image

Vijftien ziekenhuizen afgelopen 3 jaar besmet met ransomware

zondag 25 juni 2017, 18:10 door Redactie, 18 reacties

Vijftien Nederlandse ziekenhuizen zijn de afgelopen drie jaar besmet geraakt met ransomware. Dat blijkt uit een rondgang van de NOS. Vorig jaar meldde demissionair minister Schippers nog dat de op dat moment bekende infecties bij ziekenhuizen niet voor grootschalige uitval of verstoring hadden gezorgd.

Bij één van de ziekenhuizen werden 75 computers geïnfecteerd met ransomware. De getroffen ziekenhuizen zeggen het gevraagde losgeld niet te hebben betaald, omdat ze over back-ups beschikten. Daardoor bleef ook de hoeveelheid informatie die verloren ging beperkt. Eén ziekenhuis laat weten dat er vanwege de besmetting vertragingen waren op de polikliniek. Vorig jaar stelde minister Schippers nog dat ziekenhuizen ransomware zelf moeten aanpakken. "Informatiebeveiliging is een eigen verantwoordelijkheid van ziekenhuizen."

Wat betreft de impact zou dat meevallen. "Het Nationaal Cyber Security Centrum (NCSC) is bekend met signalen dat in Nederland, ziekenhuizen, evenals andere sectoren, geconfronteerd worden met aanvallen op kantoorautomatisering door ransomware. Bij het NCSC zijn echter geen signalen bekend dat deze aanvallen hebben geresulteerd in grootschalige uitval of verstoring", zo liet Schippers destijds weten.

Windows XP

Verder blijkt dat veertien van de vijfentwintig ziekenhuizen op bepaalde systemen nog met Windows XP werken. Het besturingssysteem wordt al sinds 2014 niet meer met beveiligingsupdates ondersteund, tenzij organisaties een speciaal onderhoudscontract met Microsoft afsluiten. Eén ziekenhuis zegt dat te doen. Windows XP wordt bijvoorbeeld gebruikt voor MRI-scanners die alleen met deze Windowsversie werken. Het Westfriesgasthuis heeft 75 van dit soort machines staan, maar laat weten dat die niet met internet verbonden zijn. Of niet meer ondersteunde Windows XP-machines bij ziekenhuizen met ransomware besmet zijn geraakt wordt niet gemeld.

Reacties (18)
25-06-2017, 22:26 door Anoniem
"Windows XP wordt bijvoorbeeld gebruikt voor MRI-scanners die alleen met deze Windowsversie werken. Het Westfriesgasthuis heeft 75 van dit soort machines staan, maar laat weten dat die niet met internet verbonden zijn."

Dat is natuurlijk weinig relevant. Je moet ze loskoppelen van je netwerk. Air gappen.
26-06-2017, 00:47 door Anoniem
Men moet zich bewust zijn dat het lastig is sommige besmettingen te voorkomen. Hackers en internetcriminelen worden zo slim dat het best lastig is er tegen te weren. Mensen die schreeuwen dat je up to date moet zijn met een virusscanner enzo, weten niet waar ze over praten. Het zijn standaard oplossingen, maar die doen niks tegen een 0day exploits. Windows XP snap ik wel, je gaat geen 75 MRI scanners weggooien omdat Windows XP verouderd is. Die MRI scanners redden het leven van mensen en dan moet je kiezen, onveilige Windows versie of zet je het leven van sommige mensen daarmee op het spel. Het probleem is dat we te maken hebben met internetcriminelen die ervoor zorgen dat dit soort dingen gebeuren. Dat is dus de oorzaak, Windows XP en allerlei andere dingen zijn het gevolg (denk ik).
26-06-2017, 06:32 door karma4
In het nos artikel vind ik de opmerking over kosten en budgetten heel interessant.
Er staat verkapt dat men het onderwerp ict security niet echt belangrijk vind.
26-06-2017, 08:49 door PietdeVries
Door karma4:Er staat verkapt dat men het onderwerp ict security niet echt belangrijk vind.

Dat kan ik me stiekem wel goed voorstellen... Het primaire doel van een ziekenhuis -datgene waar iedereen die er werkt bij wijze van spreke voor is opgeleid- is het redden van mensenlevens. En we weten allemaal dat dit klauwen met geld en tijd kost.

Maar dan komt er een security consultant, in een veel te grote auto en een veel te duur (maar slecht zittend) pak dat de mensen daar komt vertellen dat ze een Firewall nodig hebben, en een IDS en anti-virus en two-factor. En ja, dat maakt het redden van mensen niet makkelijker en tuurlijk, het kost evenveel geld als een nieuwe MRI scanner maar nee - garantie tot aan de deur.

Zou mijn doktersjas ook van openvallen...
26-06-2017, 08:52 door Anoniem
Tja, als er geen budget is moet je natuurlijk ook niet gaan miepen als een aanval je systemen dan plat legt.

Raad van bestuur en doktoren weten wel altijd leuke salarissen en andere beloningen binnen te slepen dus als men echt wil is er heus wel budget te vinden.

Wel vervelend voor de patient. Met een beetje pech kom je niet meer thuis.
26-06-2017, 09:25 door Anoniem
Door karma4:
Er staat verkapt dat men het onderwerp ict security niet echt belangrijk vind.
Levens redden is de primaire taak, gevolgd door leven met symptomen draagbaar te maken en genezen. De meeste patiënten gaan niet dood als ze door uitval van ICT langer moeten wachten op behandeling. Maar leg de gemiddelde patiënt in een welvaart maar uit dat die langer moet wachten. Eerste hulp wordt nu al onnodig overstroomd door sportblessures die makkelijk via de huisarts behandeld kunnen worden maar patiënten ongeduldig zijn en direct hulp willen.
26-06-2017, 10:16 door dutchfish
Ik denk dat we op het punt van procesbesturing en machine besturingen zijn aangeland, dat een short lifetime van een Operating systeem, onhoudbaar is geworden. De meeste machines moeten fors langer mee dan 3+2 jaar in deze niche.

Ik denk dat windows dood is voor dergelijke toepassingen. Windows 10 als alternatief? Ik dacht het niet.

We zullen voor dergelijke systemen naar een hardened linux oplossing toe moeten, waarbij een image/reimage vanaf het netwerk als optie een must is. We zitten nog steeds vast aan onnozele leveranciers die standaard voor windows (lieftst een oude versie) kiezen en daarbij het onderhouds-traject en beveiliging. als sluitpost op de begroting meenemen. Foei, dat gaat zich nu echt helemaal wreken.

Windows als long term stable: vergeet het maar....

Mijn 2 centen
26-06-2017, 11:12 door Tha Cleaner
Door Anoniem: "Windows XP wordt bijvoorbeeld gebruikt voor MRI-scanners die alleen met deze Windowsversie werken. Het Westfriesgasthuis heeft 75 van dit soort machines staan, maar laat weten dat die niet met internet verbonden zijn."

Dat is natuurlijk weinig relevant. Je moet ze loskoppelen van je netwerk. Air gappen.

Hoeft niet. Je moet ze alleen goed afschermen van je netwerk. Netwerk technisch is dit heel goed mogelijk zonder extreem complete implementaties of configuraties.

Door dutchfish: Ik denk dat we op het punt van procesbesturing en machine besturingen zijn aangeland, dat een short lifetime van een Operating systeem, onhoudbaar is geworden. De meeste machines moeten fors langer mee dan 3+2 jaar in deze niche.
Daarom heeft men dus juist LTS of LTSB uitgevonden. Sommige Linux leveranciers bieden daarmee 5 jaar ondersteuning, waarbij Windows op basis van de LTSB versie 10 jaar ondersteuning bied. Dus eigenlijk exact wat nodig is.

Ik denk dat windows dood is voor dergelijke toepassingen. Windows 10 als alternatief? Ik dacht het niet.
Omdat? Het bied juist op basis van de LTSB exact wat nodig is. Een very long term support.

We zullen voor dergelijke systemen naar een hardened linux oplossing toe moeten, waarbij een image/reimage vanaf het netwerk als optie een must is. We zitten nog steeds vast aan onnozele leveranciers die standaard voor windows (lieftst een oude versie) kiezen en daarbij het onderhouds-traject en beveiliging. als sluitpost op de begroting meenemen. Foei, dat gaat zich nu echt helemaal wreken.
Maar heb je dan niet exact het zelfde issue? Je moet upgraden en patches installeren. Daar gaat het meestal op fout, want deze installeert men niet waarna het een kwestie van tijd is voordat het fout gaat.
Daarnaast Linux gaat aanzienlijk minder lang mee in de LTS versies, dus moet je vaker upgraden van OS. En in de medische wetenschap, doe je dit niet "even".

Windows als long term stable: vergeet het maar....

Omdat? LTSB is juist hiervoor gemaakt. Daar kunnen veel andere leveranciers juist nog wat van leren.
26-06-2017, 13:58 door Anoniem
Zoals reeds elders op deze website gemeld betaalt de overheid Microsoft om binnen de ministeries XP draaiende te houden en te ondersteunen. Waarom is dat niet meteen voor ziekenhuizen (en andere instellingen) geregeld? Ziekenhuizen zijn toch aanzienlijk belangrijker dan de willekeurige ambtenaar in Den Haag. Kortzichtig egoïstisch denken in Den Haag weer.
26-06-2017, 17:25 door Anoniem
Door karma4: In het nos artikel vind ik de opmerking over kosten en budgetten heel interessant.
Er staat verkapt dat men het onderwerp ict security niet echt belangrijk vind.

En dat is exact wat ik steevast zie in de ziekenhuizen: de affiniteit met IT is lager dan waar dan ook. Terwijl men aan de ene kant computers volop gebruikt en juist vraagt om zoveel mogelijk data en toepassingen overal en nergens te ontsluiten, ziet men het aan de andere kant vooral als lastig en kostbaar.

En ja, XP (en stokoude Linux-versies trouwens) zijn een deel van het probleem, maar kinderlijk simpele wachtwoorden en vooral onveilig gedrag zijn in mijn ervaring veel grotere problemen in de zorg. Overigens ook bij veel overheidsinstellingen.

Beveiliging is 10% techniek en 90% mens en gedrag.
26-06-2017, 17:26 door Anoniem
Door Anoniem: Zoals reeds elders op deze website gemeld betaalt de overheid Microsoft om binnen de ministeries XP draaiende te houden en te ondersteunen. Waarom is dat niet meteen voor ziekenhuizen (en andere instellingen) geregeld? Ziekenhuizen zijn toch aanzienlijk belangrijker dan de willekeurige ambtenaar in Den Haag. Kortzichtig egoïstisch denken in Den Haag weer.

Daar los je het probleem niet mee op want de leveranciers van de apparaten waar XP op draait staan niet toe dat Microsoft daar support op levert.
26-06-2017, 18:21 door Anoniem
Door karma4:

Er staat verkapt dat men het onderwerp ict security niet echt belangrijk vind.

Nee hoor dat staat er helemaal niet.
Dat maak jij ervan om zo weer van onderwerp te veranderen bij impliciete kritiek op windows.

Kritiek waar je niet tegen kan omdat het woord windows er in voorkomt
De oorzaak van het probleem ligt bij verouderde medische apparatuur, zoals MRI-scanners, die alleen maar draaien op Windows XP. "Ziekenhuizen kunnen dan vaak niet updaten, omdat de computer met Windows XP ingebouwd is", zegt hoogleraar computerbeveiliging Bart Jacobs. "Als de fabrikant die niet wil updaten, blijf je dus die oude Windows-versie gebruiken."
Verder hangt het aan elkaar van suggesties en individuele uitspraken van personen.

Mening:
Volgens de Nederlandse Vereniging van Ziekenhuizen moeten ziekenhuizen dan ook meer investeren in digitale beveiliging. "De afgelopen jaren was er veel aandacht voor het beheersen van kosten, en dat heeft er soms toe geleid dat er te weinig aandacht was voor ict", zegt voorzitter Yvonne van Rooy.
Maar niet bewezen

Mening:
In vergelijking met bijvoorbeeld banken lopen ziekenhuizen nog ver achter, terwijl het belang om hackers buiten te houden vergelijkbaar is
Niet bewezen laat staan vergelijkbaar.

suggestief:
Het Westfriesgasthuis heeft 75 van dat soort apparaten staan. "De software van deze apparatuur werkt prima, maar draait alleen op Windows XP", zegt Keuzenkamp. Het gaat daarbij bijvoorbeeld om een apparaat dat hersenscans maakt en dat is afgeschermd van internet.
Er is niet bewezen dat dit een probleem is en al helemaal niet bewezen dat deze 75 machines besmet waren maar de suggestie is er wel.
Die machines werken prima, net zoals de prehistorische floppy machines van het atoomprogramma van de VS kennelijk nog prima dienst doen en kennelijk net zoals een deel van de luchtverkeersleiding in (Frankrijk) nog op hele oude (jaren 80?) software werkte.

Oude software staat niet automatisch gelijk aan het hebben van problemen.
Wat op zich niet tegenspreekt dat je voordeel kan hebben van nieuwe software dat ook best een wens is
Maar helaas zit men vast aan windows.
Meerdere ziekenhuizen geven aan ervan te balen afhankelijk te zijn van leveranciers van apparatuur. "Ziekenhuizen zouden er erg bij gebaat zijn als leveranciers worden verplicht om medische apparatuur te voorzien van beveiliging en updates daarvan", aldus een van de ziekenhuizen.
..
"Als de fabrikant die niet wil updaten, blijf je dus die oude Windows-versie gebruiken."
Beter dat men dus gaat uitkijken naar niet windows apparatuur opdat je ook niet meer aan microsoft vast zit.

Mening, leuk voor een quote, begrijpelijk ook nog maar geen recht doende aan de realiteit want te kort door de bocht
Ik geef liever geld uit aan verpleegkundigen dan aan firewalls en virusscanners, maar je ontkomt er niet aan
Aan een persoonlijke voorkeur hoeft op zich niet ook gevolg gegeven te worden binnen een organisatie.
Laat staan dat dit voor alle ziekenhuizen geldt.

Verkeerde afsluiter en vooral weer suggestief
"Ziekenhuizen hebben nu beperkte budgetten voor dit soort problemen", zegt hij. "Meer geld is niet de absolute oplossing, maar kan wel helpen."

Ziekenhuizen hebben oplossingen voor 'dit soort problemen' die kennelijk nog niet geheel waterdicht zijn.
De omgekeerde suggestie dat met nieuwere windows software die besmettingen en problemen er niet waren geweest is niet aangetoond en niet bewezen.
Omdat, omdat, omdat, omdat ??

Juist, omdat het een algemeen verhaal is vol suggesties van personen met een eigen stokpaardje zonder dat de echte exacte feiten op tafel liggen op basis waarvan de juiste discussie gevoed kan worden.

Stelling : het geloof dat up-to-date zijn je vrijwaart tegen problemen is kolder.

Up to date zijn kan je beschermen tegen bepaalde problemen maar het is geen garantie dat je die (vergelijkbare) problemen niet krijgt, laat staan dat het omgekeerde waar is.
Systemen scheiden is op zich een heel werkbaar security model, mits je dat dan ook goed en consequent doet.

XP netwerk beter scheiden en op zoek naar leveranciers die geen budgetverslindende closed source Ms producten verplichten.
26-06-2017, 19:14 door karma4 - Bijgewerkt: 26-06-2017, 19:56
Door Anoniem: ..... en op zoek naar leveranciers die geen budgetverslindende closed source Ms producten verplichten.
Dat laatste is inderdaad duidelijk de geloofsfanaten die zijn eigen os ten koste van alles wil hebben.
Dan doe je alle aangedragen gegevens af als een menig en hoef je er geen rekening meer mee te houden.
Ga eens als ict-er daar aan de slag en wees niet verbaast Hoe weinig er betaald wordt. functies en salarisschalen zijn gewoon te vinden. Om je een beeld te geven senior advies functie. https://www.indeed.nl/m/viewjob?jk=0432cb807754e81e&from=serp FG 55 cao http://www.vgn.nl/cao/artikel/2456 Max 3800/mnd. Zelfs de overheid betaald beter. Banken en de rest van de markt zitten daar ver boven. Maar ja een cao is ook maar een mening.

Als je even verder doorkijkt hoe lang het duurt voordat men iets mag gebruiken in dd medische wereld (meerdere jaren) waarbij er niets aan het product veranderd mag worden dan heb je iets van weer als mening afgedaan kan worden.


Overigens ik ken de overheids en financiële wereld ik zou niet zo positief over het secùrity beleid in die omgevingen zijn.
Als de betreffende onderzoeker zegt dat ziekenhuizen daarop nog ver achter lopen dan ...
Voor de medische kant heb ik mijn voelhorens uitgestoken dus ja daad kan ik wat van begrijpen wat er speelt.
In een specifieke hoek is die switch goed mogelijk. Big data.
27-06-2017, 03:59 door Anoniem
Door dutchfish 10:16:

praat Nederlands met me!
27-06-2017, 13:16 door Tha Cleaner - Bijgewerkt: 27-06-2017, 13:16
Door Anoniem: XP netwerk beter scheiden
Netwerk moet je altijd scheiden, ongeacht XP of W7/W10/Linux.
Beter dat men dus gaat uitkijken naar niet windows apparatuur opdat je ook niet meer aan microsoft vast zit.
Je koop een Medisch instrument voor een bepaalde Medisch eigenschappen, het OS waarop het draait is bijzaak.

op zoek naar leveranciers die geen budgetverslindende closed source Ms producten verplichten.
Op welke basis zie jij budgetverslindende bij Microsoft producten? Waarom zou het bij medische apparatuur op een ander OS, anders zijn en dus niet budgetverslindend zijn?
Je moet met ieder OS de updates installeren, even afgezien, hoeveel updates er wel niet uitkomen voor Linux distributies, op niet voorspelbare tijden maakt het huist alleen maar complexer om te updaten.
Juist andere OS bieden meestal minder lange ondersteuning aan, dus moet je vaker updaten om ondersteund te blijven. En de leverancier moet iedere update trouwens eerst testen. Ze kunnen het niet zomaar even installeren, dus voor de leverancier ook nog eens veel meer werk.

Om je eigen quote even aan te halen : "Juist, omdat het een algemeen verhaal is vol suggesties van personen met een eigen stokpaardje zonder dat de echte exacte feiten op tafel liggen op basis waarvan de juiste discussie gevoed kan worden."
27-06-2017, 15:19 door Anoniem
Door Anoniem:
Door Anoniem: Zoals reeds elders op deze website gemeld betaalt de overheid Microsoft om binnen de ministeries XP draaiende te houden en te ondersteunen. Waarom is dat niet meteen voor ziekenhuizen (en andere instellingen) geregeld? Ziekenhuizen zijn toch aanzienlijk belangrijker dan de willekeurige ambtenaar in Den Haag. Kortzichtig egoïstisch denken in Den Haag weer.

Daar los je het probleem niet mee op want de leveranciers van de apparaten waar XP op draait staan niet toe dat Microsoft daar support op levert.

Waar maar vaak is het ook andersom. Koop maar eens een MRI apparaat, grote kans dat daar embedded XP zit in gebakken. En je koopt ook niet snel even een nieuwe....want in de zorg is er geen "zichtbaar" geld ;)
Vaak kan je niet eens updaten omdat een leverancier al hacks heeft doorgevoerd om dat tegen te gaan.

Om dan maar nog niet te beginnen over al het andere medische apparatuur wat daar onder valt.
Dan maar lappen met segmenteren/firewallen en wachten tot de interne of externe politiek er een klap op heeft gegeven.

Zoals vaak moet het eerst een keer goed misgaan om te heren en dames te laten beseffen dat security niet alleen maar geld kost, maar echt noodzakelijk is.
27-06-2017, 15:32 door Anoniem
Door Tha Cleaner:

Op welke basis zie jij budgetverslindende .. producten? Waarom zou het bij medische apparatuur op een ander OS, anders zijn en dus niet budgetverslindend zijn?


Als je afhankelijk bent van closed source producten van 1 leverancier kan het vragen wat het wil en dat doet het ook.
Dat zie je ook op het gebied van medicijnen.

Darom moet medische apparatuur niet uitsluitend compatible zijn met microsoft producten maar bijvoorbeeld ook met linux.
Dan kan men als ms er de brui aangeeft nog op andere manieren mee aan de slag dan koste wat het kost xp blijven draaien en je paars betalen aan dure ms support.

Wat dat betreft zouden we niet alleen de openstandaarden verplictingen moeten hebben rondom het beheer van publieke documentjes (ron25 kom er maar in) maar zou die verplichting ook moeten kunnen gelden voor belangrijke dure apparatuur als medische apparatuur.

Om te voorkomen dat een hele publieke sector gekaapt wordt door 1 OS producent.
30-06-2017, 10:38 door Tha Cleaner
Door Anoniem:
Door Tha Cleaner:

Op welke basis zie jij budgetverslindende .. producten? Waarom zou het bij medische apparatuur op een ander OS, anders zijn en dus niet budgetverslindend zijn?


Als je afhankelijk bent van closed source producten van 1 leverancier kan het vragen wat het wil en dat doet het ook.
Dat zie je ook op het gebied van medicijnen.
Je bent nog steeds afhankelijk van 1 leverancier. Dat is je leverancier van de medische apparatuur. Die heeft zijn software op een bepaalde configuratie gebouwd en getest. En als je leverancier dat op een OS heeft gedaan van 8-10 jaar geleden, dan heb je altijd een probleem.

Darom moet medische apparatuur niet uitsluitend compatible zijn met microsoft producten maar bijvoorbeeld ook met linux.
Medische apparatuur is gewoon compatible met een achterliggende applicatie (EPD). Dat is van belang. Op welk OS de medische appliace draait is eigenlijk niet direct van belang.
Maar als je wilt dat de appliance onder meerdere producten moet kunnen draaien, heb je enig idee wat daarvan de impact is? Medische apparatuur moet gecertificeerd zijn, dus dat zou betekenen dubbele certificering en dubbele ontwikkeling. Dat is een behoorlijke kosten post voor een leverancier. Even afgezien dat daarna ook meerdere productlijnen onderhouden moeten voor iedere update die uit komt. En dat zijn er best een hoop.
Wie denk je dat dit kosten uit eindelijk gaat betalen? En wat is werkelijke de winst?

Dan kan men als ms er de brui aangeeft nog op andere manieren mee aan de slag dan koste wat het kost xp blijven draaien en je paars betalen aan dure ms support.
1: Je ondersteund zelf vaak niet het OS, maar dat doet de leverancier. Je mag niet even een update installeren zonder toestemming van je leverancier.
2: Je weet dat Linux meestal minder lang in de support cycles mee gaat? Je dus eigenlijk eerder op EOL producten zit, en dus een upgrade moet uitvoeren? Welke eerst ontwikkeld en getest moet worden door je leverancier?
Dus eigenlijk lost het niets op....

Wat dat betreft zouden we niet alleen de openstandaarden verplictingen moeten hebben rondom het beheer van publieke documentjes (ron25 kom er maar in) maar zou die verplichting ook moeten kunnen gelden voor belangrijke dure apparatuur als medische apparatuur.
Je wilt niet even gaan hobbyen met medische apparatuur. Maar openstandaarden zou netjes zijn, maar een gedocumenteerde al dan niet open standaard is ook voldoende. En die is er eigenlijk al, want het communiceerd met andere devices.

Om te voorkomen dat een hele publieke sector gekaapt wordt door 1 OS producent.
Dat is al niet het geval, dus hoef je niet te voorkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.