Medische apparatuur ziekenhuizen soms besmet met malware
De medische apparatuur in Nederlandse ziekenhuizen is weleens besmet met malware. Dat blijkt uit onderzoek dat Deloitte onder zeventien ziekenhuizen uitvoerde. Van de geïnterviewde ziekenhuizen gaven er tien aan dat ze weleens te maken hebben gehad met malware op hun medische apparatuur.
Bij zeven ziekenhuizen zou dit nooit zijn gebeurd. "Het risico van computervirussen is groot. Aan de ene kant kan de integriteit en de werking van het medische apparaat niet meer worden gegarandeerd als het besmet is met een computervirus. Daarnaast zorgen sommige virussen voor performanceproblemen. Hierdoor komt de beschikbaarheid van het apparaat in gevaar", aldus de onderzoekers in een rapport.
Een virusscanner op een medisch apparaat is volgens de onderzoekers niet altijd de oplossing, omdat niet alle apparatuur dit ondersteunt en ziekenhuizen niet altijd bevoegd zijn om software te installeren op door hen aangeschafte apparatuur. Naast netwerksegmentatie zouden Intrusion Detection Systemen (IDS) en Security Information and Event Management (SIEM) systemen een oplossing kunnen bieden. "Hiermee kan apparatuur op dezelfde manier worden gebruikt als nu, maar is deze wel weerbaarder tegen besmettingen door malware."
Tegenover de Volkskrant stelt onderzoeker Jeroen Slobbe dat het in de meeste gevallen om "oeps-besmettingen" gaat. "Een bestaand virus dat bijvoorbeeld via een USB-stick wordt overgebracht." Er zijn tijdens het onderzoek geen aanwijzingen gevonden dat het bij de infecties om gerichte acties door criminele of terroristische organisaties ging, bijvoorbeeld om ziekenhuizen af te persen.
De vraag rijst waarom medische apparatuur op Windows wordt geschreven en niet op een real-time os zoals RTOS.
Niet alleen aartsconservatief maar ook oerdom en gemakzuchtig.
De houding: Security en risk-analyse zijn duur, brengen niets op, mag je niets aan doen. Kosten zo laag mogelijk met de hoogste winsten op de korte termijn (financieel bedrijfsdoel).
Verandering moet opgelegd worden via richtlijnen en controles. Dit is een start.
http://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm416809.htm
Maar deze is voor de achtergrond veel beter. Er staat iets over misconceptie IT/medicals. Voel je je aangesproken? :
https://c.ymcdn.com/sites/www.issa.org/resource/resmgr/JournalPDFs/feature0514.pdf
Weer wat geleerd; een SIEM maakt apparatuur weerbaarder..................wat een onzin!
Misschien een lesje APT nemen?
vraag je de afdeling is het enige wat ze zeggen "dit is de leverancier en dat is waar die mee geleverd wordt".
Laat die leverancier nu ook een klant zijn en daar is het antwoord "op dit systeem bouwen we sinds 2007 deze systemen. Omdat het werkte en we toen voor windows gekozen hebben, achteraf gezien was linux beter geweest maar toen was het nog windows wat de klok sloeg"...
En of er nog aan updates gedacht werd, ook voor een microscoop van 1.5 miljoen was het antwoord "nee. Dit werkt en niemand durft er nog aan te komen, want als het fout gaat (updaten van xp emb of migreren naar linux) dan kost het je kop.
SIEM staat voor de detectie http://en.wikipedia.org/wiki/Security_information_and_event_management
1/ Nu ben ik benieuwd wat er mis is aan beleidstuk van het NCSC.
2/ Het gemaakte rapport (link artikel) is ook interessant. 4 Van de geninterviewde ziekenhuizen (25% totaal is dus 16) heeft een expliciet informatiebeveilingsbeleid voor medische apparatuur, ergo 12 van de 16 niet.
Mis ik iets of mist er in het beleid en de controle daarop iets?
EULA al gelezen?
Dat is immers te vergelijken met het op achteraf basis security gaan "inbouwen" in een systeem wat al helemaal ontwikkeld, geproduceerd en in gebruik genomen is. Kost veel meer, en is niet half zo effectief, dan als je dat gelijk meegenomen had in het ontwerp.
Kortom, pas als je de aanschaf van dat soort dingen een bestuurlijke doodzonde maakt qua inkoopbeleid alleen al, ga je kans maken het over een jaartje of 10 goed geregeld te hebben. Heb je alleen wel het probleem dat de gemiddelde eindverantwoordelijke niet geïnteresseerd is in zaken die over een jaar of 2 pas iemand de kop kunnen gaan kosten. Vooral als het niet hun eigen kop betreft.
Maar goed, liever (veel) geld pompen in iets wolligs als een stoffig rapport dat vooral "nog meer" predikt, dan de dingen bij de bron aanpakken. Toch?
Wij van WC-Eend....
b/ EULA al gelezen? ....
c/ Kortom, pas als je de aanschaf van dat soort dingen een bestuurlijke doodzonde maakt qua inkoopbeleid alleen al, ga je kans maken het over een jaartje of 10 goed geregeld te hebben. ...
d/ Wij van WC-Eend....
a/ APT en SIEM hoeven niet duur als je het van begin af in je beleid mee neemt (bestuurlijk gedragen)
b/ EULA Als je de link naar FDA volgt etc. dan zie je dat het allemaal veel genunceerder ligt.
Juist deze afhoudende reactie is een van de te obstakels die je moet opruimen (wordt letterlijk genoemd).
c/ Inderdaad het is in eerste instantie een bestuurlijke vernantwoordelijkheid
Hoe spreek je die aan? Als je wat beters dan een rapport hebt meld het.
Bedenk dat een ICT-er niets heft in te brengen. In hun belevingswereld zijn ze onbegrijpelijk en het werk kan ook wel door een 6 jarige gedaan worden. (Zie b.v. kamerdebat)
d/ Welke WC-eenden bedoel je, die van dat bestuur of die ICT-ers?
a/ APT en SIEM hoeven niet duur als je het van begin af in je beleid mee neemt (bestuurlijk gedragen)
b/ EULA Als je de link naar FDA volgt etc. dan zie je dat het allemaal veel genunceerder ligt.
Juist deze afhoudende reactie is een van de te obstakels die je moet opruimen (wordt letterlijk genoemd).
c/ Inderdaad het is in eerste instantie een bestuurlijke vernantwoordelijkheid
Hoe spreek je die aan? Als je wat beters dan een rapport hebt meld het.
Bedenk dat een ICT-er niets heft in te brengen. In hun belevingswereld zijn ze onbegrijpelijk en het werk kan ook wel door een 6 jarige gedaan worden. (Zie b.v. kamerdebat)
d/ Welke WC-eenden bedoel je, die van dat bestuur of die ICT-ers?
a/ Precies. Als je het vanaf het begin meeneemt in je beleid. Als nog versterkender van iets dat in de basis al goed zit. Niet als achterafgedachte van de spreekwoordelijke vinger in de dijk.
b/ Maar wordt niet gedaan. Het wordt allemaal voor lief aangenomen. En succes met de legal war machine van Microsoft bevechten als het zover komt. Herinnert u zich die patch nog waarvan de EULA Microsoft in feite toestemming gaf ongevraagd op je computers "in te breken" en "naar hartenlust te grasduinen"? Is er überhaupt iemand die naar het totaal van al die op elkaar gestapelde EULAs kijkt en zich er druk over maakt? Alsof die EULAs volstrekte en totale onzin zouden zijn? Daar heeft het alle schijn van, maar die dingen worden niet voor niets gemaakt.
c/ Met hoofdelijke aansprakelijkheid vanuit de wetgeving. En actieve toetsing daarop. Met navolging indien nodig.
d/ Deloitte heeft kennelijk experts geconsulteerd die datgene geadviseerd hebben dat in hun straatje/broodwinning past.
Wat de oplossing ook is... niet de huidige gang van zaken. Het belangrijkste belang lijkt het individuele commerciële belang van de diverse betrokkenen. Gestapelde commerciële belangen zonder echte verantwoordelijkheid en aansprakelijkheid. Nooit een goed idee.
Dus dan maar gechargeerd figuurlijk tegen gevoelige schenen schoppen en kijken wie er hoe wakker wordt.
Wat de oplossing ook is... niet de huidige gang van zaken. Het belangrijkste belang lijkt het individuele commerciële belang van de diverse betrokkenen. Gestapelde commerciële belangen zonder echte verantwoordelijkheid en aansprakelijkheid. Nooit een goed idee.
Dus dan maar gechargeerd figuurlijk tegen gevoelige schenen schoppen en kijken wie er hoe wakker wordt.
We zijn het in de grote lijnen eens, dat is mooi.
Kleine details, De eula is meer voor de consumenten lijn. Gelukkig hebben wij nog consumentenrecht dat voorgaat. Dat bestaat niet in de VS, mag je naar de rechter. Laten we hopen dat het hier niet die kant op gaat. Voor bedrijven geld dat niet daar wordt verwacht dat je dat kan regelen. Advocaat in huis en bij de onderhandelingen meenemen. Het is een cultuur http://www.rvo.nl/onderwerpen/internationaal-ondernemen/landenoverzicht/duitsland/markttoegang/dos-and-donts
Hoofdelijke aansprakelijkheid prima, volgens mij is dat al zo, zeker bij aantoonbaar mismanagement. De controles daarop, tja er zijn allerelei controlerende instanties opgetuigd (NZA IGZ RIVM) in de praktijk lijken ze meer de doofpot cultuur the faciliteren. Dit is gesteund door de politiek. Minister Schippers maakt zich duidelijk meer druk om andere zaken.
Deloitte die van dat rapport. Je hebt hem hun belang is natuurlijk meer rapporten opleveren en mogeljik controles uitvoeren (het eigen belang). Het is misschien een scheen, Die anderen die het zouden moeten doen verzaken zo te zien.
http://nieuws-uitgelicht.infonu.nl/mens-en-gezondheid/153632-lijm-in-injectienaalden-van-terumo-veilig-of-onveilig.html
Consumentenrecht. Voor zover er (nog) geen internationale verdragen zijn die als zwaarwegender worden geacht.
Ook al neemt de regering een motie aan.
Hoofdelijk aansprakelijkheid. Dus de bewoordingen zijn er, maar het ontbreekt aan daadkracht. Wie o wie tikt een minister op de vingers als die, feitelijk, met plichtsverzuim bezig is? Niet op papier, maar in de werkelijke werkelijkheid. Antwoord: broekzak, vestzak.
"onafhankelijke" rapportages. Ja, vaak "ons kent ons" en "oude jongens, krentenbrood".
Zal wel "nooit de hand bijten die je voedt" zijn. Ook al gaat dat eigenbelang anderen, de maatschappij, een veelvoud meer kosten. Wie beschermt de maatschappij (als geheel)? Niet de personen wiens (latere) broodwinning het betreft. Dus wie hou je dan over? Broekzak, vestzak?
Een dergelijk "zelfcorrigerend" systeem wordt ook wel omschreven als een draaikolk. Een toenemende kracht die je dieper onder water trekt. Het beste wat je daar tegen kunt doen is uit de buurt van zo'n kracht blijven. En mocht het zich voordoen op vitale punten, dan die vitale punten verleggen naar draaikolkvrije zones.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.