image

'Ziekenhuiscomputers vaak besmet met malware'

donderdag 18 oktober 2012, 14:46 door Redactie, 17 reacties

Ziekenhuisapparatuur is steeds kwetsbaarder voor malware-infecties, waardoor de medische apparatuur tijdelijk zelfs onbruikbaar wordt. Hoewel er geen slachtoffers van malware-infecties in ziekenhuizen bekend zijn, groeit het probleem in de Verenigde Staten, zo laat computerwetenschapper Kevin Fu tegenover Technology Review weten.

De medische apparatuur is in veel gevallen via een lokaal netwerk met elkaar verbonden, dat weer met het internet in verbinding staat. Aangezien veel systemen op Windows draaien en fabrikanten niet toestaan dat beheerders patches installeren of beveiligingsmaatregelen nemen, is dit een recept voor een digitale ramp.

Beveiligingsupdate
Fu geeft als voorbeeld een ziekenhuis in Boston waar de systemen oudere versies van Windows draaien. De fabrikanten van de apparatuur staan niet toe dat er iets gewijzigd wordt. Zelfs het installeren van een virusscanner is verboden, omdat dit mogelijk voor problemen met de wetgeving van de Amerikaanse Food and Drug Administration kan zorgen.

Hierdoor komt regelmatig voor dat ziekenhuiscomputers met malware besmet raken en vervolgens één of twee weken offline zijn om schoon te worden gemaakt. "Hier kan ik met mijn pet niet bij", aldus Fu. "Conventionele malware is wijdverspreid in ziekenhuizen omdat medische apparatuur ongepatchte besturingssystemen gebruikt. Er is weinig wat ziekenhuizen kunnen doen als een fabrikant geen updates voor een besturingssysteem toestaat."

Conficker
In 2009 wist de Confickerworm verschillende systemen in ziekenhuizen te infecteren, waaronder in het Beth Israel ziekenhuis in Boston. De malware veroorzaakte een probleem bij een Philips systeem voor de verloskundige zorg, een radiologie werkstation en andere applicaties die wegens wettelijke beperkingen niet gepatcht konden worden.

"Niemand raakte gewond, maar we moesten de systemen uitschakelen, schoonmaken en ze van het internet en lokale netwerk isoleren", aldus CIO John Halamka. Die merkt tevens op dat veel CTO's van ziekenhuizen niet weten hoe ze hun systemen moeten beschermen.

Fu pleit ervoor dat medische apparaten niet meer op onveilige en niet meer ondersteunde besturingssystemen moeten werken. "Meer ziekenhuizen en fabrikanten moeten zich uitspreken over het belang van de veiligheid van medische apparaten."

Reacties (17)
18-10-2012, 14:58 door Anoniem
Het is inderdaad van belang om de systemen te kunnen patchen, maar als het tegen de wet is zal het niet zo snle opgelost zijn. Zekerniet in de USA waar je meteen aansprakelijk bent als er iets mis gaat. Of dat nou met het installeren van een patch te maken heeft of niet, niet conform de wet is aansprakelijkheid.

Echter, je zou ook kunnen beginnen met het scheiden van systemen in separate netwerken, geen koppeling met het internet als dat niet nodig is, virusscanning / IPS op netwerkniveau, etc.

Kortom, roepen dat je kwetsbaar omdat je niet kan patchen is zinloos. Bedenk ook alternatieve oplossingen, want een gepatched systeem kan ook nog steeds met nieuwe versies van Malware besmet worden.
18-10-2012, 15:51 door Anoniem
Haha ziekenhuiscomputers met een virus... Wie ziet nog meer de grap hiervan?
18-10-2012, 16:15 door TheKeymaker
Ik heb ruim 10 jaar in een ziekenhuis gewerkt als systeembeheerder en herken dit probleem maar al te goed. Veel leveranciers staan niet toe dat je de machines patched of voorziet van een virusscanner. En maar schermen met Amerikaanse wetgeving, zelfs hier in Nederland (...).

Af en toe als beheerder het standpunt innemen: of de tent wordt beveiligd of afkoppelen van het netwerk. Dan kan er ineens heel veel.
18-10-2012, 16:26 door [Account Verwijderd]
[Verwijderd]
18-10-2012, 16:38 door JeanGuillaume
Het gaat niet om Windows, maar om de veel belangrijkere applicatie daarop. Is daar wel voldoende keus?

Desktops voor alleen maar office of soortgelijke apps kunnen wel goede geupdate worden...
18-10-2012, 17:24 door Shadowzz
Door OpenZeus: of geen windows meer gebruiken op cruciale werkplekken zoals een ziekenhuis
word je er nou niet eens moe van...

OT: en hoezo draaien ze die desktops/clients niet gewoon als thinclients, eventuel allemaal in hun eigen aparte VM?
In het ergste geval is zo'n systeem dan een paar minuten offline... gepatched of niet.
18-10-2012, 18:03 door Anoniem
Door Shadowzz:
Door OpenZeus: of geen windows meer gebruiken op cruciale werkplekken zoals een ziekenhuis
word je er nou niet eens moe van...

Weet je waar ik nou moe van word? Van willens en wetens domme dingen blijven doen, en alle kritiek zo proberen weg te wuiven.

Als ik zo naar de historie van de software en het bijbehorende bedrijf kijk, is windows ook helemaal niet geschikt als fundament voor dit soort toepassingen. Maar idd, afkoppelen van het bredere internet is wel het absolute minste. Dan zet je er maar een bastionhost tussen.

OT: en hoezo draaien ze die desktops/clients niet gewoon als thinclients, eventuel allemaal in hun eigen aparte VM?
In het ergste geval is zo'n systeem dan een paar minuten offline... gepatched of niet.

Wie had het over "desktops/clients"? We hebben het hier over medische apparaatsturing. Toch net een iets ander verhaal.

Maar net als met die wijdopenstaande pacemaker (ook niet de eerste, overigens), wordt dit soort spul alleen maar voor functie (en dat nog maar matig) en niet op robuustheid gebouwd of zelfs maar ontworpen.

Hetzelfde verhaal met allerlei grote zware industrieele apparaten. De sturing daarvan is vaak ook windows met zelfs contractueel vastgelegde verboden op updates, want de sturingssoftware is daar vaak niet op getest en als wel blijkt ook nog eens dat ze inderdaad vaak zo brak is dat ze niet tegen updates kan.

Want zulke apparaatbouwers weten iets van apparaten maar niets van computersturing. En dan pakken ze wat "iedereen" ook pakt, ook als objectieve evaluatie zou vertellen dat de software gewoon niet geschikt is voor het beoogde doel.

En dan krijg je dus wat we hebben: Een brakke, onbeveiligbare bende, die vervolgens toch maar weer aan het internet gehangen wordt, want "handig". En dat het resultaat dan bloedgevaarlijk is, dat heeft "men" gewoon niet door, of wil men niet weten, of alle tegenwerpingen worden met een zucht weggewuifd....
18-10-2012, 21:15 door Anoniem
Aan die desktops zit apparatuur verbonden die niet op een thinclient draait.
18-10-2012, 21:32 door [Account Verwijderd]
[Verwijderd]
19-10-2012, 03:25 door Anoniem
Door OpenZeus: ik wordt moe van het feit dat OS windows opgehemeld wordt als het beste OS, en bijna overal ter wereld gebruikt wordt, maar wat veiligheid betreft geen zwieper voorstelt.

denk eens aan malware verspreiding via nu.nl paar maanden geleden.

feit is dat je met gebruik van OS windows heel makkelijk aan boze software komt, op wat voor manier dan ook.


Wanneer Linux (of elk ander OS) zoveel gebruikt zou worden als Windows, hadden we het zelfde probleem met Linux!
Snap dat nou eens man. Een OS is interressant voor malware makers als er wat te halen valt.

Akela
19-10-2012, 08:22 door Anoniem
ik word moe van zo een schrijffouten te lezen...

en nog veel meer moe van mensen die denken dat malware enkel aan MSFT ligt: MSFT heeft een erg populair OS waardoor het voor malware makers vaak het geliefde platform is om wat voor te ontwikkelen. Als morgen alles op OS X draait in de wereld en MSFT slechts een minderheid doet dan zal het voor een malware maker veel interessanter zijn om zicht te focussen op OS X dan op Windows...
19-10-2012, 09:44 door Anoniem
Veel mensen die opmerkingen maken weten echt niet wat er speelt of snappen het niet.
Het is makkelijk zeggen dat er een ander OS op moet of dat er Thin clients geplaatst moeten worden.
Deze mensen die dit roepen kennen de nieuwste techniek heel goed, maar de praktijk helemaal niet in dit soort omgevingen.

Vaak in ziekenhuizen worden apparaten gebruikt die gekoppeld zijn aan een PC.
Bijvoorbeeld bij aanschaf van een röntgenscan word door de fabrikant een PC meegeleverd die dit apparaat aanstuurt en kan uitlezen. (Dus de fabrikant kiest het OS en de applicatie die dit aanstuurt!)

Het gaat in dit artikel om dit soort pc's. De fabrikanten van de apparatuur staan het niet toe hierop updates te installeren en/of een virusscanner te installeren. Dit omdat de werking in combinatie met de röntgenscan niet gegarandeerd is. Sommige gevallen zijn dit soort PC's met het internet verbonden en krijgen updates via het netwerk van de fabrikant. Wanneer de fabrikant de updates heeft getest, worden ze gestuurd naar het apparaat (ook afhankelijk wat voor contract je hebt met de fabrikant/leverancier). Dus als beheerder heb je hierop geen invloed!

Dus hierdoor hebben de beheerders vaak geen keuze of mogelijkheden om deze machines te updaten of alternatieve software te mogen installeren (zoals een virusscanner). Deze PC is alleen voor dit apparaat.

Dat dit soort machines verbonden zijn met internet zou misschien een betere discussie zijn, maar ken situaties dat dit alleen maar is om de updates van de leverancier te kunnen ontvangen.

Dat er medewerkers zijn die achter zo'n computer ook even naar nu.nl gaan is een andere verhaal....

Maar om kort door de bocht te zeggen er moet een ander OS op, of er Thin clients van te maken en virtualiseren slaat nergens op bij dit soort systemen.


Het gaat hier niet om normale werkplekken waar secretaresses een Word document tikken....!!!
19-10-2012, 11:03 door Anoniem
Door OpenZeus: of geen windows meer gebruiken op cruciale werkplekken zoals een ziekenhuis
Dit issue gaat niet over Windows maar over het feit dat de machines niet mogen worden geupdate.

Dit issue zou ook spelen bij een Linux of Apple client
19-10-2012, 12:35 door Anoniem
Door Anoniem:
Wanneer Linux (of elk ander OS) zoveel gebruikt zou worden als Windows, hadden we het zelfde probleem met Linux!
Snap dat nou eens man. Een OS is interressant voor malware makers als er wat te halen valt.

Als dat de enige factor was, dan maakt het niet uit of je huis van steen of van hout is, of dat er pannen of riet op ligt, qua brandbeveiliging, want alleen de meestgebouwde soort brandt het meeste af.

Helaas, zo werkt het niet. "Veel gebruikt" is maar een klein deel van het verhaal. "Geen enkele interne afscheiding" is lang de "architectuur" geweest in windows, en ook nu nog is de "beveiliging" hap-snap, ertegenaan geplakt, niet handig, makkelijk te omzeilen, en zo verder. Iedere willekeurige unix doet het daar beter, zo ook linux, en dat merk je.

Je hebt best gelijk dat er een groot verschil in volume qua gebruik en qua aanvallen bestaat, maar ook een groot verschil in aanvalsoppervlak, in houding van de fabrikant ("security was not a priority" dixit m$ vp), in architectuur, in noem maar op.

We zouden stukken beter af zijn als a) onze systemen diverser waren en b) ze betere interne afscheidingen en compartimentalisatie zouden hebben. En of ze dan windows heten of niet maakt niet zo gek veel uit. Voorlopig, echter, is windows een schoolvoorbeeld van hoe het niet moet, en dat is in de laatste twintig jaar niet voldoende verbeterd, zelfs minder dan de concurrentie, die al beter begonnen.

Waarom windows dus zo populair is bij malwaremakers? Inderdaad, omdat het veel gebruikt wordt, maar ook omdat het een makkelijk doelwit is, omdat de gebruikers en de beheerders ondermaats veiligheidsbesef hebben, omdat de fabrikant broddelwerk levert, en zo verder. Dus dan hebben we niet maar een enkele reden om het niet te gebruiken in kritieke toepassingen, we hebben er een heleboel.

Waarmee het toch gebruiken van windows voor kritieke toepassingen een automatisch brevet van onvermogen blijkt.
19-10-2012, 14:42 door Anoniem
Android is denk ik een goed voorbeeld dat het niet perse aan het OS hoeft te liggen, maar vaak wel aan het besef en gebruik van eindgebruikers.

Hoe veilig het OS zelf ook is, als gebruikers van alles en nog wat erop installeren en hier ook toestemming voor geven en geen idee hebben wat ze installeren, kan je OS zo veilig zijn maar nog steeds malware hebben en data lekken.

Denk dat de menselijke factor vaak het probleem is.


Als zo'n ziekenhuis PC die aan apparatuur is gekoppeld geen internet verbinding zou hebben en alleen met specifieke systemen op het netwerk zou mogen communiceren het probleem al niet was geweest (iedergeval nu niet hier op de site had gestaan!)
19-10-2012, 18:15 door [Account Verwijderd]
[Verwijderd]
26-02-2014, 14:03 door Anoniem
"Kevin Fu", is dat niet de broer van Kung? :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.