Nieuws

Inbraak op systeem Assens ziekenhuis mogelijk door fout in firewall

dinsdag 23 februari 2021, 17:37 door Redactie, 4 reacties

Een aanvaller die vorige week wist in te breken op een systeem van het Wilhelmina Ziekenhuis Assen (WZA) kon binnendringen door een fout in de firewall. Een fout die door "menselijke onzorgvuldigheid" ontstond, aldus het WZA in een verklaring.

Vorige week meldde het WZA-ziekenhuis dat een aanvaller toegang tot de server van de medicijnrobot van het ziekenhuis had gekregen. Deze robot verpakt medicijnen voor patiënten in het ziekenhuis en diverse zorginstellingen in de regio. "Wij vinden het ontzettend vervelend dat dit is gebeurd", liet bestuurslid Hans Mulder van het WZA weten. "Het WZA en de WZA-apotheek hebben gegevensbescherming hoog in het vaandel staan. Uiteraard hebben wij na de ontdekking direct alle open verbindingen met het internet gesloten en de wachtwoorden gewijzigd."

Volgens het WZA is de veiligheid van de medicatie nooit in het geding geweest. Uit nader onderzoek blijkt nu dat de aanvaller helemaal geen toegang tot de server van de medicijnrobot heeft gekregen, zo laat Mulder tegenover Dagblad van het Noorden weten. Wel is duidelijk dat de aanvaller door een fout in de firewall binnenkwam. "Die blijkt door menselijke onzorgvuldigheid te zijn ontstaan. Die instellingen van deze firewall waren donderdagavond al hersteld na het ontdekken van de hack. Later is duidelijk geworden dat die firewall dus de toegangsweg voor de hacker is geweest", zo stelt het ziekenhuis.

Het is nog niet duidelijk wat de aanvaller precies heeft gedaan en of er patiëntgegevens zijn gestolen. Een extern bureau doet daar onderzoek naar. Het WZA heeft het incident inmiddels gemeld bij de Autoriteit Persoonsgegevens.

Versleutelde wachtwoorden gestolen bij aanval op HvA en UvA

Facebook geeft Australische gebruikers weer toegang tot nieuws

Reacties (4)

23-02-2021, 18:24 door Anoniem

Ik leer mensen altijd dat ze niet alleen moeten vertrouwen op een firewall, ook bij een falende firewall moet je service veilig zijn b.v. door authenticatie. En dan niet een gedeeld wachtwoord 123456 maar gedegen naam/wachtwoord controle.

23-02-2021, 21:13 door Anoniem

Door Anoniem: Ik leer mensen altijd dat ze niet alleen moeten vertrouwen op een firewall, ook bij een falende firewall moet je service veilig zijn b.v. door authenticatie. En dan niet een gedeeld wachtwoord 123456 maar gedegen naam/wachtwoord controle.

Die firewall deed niets verkeerd, de persoon die de firewall heeft ingesteld maakte de fout. (als de firewall zou falen dan was die fout niet te herstellen geweest)

23-02-2021, 23:12 door Anoniem

Door Anoniem: gedegen naam/wachtwoord controle.

gegenereerd met echte en als zuiver gecertificeerde dobbelstenen: en die toch nog goed te onthouden zijn...

https://laatjeniethackmaken.nl/#maak-een-zeer-sterk-wachtwoord-met-diceware

https://en.wikipedia.org/wiki/Diceware

dit gecombineerd met een hardware 2FA-token, die je aan een sleutelbos kunt hangen, bijvoorbeeld:

een YubiKey (USA, closed source)
https://www.yubico.com

of een NitroKey (Duits, open source)
https://www.nitrokey.com

Er zijn ook losse USB-tokens te krijgen die alleen werken met een wachtwoord en gecombineerd met een vingerafruk.

24-02-2021, 18:11 door Anoniem

Zo'n medicijnrobot heb ik vroeger ook mogen beveiligen, ze noemen dat een Baxter machine, omdat fabrikant Baxter er de meeste maakt(e) Een beetje zoals je vroeger iets Xerox'te in plaats van een kopietje maakte.

Toegang is simpel, er zit een standaard wachtwoord op, dat je niet hoeft aan te passen "Want Firewall"
Je kunt met toegang en kennis van zaken "If patient X then 100 tabletten van de dodelijke soort in het zakje" programmeren, maar vaak staat achter een Baxter ook nog een zakjes-kijk-robot, die ziet of de aantal/vorm-pillen die in het systeem gestuurd wordt (gewoon een csv'tje), ook in het zakje zit.
Niet tegen Baxter-hackers, maar tegen plakkerige pillen, of dat er eentje mist.

Als je dan je Baxter raar ziet doen, is een Apotheker eigenwijs genoeg om heel dat ding stil te leggen, Apothekers zijn namelijk van nature nogal de baas in hun omgeving, in tegenstelling tot systeembeheerders.

Als een hacker via een enkele firewall al in het Vlan van de Baxter uitkomt, dan is er met het ontwerp iets grondig mis.
Dikke kans dat de hacker heel doe Baxter niet herkend heeft als Baxter, maar meer als een database-server, of Windows 7 pc. Ja, Medische apparatuur zet je bij voorkeur in een prive-vlan, met prive-firewall tegen de rest van het netwerk, omdat digitale security er meestal gewoon niet in zit. Vloeistofmengers: Windows XP. Pillentellers: Windows XP. Label-op-doos-printers: Windows 7.

Laat een netwerk-engineer de Apotheker maar garanderen dat het veilig is. Die vraagt wel door.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer