Onderzoek: CT-scanners kwetsbaar voor cyberaanvallen
CT-scanners zijn kwetsbaar voor cyberaanvallen waardoor het mogelijk is voor aanvallers om de stralingsdosis te verhogen en patiënten zo lichamelijke schade toe te brengen die dodelijk kan zijn, zo waarschuwen onderzoekers van de Ben-Gurion Universiteit in een nieuw onderzoek (pdf).
De onderzoekers keken voor hun onderzoek naar de kwetsbaarheid van medische scanners, zoals CT- en MRI-scanners. Dergelijke machines ontvangen vaak geen beveiligingsupdates. Een aanvaller kan zodoende de computer compromitteren die de CT-scanner aanstuurt en zo de stralingsdosis verhogen, de scanresultaten manipuleren, een denial of service veroorzaken of ze helemaal uitschakelen. "Medische scanners zijn steeds vaker verbonden met ziekenhuisnetwerken, wat ze kwetsbaar voor geraffineerde cyberaanvallen maakt die het kunnen hebben voorzien op de infrastructuur van het apparaat en de gezondheid van de patiënt in levensgevaar kunnen brengen", aldus de onderzoekers. "CT- en MRI-systemen zijn niet goed ontworpen om aanvallen tegen te gaan", voegt hoofdonderzoeker Nir Nissim toe.
De onderzoekers keken naar verschillende soorten kwetsbaarheden en aanvallen gericht op medische scanners, medische informatiesystemen en medische protocollen en standaarden. Ze troffen in veel van de systemen kwetsbaarheden aan, maar ontdekten dat CT-scanners het grootste risico op cyberaanvallen lopen door hun centrale rol in de acute zorg. Aan de hand van gesimuleerde cyberaanvallen werden vier gevaarlijke scenario's vastgesteld, zoals het ontregelen van de scanner wat gevolgen voor het apparaat en de patiënt kan hebben, het versleutelen van patiëntbestanden door ransomware, het manipuleren van de scanresultaten en het aanpassen van de scanconfiguratiebestanden.
"In gevallen waar zelfs een kleine vertraging dodelijk kan zijn, of waar een gevaarlijke tumor is verwijderd of abusievelijk aan een afbeelding is toegevoegd, kan een cyberaanval dodelijk zijn", zegt onderzoeker Tom Mahler. Door strenge regelgeving zou het lastig zijn om medische computers te updaten. "En alleen het installeren van anti-virus is onvoldoende om cyberaanvallen te voorkomen", merkt Mahler op. De onderzoekers werken nu aan nieuwe technieken om CT-scanners te beveiligen.
Die apparaten moet je ook geisoleerd in een netwerk plaatsen en niet aan in internet hangen.
Ben Gurion heeft kennelijk genoeg kapitaal om dure machines onbruikbaar te maken of het waren afdankertjes.
Eens kijken...
"We conducted a comprehensive risk analysis survey at the Malware-Lab1, based on the Confidentiality, Integrity, and Availability (CIA) model, in collaboration with our country's largest health maintenance organization, to define the characteristics of cyberattacks on MIDs."
Het is een verkennend virtueel onderzoek over wat zou kunnen en wat mogelijk zou kunnen zijn.
Als dat waar is dan ... Tja moet professor zijn voor dat soort bewijsvoering.
De windows verslaving van de iters die menig ziekenhuis in de ban hebben is vermoedelijk een veel groter probleem.
De rekensom is immers heel simpel, voor dat platform bestaat verreweg het meeste malware waardoor ervan af stappen een verhoging van de veiligheid een toename van 10 tot 100.000 maal zou kunnen zijn.
Inflexibiliteit bij it vastgeroeste kennis en dan maar kiezen voor het welbekende windows heeft haar prijs.
Nu nog wachten op een onderzoek onder alle ziekenhuizen en kijken of het eindelijk ook gewoon hardop bevestigd kan worden.
Windows 98/2000/xp/vista ziekenhuizen hebben een zwakkere defense omdat het nou eenmaal onder andere veel meer en veel eenvoudiger is aan te vallen door de overweldigende hoeveelheid beschikbare malware die men kan gebruiken.
Grote kans dat een onderzoek dat zou bewijzen.
Met security by obscurity is niets mis, als extra laag in je defence.
Verstorend zijn die os verslaafden haters/lovers dien hun eigen feestje willen zonder benul van wat er speelt of nodig is.
Dan is de mogelijkheid van een gehackte apparaat bijzaak. Zelfs met een Trump Putin verhouding. Als je in staat bent gericht iemand om te brengen die aan het doodgaan is dan heb je andere betere manieren en veel eerder te doen.
Vermoedelijk is Putin er een meester in Trump niet gezien hun achtergrond. Trump moet zich eerder zorgen maken wat de toestand van Putin ook is. Vergeet niet Putin was geheim agent.
Als acute zorg nodig is met een CT scan is dat vaak pijnverlichting in de laatste eindfase van het leven.
Verstorend zijn die os verslaafden haters/lovers dien hun eigen feestje willen zonder benul van wat er speelt of nodig is.
En al zouden ITers er wel over gaan, het is maar de vraag of er in het kleine aantal fabrikanten ééntje is die er qua IT security wel uitspringt - de ontwerp parameters zijn voor alle fabrikanten hetzelfde , en het validatie/certificatie traject ook .
Dat staan gewoon haaks op 'snel patchen' , laat staan het 'dynamisch aanpassen van computer gedrag door virus scanners die databases downloaden'.
Hoe kom je er nou weer bij dat juist daar (nog) een CT scan bij nodig is ?
*Acute* zorg met CT scan is vooral als je uit de ambu komt met een kraag om je nek, en ze zsm willen kijken wat er binnen kapot is.
Minder acuut is als de scan gewoon gepland wordt als onderdeel van het stellen van de diagnose (of effect van de behandeling, of bij het plannen van een ingreep ).
Ik betwijfel nogal of een scan nog enige zin heeft (en gedaan wordt) als je in de palliatieve fase zit - dat is gewoon de morfinekraan z'n werk laten doen - in die fase is de diagnose duidelijk en de prognose ook.
Dan is de mogelijkheid van een gehackte apparaat bijzaak. Zelfs met een Trump Putin verhouding. Als je in staat bent gericht iemand om te brengen die aan het doodgaan is dan heb je andere betere manieren en veel eerder te doen.
En je hebt er weinig rendement van - een persoon in die fase is al geen beslisser meer .
Vermoedelijk is Putin er een meester in Trump niet gezien hun achtergrond. Trump moet zich eerder zorgen maken wat de toestand van Putin ook is. Vergeet niet Putin was geheim agent.
Poetin's rol is nu strategisch en niet meer operationeel. Gezien z'n achtergrond zal hij wat beter bekend zijn met de mogelijkheden (en beperkingen) van wat een geheime dienst kan doen.
Maar het feitelijke werk zal hij (moeten) delegeren - baas zijn is ook een drukke bezigheid. Bill Gates programmeerde ook niet meer zelf toen Microsoft wat groter werd.
...
Hoe kom je er nou weer bij dat juist daar (nog) een CT scan bij nodig is ?
*Acute* zorg met CT scan is vooral als je uit de ambu komt met een kraag om je nek, en ze zsm willen kijken wat er binnen kapot is.
Minder acuut is als de scan gewoon gepland wordt als onderdeel van het stellen van de diagnose (of effect van de behandeling, of bij het plannen van een ingreep ).
Ik betwijfel nogal of een scan nog enige zin heeft (en gedaan wordt) als je in de palliatieve fase zit - dat is gewoon de morfinekraan z'n werk laten doen - in die fase is de diagnose duidelijk en de prognose ook.
...
De toepassing meegemaakt in naaste omgeving. Bestraling kanker in pallatieve zorg.
Bij gewoon diagnostiek is al die vernietigende kracht niet nodig. Als die vernietigende kracht niet nodig is hebben het over een foto-opname met beperkte impact. Tsja ook die lang zien komen. Grote ruimtes met apart apparatuur.
Met al dat andere ben ik het met je eens.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
