ENISA: Ziekenhuizen kwetsbaar door Internet of Things
Door de uitrol van Internet of Things-apparaten en andere slimme oplossingen die op elkaar of op internet zijn aangesloten worden ziekenhuizen nog kwetsbaarder voor cyberaanvallen, zo waarschuwt het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) in een nieuw rapport (pdf).
"Het Internet of Things is een revolutie in de ict-wereld. Apparaten, systeemonderdelen en netwerken worden autonoom, zijn overal aanwezig en altijd verbonden. Wanneer deze technologische ontwikkeling op de zorgsector wordt toegepast, één van de meest kritieke sectoren, zijn de resultaten opmerkelijk", zo laat ENISA weten. "Met internet verbonden medische apparaten transformeren de manier waarop de gezondheidszorgindustrie werkt, zowel binnen ziekenhuizen als tussen de verschillende partijen in de gezondheidszorgindustrie."
Het toevoegen van Internet of Things-apparaten aan ziekenhuisnetwerken of het uitrollen van slimme apparaten die met internet verbonden zijn brengen ook risico's met zich mee. Het gaat dan om risico's voor de patiëntveiligheid of verlies van persoonlijke gezondheidsinformatie. Dit hoeft niet altijd het werk van kwaadwillenden te zijn, maar kan ook door menselijke fouten worden veroorzaakt, systeemdefecten of natuurrampen. "Nu het aanvalsoppervlak toeneemt door de introductie van met internet verbonden apparaten, groeit het aanvalspotentieel exponentieel", aldus ENISA. Volgens de instantie zullen ziekenhuizen dan ook het volgende doelwit voor cyberaanvallen worden. "Het groeiende aantal gevallen van ransomware en ddos-aanvallen zijn slechts een voorbode van wat komen gaat."
Om de beveiliging aan te scherpen doet ENISA verschillende aanbevelingen in het rapport. Zo moeten zorginstellingen specifieke veiligheidseisen aan IoT-apparaten stellen en alleen de modernste beveiligingsmaatregelen implementeren. Verder moeten slimme ziekenhuizen de apparaten in hun netwerken identificeren en hoe die verbonden zijn, al dan niet met internet. Op basis hiervan moeten er specifieke beveiligingsmaatregelen worden getroffen. Als laatste richt ENISA zich op fabrikanten. Die moeten beveiligingsmaatregelen aan hun apparatuur toevoegen en zorginstellingen al vanaf het begin bij de ontwikkeling van systemen en diensten betrekken.
Prima "5 Security good practices" Nee, juist geen "best practices" dat zijn dooddoeners om zelf niet na te denken. Met good practices PDCA moet je aan continue verbetering werken. Dat is ook in ITIL zo al kan je met ITIL zien dat er met dat standaard framework flink wat gemist wordt.
Heb je de vraag weer waarom je het niet gewoon goed doet (NEN7510)"
- omdat zoiets te moeilijk is?
- omdat het niet sexy is?
- het kost geld en is niet zichtbaar?
Daarbij is het grote probleem dat veel ICT medewerkers in (semi-) overheidsinstellingen geen enkele goede basis hebben op ICT gebied, laat staan op securitygebied.
Oorzaak is dat bij vele van dergelijke instanties medewerkers van andere afdelingen, die wel eens wat met PC's hebben gespeeld, uiteindelijk omhoog gepromoveerd werden naar de afdeling ICT (of soortgelijk).
Heb ik meegemaakt bij gemeenten (medewerker burgerzaken of financien wordt systeembeheerder) en het zou me niets verbazen als het in ziekenhuizen ook zo toegaat: verpleegkundige die handig is met computers wordt (uiteindelijk) hoofd ICT...
Er zijn enkele uitzonderingen maar zolang er geen afdoende wetgeving bestaat mbt strenge beveiliging, updates vs levensduur en aansprakelijkheid moet je voorzichtig zijn met gebruik.
In een IoT cursus hadden we een discussie over een IoT idee: een sok met daarin hartslag en zuurstof meter voor kleine (neo-nat) kinderen. De stelling was dat zo'n sok geen beveiliging nodig heeft, immers je kan er geen misbruik van maken.
Stel dat deze sok aanslaat en wordt gebruikt in 100-en ziekenhuizen, allemaal verbonden met internet. Dan heb je maar één ziek figuur nodig die een manier verzient om al deze sokjes te "gijzelen'.
De reactie was dat de kans dat dit gebeurt klein is, dat wil niet zeggen dat het niet kan gebeuren.
Vervang "sok" met "pacemaker" of "glucose meter"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
