Je kunt je ook afvragen, of een dergelijk systeem aan internet aangesloten moet/mag zijn.
Vaak is dat helemaal niet nodig, en is een intern netwerk voldoende.

"Om de Windows-gerelateerde lekken te verhelpen kunnen ziekenhuizen naar Windows 2008-R2 upgraden, aldus Philips"? Zucht, 2012R2 loopt al weer op z'n laatste benen, wanneer gaan ze het nu eens begrijpen bij dit soort organisaties.........

Het gaat hier om gekwalificeerde software die heel veel test-fases doorheen moet.
Op moment bij een release van een nieuw OS duurt het mega lang voordat dit gekwalificeerd is...
Ook een heel duur process.

Meestal wordt daarom ook apparatuur met een aparte PC meegeleverd en het OS wat er dan opstaat kan je weinig mee. Dit is een compleet pakket. Software/Hardware en je apparaat.
Vaak is er geen upgrade path naar een nieuw OS, omdat je software het dan niet meer doet.

Dus jouw reactie is begrijpelijk als leek in deze branche, maar ik vind het kort door de bocht.

Dit moet gewoon worden gezien als troep dat nog niet af is, maar al wel voor belangrijke zaken wordt ingezet. Als je dit met een belangrijke internet-gerichte dienst zou doen (een Google, Facebook, Dropbox, etc.) dan zou het binnen de kortste keren gehackt worden, maar omdat het slechts "interne" medische apparatuur is is het niet belangrijk genoeg om de veiligheid op orde te hebben. Er zullen eerst wel weer doden moeten vallen voordat er structureel iets aan gedaan wordt.
Wat dat betreft zou het mooi zijn als een grote, professionele partij als Google de medische wereld in zou gaan want paradoxaal zijn je gegevens en je gezondheid dan beter beschermd!

Even afgezien dat google, facebook en dropbox net "iets" vaker een storing hebben dan Medische apparatuur. Ik zou bang worden als de medische apparatuur met de zelfde snelheid update zou worden als de genoemde software leveranciers. Dit zou namelijk zeker doden opleveren, waar juist de leverancier van de medische apparatuur voor verantwoordelijk zou zijn.

Ofwel, je opmerking valt onder "De beste stuurlui staan aan wal"

Begrijpelijk, daar is niks mis mee.

Dit is wel een probleem: Wanneer het te lang duurt om een kwalificatie af te geven, is het product al weer achterhaald omdat het OS reeds achterhaald is. De kwalificatie is dan ook niks meer waard, de inmiddels gevonden bugs in het OS waar deze kwalificatie bij hoort, tonen dit aan.

Dat is een keuze van de leverancier en afnemen, geen hard feit.

Bovenstaande leek heeft imho een heldere kijk op de zaken, daar waar jouw kennis blijkbaar in de weg zit. Maar wie ben ik? Ik ben ook maar een leek op het gebied van medische apparatuur. Maar ik ben geen leek op het gebeid van ICT beveiliging, daar waar deze apparatuur jammerlijk faalt.

Kan allemaal wel zo zijn, maar het is gewoon niet acceptabel dat er op zo'n systeem honderden lekken zijn. Er is dus wel een verklaring voor, maar dat maakt het nog niet acceptabel. Met grote regelmaat bereiken ons dergelijke berichten van defensie, de kustwacht, ziekenhuizen en wat al niet meer. Dempen we de put pas als... ???

Werkt medewerker Rollefie in het ziekenhuis zelf met besproken software en apparatuur?
Of ziet Roffelie toch maar af van het gebruik van het betreffende gezegde omdat zij wat breder van toepassing is dan hij zelf doorhad?

Veronderstellingen als waarheden poneren staat wel heel stoer maar tellen uiteindelijk niet aan dek, wel aan de wal.

Dat klopt en wat zijn de veronderstellingen, een poging voor niet eigen waarheden, dus links met referenties:

-> Homologatie via de FDA is iets simpels.
Kijk eens naar http://www.fda.gov/Drugs/DevelopmentApprovalProcess/ ik zou zeggen ga het eens proberen.
Een voorbeeld uit silicon-valley http://www.wsj.com/articles/theranos-voids-two-years-of-edison-blood-test-results-1463616976 virtuele beloftes met fantastische nieuwe apparatuur en een behoorlijk terugslaand gebeuren vanuit de FDA. Die nieuwe apparatuur zit zo maar vele jaren (+5) in de pijplijn en gaat er nu af inclusief de rest.

-> Het OS dan wel netwerk zou leidend zijn als enig zalig makend. NEN 7510 is gratis te bekijken ISO 27k niet. Iets daarvan kan je zien op http://www.noraonline.nl/wiki/Beveiliging/index een andere zijn de papers zoals bij het NCSC.
Om een of andere reden is dat met BS 7799 als 25 jaar als richting aangedragen. Het resultaat is niet echt denderend ofwel een ieder blijft met eigen dogma-s andere richtingen opgaan. Gewoonlijk zijn dat IT-ers die geloven dat ze het wel weten dan wel managers die overtuigd zijn dat externe leveranciers het wel zullen oplossen.

De werkelijkheid is dat het om de veiligheid van de toepassing is. Te accepteren:
- Alles moet volledig doorlopen en getest zijn voordat het nieuwe er op mag.
Tja als een Linux minder dan een paar jaar mee gaat dan is een XP voor +10 jaar te prefereren.
- release-management is een in te richting iets. Alleen maar iets nieuws willen kloppen gaat dat niet oplossen.
Om budgetten te minimaliseren en winsten te optimaliseren is dit nu net waar gemakkelijk in gesneden wordt.
Het gaat niet meteen fout. Werkt toch ... bonus voor de manager probleem voor later.
- Afhankelijkheid van een leverancier in een kleine markt. Neem maar aan er vaak geen alternatieven zijn. Commercieel niet interessant genoeg dan is er geen echte concurrentie mogelijk. Betekent dat je net kan zo maar kan upgraden. Komt in elke OS omgeving voor. Die minutemans ... maar goed dat er geen upgrades gedaan zijn. Luchtvaart/ruimtevaart idem ditto.

-> Philips heeft gekozen om zijn roots (licht, vernieuwing rechthoekig ronde hoeken muziekapparatuur) te verlaten het nat-lab te minimaliseren en vol voor medische zaken te gaan. Dit product is oud met een lijst van issues bij de FDA https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfmaude/detail.cfm?mdrfoi__id=1398526 WITT BIOMEDICAL opgekocht door philips.

-> Google beter? Net als tesla gewoon de proefkonijnen bij blinde volgers. Auto-pilot nog niet geheel volmaakt.

-> Dit systeem koppelt lokale apparatuur en een intern HIS bijvoorbeeld Epic. Het hoort niet aan internet te hangen.
Dat betekent dat het risico iets genuanceerde ligt. Met een echt impact haalt de FDA het bedrijf inclusief CEO van de markt.

-> risico-s slecht beveiligde apparatuur. Humor de link naast dit artikel is: https://www.security.nl/posting/478084/Britse+privacywaakhond+waarschuwt+voor+Internet+of+Things Die doen het zeker wel veilig omdat het niet om MS gaat. Dat is pas een trieste security instelling dat is merk haar en blindheid.

Ik moet de eerste organisatie nog zien waar de security by design er in zit en externe leveranciers de richtlijnen krijgen aangereikt waarin de verwachtingen van een security invulling staan.
Dempen we dus pas als ...?
Kom op met de verbeteringen in je eigen werk en krijg je collega's mee. Alleen maar afzijken in de trend (ik wil nu een ijsje) helpt niet echt. Zolang het afzijken doorgaat zullen de managers ook gewoon op de oude weg doorgaan, veel lucratiever.
Neem dan wel de algemene security richtlijnen als uitgangspunt inclusief het continue verbetertraject.

@anoniem 16:16:

Je zit duidelijk niet in een ziekenhuis. Er zijn normale (kantoorautomatisering) systemen en "medische systemen". Een medisch systeem is gedefinieerd als een systeem waar een patiënt mee wordt behandeld of gemonitord. Begrijp dat er een hele berg normen en certificeringen voor zijn die doorlopen moeten worden voor het systeem ingezet kan worden voor een patiënt. Dat kan heel ver gaan. Het installeren van een PDF lezer heeft er eens voor gezorgd dat de leverancier het complete systeem heeft omgewisseld voor een nieuwe want met die PDF lezer erop voldeed het niet meer aan de eisen die gesteld werden. Ze konden de werking niet meer 100% garanderen en als het om de intensive care gaat is dat wat er toe doet.

En dat is meteen de essentie. Als er een patiënt aan ligt en het systeem staat in een afgeschermd vlan en kan daar niet af, dan is er maar één ding belangrijk : de software en hardware moet voor de patiënt zorgen. Dat de software lek is, daar spreek je nu schande van. Maar de medische systemen lopen jaren achter met de rest van de wereld. De rest van de wereld maakt zich sinds Snowden druk om lekken en overheden, de medische systemen gaan dat ook doen maar daar is even besef voor nodig.

Stel je eens voor dat je op de operatietafel ligt, en de chirurg heeft een PC aan staan om hem bij te staan met gegevens.... en die PC doet ineens een reboot want Windows Updates. Waar in jouw wereld "veiligheid voor alles" geldt, geldt in een ziekenhuis "patientveiligheid voor alles".

En uiteindelijk redden ook die lekke systemen levens, zonder gehacked te worden.

Klopt dat als je kijkt naar bugs en lekken deze software vaak achterloopt.
De kwalificatie wordt namelijk op een bepaalde versie uitgevoerd, wanneer deze is goedgekeurd ben je al een paar stappen achter.

Echter wordt tijdens de kwalitficatie niet naar bugs of lekken gekeken, maar of de software in combinatie met het apparaat functioneert en juiste waardes weergeeft.

Een voorbeeld, een apparaat die controle uitvoert op bloed, moet wel juiste waardes leveren...
Anders kunnen er mensen uiteindelijk dood gaan als dit niet klopt, oftewel echt functioneel en is de software betrouwbaar op dat gebied.

Dat het OS op dat moment minder up-to-date is, is minder belangrijk dan die correcte waardes die van levensbelang zijn.

Daarnaast merendeels van die machines zijn niet internet verbonden... Op uitzondering na...

Mijn mening is dat dit probleem voortkomt uit technische ONKUNDE gepaardgaand met verregaande ARROGANTIE en ZELFOVERSCHATTING van de ontwerpers.

Herinnert u zich nog dat recentelijk ook infusie apparatuur aan het internet hing; waarom eigenlijk? Om het weerbericht op te vragen?
En patienten informatie systemen die aan het internet hingen ofschoon daarvoor geen werkelijke noodzaak was!

Dat alles was ontworpen door IT geweldenaars die het zo goed wisten.

Die MRI is afkomstig van het natlab een spin off ofwel geen core busisness meer voor philips. https://nl.wikipedia.org/wiki/Philips_Natuurkundig_Laboratorium "Dr. ir. A. Huijser, voormalig hoogste technologiechef van Philips, stelde[3] dat de research op het NatLab verder zal krimpen en naar het Verre Oosten verschuiven. Huijser verwacht[4] dat, bij gelijkblijvend beleid, het NatLab in vijftien jaar, dus net na het 100-jarig jubileum in 2017, verdwenen zal zijn. Door de verkoop in 2006 van het bedrijfsonderdeel Semiconductors verdwenen er in dat jaar circa 350 NatLab-medewerkers, hetgeen het aantal medewerkers naar circa 600 bracht (tegen ca. 2000 mensen in 1970).'
Een ander bedrijf heette http://www.piemedicalimaging.com/product_category/mri/ en de soap http://www.volkskrant.nl/archief/philips-heeft-47-miljoen-over-voor-pie-medical~a406189/ Ik ken het, lang gevolgd.
Dat philips meer naar inkoop kennis zoals een handelaar doet is overgegaan heet strategie (zie jaarverslagen)

De link http://www.nu.nl/economie/755078/philips-doet-grote-overname-in-medische-sector.html is de overname door Philips van WITT BIOMEDICAL. De FDA heeft in 2009 al gepubliceerd dat er het nodige hersteld moest worden met XPER Connect dat is het onderdeeltje wat nu onder de Philips vlag gaat en het onderwerp van het artikel is.
Veiligheid heeft hier kennelijk nooit voorop gestaan. De Amerikaanse cultuur als de financiële winsten maar goed zijn.
Het kan ook zijn dat het ontwerp functionaliteit in een bepaalde afgeschermde werkomgeving voorop heeft gesteld.

en
Eens met die, het gaat er niet om om het mooiste kastje (de hamer) te hebben voor het werk. "Als je enkel een hamer hebt zie overal spijkers." Het gaat om het resultaat met het doel van het werk.

Het volgende is misschien iets te simpel gedacht EN ik weet niet hoe het inhoudelijk zit maar is het niet verstandiger om voor dit soort systemen niet afhankelijk te zijn van een Windows omgeving?

Als ze de ontwikkeling doen op een, al dan niet een eigen Linux OS, is het toch naderhand makkelijker om specifieke patches door te voeren of te backporten naar de systemen. Het testen van een patch lijkt me dan ook minder lang tijd in beslag te nemen. De initiele ontwikkelingstijd is misschien wel wat langer...

Wat ook onderhouden moet worden? Een eigen OS moet ook beheerd/ondersteund worden, dus nu moeten ze niet alleen een applicatie onderhouden maar ook een OS. Dus eigenlijk extra werk.

Als men een LTS distro neemt als baseline, dan is dit support life cycle ook maar 5 jaar. Als je dit vergelijkt met bijvoorbeeld Windows 2003, of XP dan is 5 jaar een lachertje.

Er zijn echter wel OSsen die specifiek gemaakt zijn voor dit soort oplossing, maar dat is niet mijn specialisme, dus kan ik verder niets over roepen. Echter wat de impact is.... Dat is weer een tweede. Om bijvoorbeeld even van een Windows applicatie naar een Linux applicatie te gaan, kost een vermogen. Immers voor medische apparatuur mogen er geen fouten in zitten. Dus je certificering is heel complex.

Waarom ontwikkelen op een OS?
Je kunt het ook ontwikkelen als een web-applicatie, dan ben je misschien voor de eerste 25 jaar klaar.
Natuurlijk is dat niet zo simpel, maar op de lange termijn waarschijnlijk wel kosten besparend.

Omdat het om meetgegevens gaat waarvoor specifieke drivers gaat die je vervolgens gaat uitwisselen als informatie naar een intern HIS hiervan is niets beschikbaar als web service.

Linux zou een alternatief zijn? Exact de zelfde problemen geen enkele distro gaat langer dan ca 3 jaar mee. Dan moet alles om. Het is de teleurstelling bij limux. Xp is een uitzondering als os meer dan 10 jaar ondersteunin, kom met een ander os met zo'n lange levensduur.

Je zou een heel apart nieuw OS kunnen ontwikkelen gezien kosten/baten noodzaak tot standaard niet voor de hand liggend. Er bestaat overigens een hl7 standaard voor uitwisseling. His systemen hebben de neiging gesloten te zijn.

Het apparaat en het feitelijke bedrijf dat het samengesteld heeft uit het redactie artikel is volgens jou irrelevant.
Ik begrijp niet waar jij logica en redeneren geleerd hebt.

Blah blah blah. Ben ook in een ziekenhuis werkzaam geweest. Echte ICT Security is het laatste wat op de agenda staat. Vele koninkrijkjes met eigenbelangen waar niemand een standaard norm in hakt desnoods, belang interim managers gaat voor alles, persoonlijk ego strelen met innovatie project nummer zoveel heeft voorrang boven de lekken dichten van het voorgaande project, interne technische dienst die maar wat aanrommelt en nog nooit gehoord heeft van NEN (laat staan Zone 6), beveiliging die vooral bezig is met zelfverheerlijking en zelfverrijking. Het is een grote tering bende en het zal iedere verantwoordelijke werkelijk het achtereind oxideren om zich daar ooit druk over te maken. Wie doet mij wat? Is het credo.

Heb persoonlijk meegemaakt dat er een virusuitbraak was in een groot ziekenhuis een flinke tijd geleden. Diverse doden daardoor (onbeschermde systemen kunnen niet zo goed tegen virusuitbraken; waaronder systemen die vitale functies dienen te bewaken). Nog geen lettertje in welke krant dan ook. Het werd niet eens gerapporteerd. Oh ja, er was ook een MRSA uitbraak toen. Dat had iets meer aandacht toen. Ook diverse doden, maar ach, het protocol was kennelijk gevolgd. Meer was niet nodig (afgezien van wat onder de tafel werk). Valt niet op hoor, strak in pak onbekende personen die rechtstreeks naar de directiekantoren worden geleid en enkele uren later, met flinke gevulde tassen en een beschonken uiterlijk, weer de deur uit gaan. Zonder ooit maar een voet op welke afdeling dan ook gezet te hebben. En nog geen week later jubelberichten dat "wij" goed bezig zijn want certificering dit, oorkonde dat, opgeheven valse beschuldigingen zus, en vrijwaring van claims zo. En enkele maanden later blijkt er een lease Audi A6 voortijdig vervangen door een BWM/Mercedes whatever. Valt helemaal niet op of zo.

Sluit maar weer een vleugel want behoort niet tot de kerntaken of zoiets. Poosje later verhuisbericht van een van de top managers. Gaat van een 6+ ton wijk naar een 2+ miljoen wijk. Zal wel een erfenis in de familie wezen of zo???

Natuurlijk, zal wel puur afgunst wezen en zo. Heeft helemaal niets te maken met mensen op de werkvloer met een vast dienstverband naar buiten getrapt zien te worden. Om vervangen te worden door vrijwilligers, dwangarbeider (mensen met uitkering) en nauwelijks verstaanbare nieuwe collega's (in extreem lage loonschalen; maar meestal ingehuurd via een bevriend bedrijfje). Alsmede patienten voortijdig het ziekenhuis uitgetrapt zien worden (ga maar fijn thuis "bijkomen") en zo meer. Kortom, verslechtering van de zorgverlening, mega schaalvergroting aan de top.

(iets met balancerende vaten)
(als het ergens meer wordt dan moet het ergens anders minder worden)
Tot aan tientallen jaren getrouwde stellen toe die uit elkaar gerukt worden, want dat zou een euro of wat besparen hier of daar. Volgens een of andere spreadsheet manager die opeens allerlei 1000+ euro gadgets op de man begint te dragen. Want dat heeft hij "verdiend". Goed voor jezelf zorgen heet dat kennelijk.

Uiteindelijk betaalt de belastingbetaler. Is het niet met zijn leven of zijn gezondheid of zijn levensgenot, dan wel met zijn belastingcenten. Geen enkele hot shot, big boss, commissaris, RvB lid, whatever, die voor jaren in het gevang beland en al zijn privespullen in beslag genomen ziet worden om nooit meer terug te zien. Uiteindelijk berooid achtergelaten om in de goot verder te leven. Never nooit niet, nimmer. Het gelach wordt uiteindelijk betaald door de feitelijke hulpbehoevenden dus.

En zo gaat het al jaren en jaren en jaren.
Minstens sinds 1998 al.

Moraal: praat over security wat je wilt. Je gaat nooit iets significants bereiken zolang de top overal mee weg komt.

Oh ja, een tonnetje hier, een tonnetje daar, voor een of andere papieren werkelijkheid. Maar dat is zo ongeveer het meest bereikbare.