ENISA: Ziekenhuizen kwetsbaar door Internet of Things
Door de uitrol van Internet of Things-apparaten en andere slimme oplossingen die op elkaar of op internet zijn aangesloten worden ziekenhuizen nog kwetsbaarder voor cyberaanvallen, zo waarschuwt het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) in een nieuw rapport (pdf).
"Het Internet of Things is een revolutie in de ict-wereld. Apparaten, systeemonderdelen en netwerken worden autonoom, zijn overal aanwezig en altijd verbonden. Wanneer deze technologische ontwikkeling op de zorgsector wordt toegepast, één van de meest kritieke sectoren, zijn de resultaten opmerkelijk", zo laat ENISA weten. "Met internet verbonden medische apparaten transformeren de manier waarop de gezondheidszorgindustrie werkt, zowel binnen ziekenhuizen als tussen de verschillende partijen in de gezondheidszorgindustrie."
Het toevoegen van Internet of Things-apparaten aan ziekenhuisnetwerken of het uitrollen van slimme apparaten die met internet verbonden zijn brengen ook risico's met zich mee. Het gaat dan om risico's voor de patiëntveiligheid of verlies van persoonlijke gezondheidsinformatie. Dit hoeft niet altijd het werk van kwaadwillenden te zijn, maar kan ook door menselijke fouten worden veroorzaakt, systeemdefecten of natuurrampen. "Nu het aanvalsoppervlak toeneemt door de introductie van met internet verbonden apparaten, groeit het aanvalspotentieel exponentieel", aldus ENISA. Volgens de instantie zullen ziekenhuizen dan ook het volgende doelwit voor cyberaanvallen worden. "Het groeiende aantal gevallen van ransomware en ddos-aanvallen zijn slechts een voorbode van wat komen gaat."
Om de beveiliging aan te scherpen doet ENISA verschillende aanbevelingen in het rapport. Zo moeten zorginstellingen specifieke veiligheidseisen aan IoT-apparaten stellen en alleen de modernste beveiligingsmaatregelen implementeren. Verder moeten slimme ziekenhuizen de apparaten in hun netwerken identificeren en hoe die verbonden zijn, al dan niet met internet. Op basis hiervan moeten er specifieke beveiligingsmaatregelen worden getroffen. Als laatste richt ENISA zich op fabrikanten. Die moeten beveiligingsmaatregelen aan hun apparatuur toevoegen en zorginstellingen al vanaf het begin bij de ontwikkeling van systemen en diensten betrekken.
Prima "5 Security good practices" Nee, juist geen "best practices" dat zijn dooddoeners om zelf niet na te denken. Met good practices PDCA moet je aan continue verbetering werken. Dat is ook in ITIL zo al kan je met ITIL zien dat er met dat standaard framework flink wat gemist wordt.
Heb je de vraag weer waarom je het niet gewoon goed doet (NEN7510)"
- omdat zoiets te moeilijk is?
- omdat het niet sexy is?
- het kost geld en is niet zichtbaar?
Daarbij is het grote probleem dat veel ICT medewerkers in (semi-) overheidsinstellingen geen enkele goede basis hebben op ICT gebied, laat staan op securitygebied.
Oorzaak is dat bij vele van dergelijke instanties medewerkers van andere afdelingen, die wel eens wat met PC's hebben gespeeld, uiteindelijk omhoog gepromoveerd werden naar de afdeling ICT (of soortgelijk).
Heb ik meegemaakt bij gemeenten (medewerker burgerzaken of financien wordt systeembeheerder) en het zou me niets verbazen als het in ziekenhuizen ook zo toegaat: verpleegkundige die handig is met computers wordt (uiteindelijk) hoofd ICT...
Er zijn enkele uitzonderingen maar zolang er geen afdoende wetgeving bestaat mbt strenge beveiliging, updates vs levensduur en aansprakelijkheid moet je voorzichtig zijn met gebruik.
In een IoT cursus hadden we een discussie over een IoT idee: een sok met daarin hartslag en zuurstof meter voor kleine (neo-nat) kinderen. De stelling was dat zo'n sok geen beveiliging nodig heeft, immers je kan er geen misbruik van maken.
Stel dat deze sok aanslaat en wordt gebruikt in 100-en ziekenhuizen, allemaal verbonden met internet. Dan heb je maar één ziek figuur nodig die een manier verzient om al deze sokjes te "gijzelen'.
De reactie was dat de kans dat dit gebeurt klein is, dat wil niet zeggen dat het niet kan gebeuren.
Vervang "sok" met "pacemaker" of "glucose meter"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.