image

Beveiligingslek in infuuspomp maakt aanpassen medicatiedosis mogelijk

dinsdag 24 augustus 2021, 16:43 door Redactie, 11 reacties

Onderzoekers hebben verschillende kwetsbaarheden in een infuuspomp van B. Braun ontdekt waardoor het mogelijk is voor een aanvaller om de medicatiedosis aan te passen. Het gaat in totaal om vijf beveiligingslekken die door onderzoekers van securitybedrijf McAfee werden ontdekt.

Zo wordt onder andere de authenticiteit van gegevens niet goed geverifieerd. Een aanvaller kan hierdoor malafide data naar de infuuspomp sturen die in plaats van de correcte data wordt gebruikt. Dit is mogelijk door het ontbreken van een digitale handtekening voor de belangrijke datasets. Verder blijkt dat het mogelijk is om gevaarlijke bestandstypes te uploaden en zo belangrijke bestanden te overschrijven.

De infuuspomp blijkt daarnaast gevoelige informatie onversleuteld te versturen en is het door een gebrek aan authenticatie mogelijk om de configuratie van het apparaat aan te passen. De vijfde kwetsbaarheid maakt het voor een ongeauthenticeerde aanvaller mogelijk om commandline-toegang tot de infuuspomp te krijgen. Om de aanvallen uit te kunnen voeren moet de aanvaller wel op hetzelfde netwerk als de infuuspomp zitten.

De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 5,8 tot een 9,7. Fabrikant B. Braun heeft inmiddels updates uitgebracht. De onderzoekers stellen dat kwetsbare versies van de software nog steeds op grote schaal binnen ziekenhuizen worden gebruikt en daardoor risico op aanvallen lopen. Totdat organisaties de updates hebben geïnstalleerd wordt aangeraden de infuuspompen op eventuele aanvallen te monitoren.

Image

Reacties (11)
24-08-2021, 18:12 door Anoniem
Wie dat in zijn hoofd haalt om een infuuspomp aan internet bedienbaar te maken moet gelijk ontslagen worden.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.
24-08-2021, 19:47 door Anoniem
Er is een kleine groep fanatiekelingen die een closed-loop systeem hebben gemaakt met kwetsbare insulinepompen. Zogenoemde "loopers": In plaats van moeten meten en handmatig de insuline dosis instellen, zijn een specifiek model met een firmware niet nieuwer dan versie x.xx samen met een extra stukje hardware een gewilde oplossing.
24-08-2021, 21:02 door Anoniem
Het hangt niet aan internet, hoe kom je daarbij?
24-08-2021, 21:18 door Briolet
Door Anoniem: Wie dat in zijn hoofd haalt om een infuuspomp aan internet bedienbaar te maken moet gelijk ontslagen worden.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.

Op afstand bedienen is een slechte zaak want je wilt ook de toestand van de patiënt zien, voordat je de dosering aanpast. Maar dat een supervisor op afstand kan controleren of de dosering wel hoed ingesteld is, heeft wel wat. Hoewel die pomp niet ziet of de goede vloeistof gebruikt wordt. Daarvoor moet je toch weer lokaal controleren.
25-08-2021, 07:10 door spatieman
eg, thuiswerken geeft dan wel een andere naam...
25-08-2021, 07:26 door Anoniem
Toch nog steeds verwonderlijk dat mensen stellingen plaatsen die kant nog wal raken.
Uiteraard hangen infuuspompen niet direct aan het internet, dat staat ook nergens.
Ook wordt uiteraard niet zomaar op afstand de dosering aangepast.

Wel is het mogelijk dat wanneer er aanpassingen gemaakt moeten worden dit door een centraal systeem gedaan kan worden die op zijn beurt nog controles kan doen op basis van bv de medicatie of andere sensoren voordat het uitgevoerd wordt.
Personeel is ook maar mens en kan uiteraard een fout maken. Zeker met dergelijke knopjes, een klein display, hoge werkdruk, etc.
Verder zijn alarmen als vloeistof op, slang bekneld, etc ook belangrijk. Op een grote afdeling zijn de lokale piepjes lang niet altijd goed hoorbaar.
25-08-2021, 08:15 door Anoniem
Door Anoniem: Wie dat in zijn hoofd haalt om een infuuspomp aan internet bedienbaar te maken moet gelijk ontslagen worden.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.
Waar staat dat dit over Internet gaat?
25-08-2021, 10:51 door Anoniem
Lijkt wel een film waarbij een killer het infuus verandert. Te ziek voor woorden als je zoiets doet.
25-08-2021, 12:46 door Anoniem
Door Anoniem: Wie dat in zijn hoofd haalt om een infuuspomp aan internet bedienbaar te maken moet gelijk ontslagen worden.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.
Netwerk is niet per definitie internet. Ik verwacht dat als ziekenhuizen deze pompen aan het (ziekenhuis)netwerk hangen, deze netwerken gecompartimenteerd zodat medische apparaten niet vanuit de kantooromgeving en zeker niet vanaf internet te benaderen zijn.

De reden dat ze aan het netwerk gehangen kunnen worden, is om ze te koppelen met het ziekenhuisinformatiesysteem. Dat heeft ook zijn voordelen, omdat de gegeven dosis dan automatisch wordt geregistreerd en dat je op dit punt menselijke fouten uitsluit.

Het risico dat je hier hebt, is dat een aanvaller het ziekenhuis hackt, kan doordringen tot het compartiment van medische systemen dan dan de pompinstellingen gaat aanpassen. Je moet dat als ziekenhuis niet willen, maar ik denk dat het feitelijke risico meevalt. Een hacker die zo ver kan binnendringen, zal in mijn ogen een ander aanvalsplan kiezen dan een paar pompinstellingen aanpassen. Het enige scenario dat ik reëel acht, is dat als er een staatsvijand van landen zoals Rusland in een ziekenhuis met zo'n pomp ligt, de Russen bereid zijn om een aanval te doen en zo via de medicatie iemand 'om te leggen'. Maar ook hierbij is de vraag of dat effectief is omdat allerlei andere apparatuur op alarm springt als het met een patiënt niet goed gaat. Medisch personeel zal dan gelijk ingrijpen.
25-08-2021, 13:58 door Anoniem
2 jaar geleden op de ONE conference al getoond en nu nog actueel? Man, man, man.
26-08-2021, 14:31 door Anoniem
Uiteraard hangen infuuspompen niet direct aan het internet, dat staat ook nergens.
Ah, ik maakte mij al zorgen; dacht even dat zo'n ding via het netwerk te bereiken zou zijn.

Ook wordt uiteraard niet zomaar op afstand de dosering aangepast.
Ah, gelukkig, ik ben volledig gerust gesteld.

Dus als ik het goed lees is het artikel nog onzinniger dan de comments al zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.