Patiëntenmonitors in ziekenhuizen kwetsbaar voor spoofing
Onderzoekers van securitybedrijf McAfee hebben aangetoond hoe ze patiëntenmonitors die in ziekenhuizen worden gebruikt kunnen spoofen, zodat verplegend personeel verkeerde informatie over de vitale functies van een patiënt te zien krijgt. De patiëntenmonitors worden weer via een centraal monitorstation in de gaten gehouden.
Op deze manier kan verplegend personeel zien welke patiënt hulp nodig heeft of wanneer er afwijkingen zijn. Voor hun onderzoek keken onderzoekers van McAfee naar een centraal monitorsysteem dat Windows XP Embedded draait en uit 2004 stamt. Ook de onderzochte patiëntenmonitor is veertien jaar geleden gemaakt en beide systemen worden nog in ziekenhuizen gebruikt. De systemen blijken tijdens het communiceren geen gebruik van authenticatie of encryptie te maken.
Zodoende is het mogelijk om een kwaadaardig apparaat op het ziekenhuisnetwerk aan te sluiten dat zich als de patiëntenmonitor voordoet. Via Address Resolution Protocol (ARP) spoofing is het mogelijk om dit kwaadaardige apparaat informatie van het centrale monitoringstation te laten ontvangen, in plaats van de patiëntenmonitor. Vervolgens kan het kwaadaardige apparaat zich als de patiëntenmonitor voordoen en verkeerde informatie naar het centrale monitoringsstation sturen.
Zo is het bijvoorbeeld mogelijk om de waarde van de hartslag die op het monitoringsstation wordt getoond aan te passen. De informatie die de patiëntenmonitor weergeeft is niet op deze manier aan te passen en zal nog steeds de correcte waarde weergeven. Volgens McAfee baseren zorgverleners zich bij het maken van beslissingen juist op het centrale monitoringssysteem, in plaats van dat ze bij elke patiënt individueel langsgaan om daar op de patiëntenmonitor te kijken.
Fabrikanten krijgen dan ook het advies om netwerkverkeer tussen de apparaten te versleutelen en authenticatie toe te voegen. Verder wordt aangeraden om dergelijke systemen op een gescheiden netwerk te plaatsen. In dit geval heeft een aanvaller namelijk fysieke toegang tot het netwerk nodig om de aanval uit te kunnen voeren.
2. Geen authenticatie
3. Geen versleuteling
4. Gebruik maken van het standaardnetwerk
... 4x zucht...
2. Geen authenticatie
3. Geen versleuteling
4. Gebruik maken van het standaardnetwerk
... 4x zucht...
Niet zo heel erg, het is algemeen iets bij embedded systemen welke een zeer lange gebruiksduur moeten hebben.
Stop jij een dongel in de obc van je auto terwijl je rijdt of laat je voor tesla alles open?
Embedded systemen moet je niet ongecontroleerd aan het standaardnetwerk hangen.
Wat dat betreft is een fax erger als IOT ding, die moet publiekelijk aan het telefoonnetwerk als je fax functies wil.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.