van Internet of Things-apparaten en andere slimme oplossingen die op elkaar of op internet zijn aangesloten worden ziekenhuizen nog kwetsbaarder voor cyberaanvallen, zo waarschuwt het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) in een nieuw rapport (pdf).

"Het Internet of Things is een revolutie in de ict-wereld. Apparaten, systeemonderdelen en netwerken worden autonoom, zijn overal aanwezig en altijd verbonden. Wanneer deze technologische ontwikkeling op de zorgsector wordt toegepast, één van de meest kritieke sectoren, zijn de resultaten opmerkelijk", zo laat ENISA weten. "Met internet verbonden medische apparaten transformeren de manier waarop de gezondheidszorgindustrie werkt, zowel binnen ziekenhuizen als tussen de verschillende partijen in de gezondheidszorgindustrie."

Het toevoegen van Internet of Things-apparaten aan ziekenhuisnetwerken of het uitrollen van slimme apparaten die met internet verbonden zijn brengen ook risico's met zich mee. Het gaat dan om risico's voor de patiëntveiligheid of verlies van persoonlijke gezondheidsinformatie. Dit hoeft niet altijd het werk van kwaadwillenden te zijn, maar kan ook door menselijke fouten worden veroorzaakt, systeemdefecten of natuurrampen. "Nu het aanvalsoppervlak toeneemt door de introductie van met internet verbonden apparaten, groeit het aanvalspotentieel exponentieel", aldus ENISA. Volgens de instantie zullen ziekenhuizen dan ook het volgende doelwit voor cyberaanvallen worden. "Het groeiende aantal gevallen van ransomware en ddos-aanvallen zijn slechts een voorbode van wat komen gaat."

Om de beveiliging aan te scherpen doet ENISA verschillende aanbevelingen in het rapport. Zo moeten zorginstellingen specifieke veiligheidseisen aan IoT-apparaten stellen en alleen de modernste beveiligingsmaatregelen implementeren. Verder moeten slimme ziekenhuizen de apparaten in hun netwerken identificeren en hoe die verbonden zijn, al dan niet met internet. Op basis hiervan moeten er specifieke beveiligingsmaatregelen worden getroffen. Als laatste richt ENISA zich op fabrikanten. Die moeten beveiligingsmaatregelen aan hun apparatuur toevoegen en zorginstellingen al vanaf het begin bij de ontwikkeling van systemen en diensten betrekken.

Image

Reacties (4)
26-11-2016, 09:29 door karma4
Uit de PDF genoemd in het artikel "smart hospitals" de volgende tekst: "The ISO/IEC 2700x series of standards, which deals with information security management, is relevant for smart hospitals as well as for all types and sizes of organisations."

Prima "5 Security good practices" Nee, juist geen "best practices" dat zijn dooddoeners om zelf niet na te denken. Met good practices PDCA moet je aan continue verbetering werken. Dat is ook in ITIL zo al kan je met ITIL zien dat er met dat standaard framework flink wat gemist wordt.

Heb je de vraag weer waarom je het niet gewoon goed doet (NEN7510)"
- omdat zoiets te moeilijk is?
- omdat het niet sexy is?
- het kost geld en is niet zichtbaar?
26-11-2016, 11:46 door Anoniem
Dat gaat een heel probleem worden. Naast alle zorgen (!) op het gebied van ransomware dit er ook nog eens bij.

Daarbij is het grote probleem dat veel ICT medewerkers in (semi-) overheidsinstellingen geen enkele goede basis hebben op ICT gebied, laat staan op securitygebied.

Oorzaak is dat bij vele van dergelijke instanties medewerkers van andere afdelingen, die wel eens wat met PC's hebben gespeeld, uiteindelijk omhoog gepromoveerd werden naar de afdeling ICT (of soortgelijk).

Heb ik meegemaakt bij gemeenten (medewerker burgerzaken of financien wordt systeembeheerder) en het zou me niets verbazen als het in ziekenhuizen ook zo toegaat: verpleegkundige die handig is met computers wordt (uiteindelijk) hoofd ICT...
26-11-2016, 18:40 door Anoniem
Consumenten IoT is niet geschikt voor dit soort toepassingen! Ook over de industriele versie heb ik zo mijn twijffels ......

Er zijn enkele uitzonderingen maar zolang er geen afdoende wetgeving bestaat mbt strenge beveiliging, updates vs levensduur en aansprakelijkheid moet je voorzichtig zijn met gebruik.

In een IoT cursus hadden we een discussie over een IoT idee: een sok met daarin hartslag en zuurstof meter voor kleine (neo-nat) kinderen. De stelling was dat zo'n sok geen beveiliging nodig heeft, immers je kan er geen misbruik van maken.
Stel dat deze sok aanslaat en wordt gebruikt in 100-en ziekenhuizen, allemaal verbonden met internet. Dan heb je maar één ziek figuur nodig die een manier verzient om al deze sokjes te "gijzelen'.
De reactie was dat de kans dat dit gebeurt klein is, dat wil niet zeggen dat het niet kan gebeuren.

Vervang "sok" met "pacemaker" of "glucose meter"
28-11-2016, 13:02 door Anoniem
IT, publieke sector en funds... In die hoek zal de reden gezocht moeten worden dat dit advies überhaupt nodig is en niet vanzelfsprekend-genoeg is...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.