Beveiligingslek in infuuspomp maakt aanpassen medicatiedosis mogelijk
Onderzoekers hebben verschillende kwetsbaarheden in een infuuspomp van B. Braun ontdekt waardoor het mogelijk is voor een aanvaller om de medicatiedosis aan te passen. Het gaat in totaal om vijf beveiligingslekken die door onderzoekers van securitybedrijf McAfee werden ontdekt.
Zo wordt onder andere de authenticiteit van gegevens niet goed geverifieerd. Een aanvaller kan hierdoor malafide data naar de infuuspomp sturen die in plaats van de correcte data wordt gebruikt. Dit is mogelijk door het ontbreken van een digitale handtekening voor de belangrijke datasets. Verder blijkt dat het mogelijk is om gevaarlijke bestandstypes te uploaden en zo belangrijke bestanden te overschrijven.
De infuuspomp blijkt daarnaast gevoelige informatie onversleuteld te versturen en is het door een gebrek aan authenticatie mogelijk om de configuratie van het apparaat aan te passen. De vijfde kwetsbaarheid maakt het voor een ongeauthenticeerde aanvaller mogelijk om commandline-toegang tot de infuuspomp te krijgen. Om de aanvallen uit te kunnen voeren moet de aanvaller wel op hetzelfde netwerk als de infuuspomp zitten.
De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 5,8 tot een 9,7. Fabrikant B. Braun heeft inmiddels updates uitgebracht. De onderzoekers stellen dat kwetsbare versies van de software nog steeds op grote schaal binnen ziekenhuizen worden gebruikt en daardoor risico op aanvallen lopen. Totdat organisaties de updates hebben geïnstalleerd wordt aangeraden de infuuspompen op eventuele aanvallen te monitoren.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.
Op afstand bedienen is een slechte zaak want je wilt ook de toestand van de patiënt zien, voordat je de dosering aanpast. Maar dat een supervisor op afstand kan controleren of de dosering wel hoed ingesteld is, heeft wel wat. Hoewel die pomp niet ziet of de goede vloeistof gebruikt wordt. Daarvoor moet je toch weer lokaal controleren.
Uiteraard hangen infuuspompen niet direct aan het internet, dat staat ook nergens.
Ook wordt uiteraard niet zomaar op afstand de dosering aangepast.
Wel is het mogelijk dat wanneer er aanpassingen gemaakt moeten worden dit door een centraal systeem gedaan kan worden die op zijn beurt nog controles kan doen op basis van bv de medicatie of andere sensoren voordat het uitgevoerd wordt.
Personeel is ook maar mens en kan uiteraard een fout maken. Zeker met dergelijke knopjes, een klein display, hoge werkdruk, etc.
Verder zijn alarmen als vloeistof op, slang bekneld, etc ook belangrijk. Op een grote afdeling zijn de lokale piepjes lang niet altijd goed hoorbaar.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.
Alleen alles hangt tegenwoordig aan internet, dat vind men normaal.
De reden dat ze aan het netwerk gehangen kunnen worden, is om ze te koppelen met het ziekenhuisinformatiesysteem. Dat heeft ook zijn voordelen, omdat de gegeven dosis dan automatisch wordt geregistreerd en dat je op dit punt menselijke fouten uitsluit.
Het risico dat je hier hebt, is dat een aanvaller het ziekenhuis hackt, kan doordringen tot het compartiment van medische systemen dan dan de pompinstellingen gaat aanpassen. Je moet dat als ziekenhuis niet willen, maar ik denk dat het feitelijke risico meevalt. Een hacker die zo ver kan binnendringen, zal in mijn ogen een ander aanvalsplan kiezen dan een paar pompinstellingen aanpassen. Het enige scenario dat ik reëel acht, is dat als er een staatsvijand van landen zoals Rusland in een ziekenhuis met zo'n pomp ligt, de Russen bereid zijn om een aanval te doen en zo via de medicatie iemand 'om te leggen'. Maar ook hierbij is de vraag of dat effectief is omdat allerlei andere apparatuur op alarm springt als het met een patiënt niet goed gaat. Medisch personeel zal dan gelijk ingrijpen.
Dus als ik het goed lees is het artikel nog onzinniger dan de comments al zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
