image

Inbraak op systeem Assens ziekenhuis mogelijk door fout in firewall

dinsdag 23 februari 2021, 17:37 door Redactie, 4 reacties

Een aanvaller die vorige week wist in te breken op een systeem van het Wilhelmina Ziekenhuis Assen (WZA) kon binnendringen door een fout in de firewall. Een fout die door "menselijke onzorgvuldigheid" ontstond, aldus het WZA in een verklaring.

Vorige week meldde het WZA-ziekenhuis dat een aanvaller toegang tot de server van de medicijnrobot van het ziekenhuis had gekregen. Deze robot verpakt medicijnen voor patiënten in het ziekenhuis en diverse zorginstellingen in de regio. "Wij vinden het ontzettend vervelend dat dit is gebeurd", liet bestuurslid Hans Mulder van het WZA weten. "Het WZA en de WZA-apotheek hebben gegevensbescherming hoog in het vaandel staan. Uiteraard hebben wij na de ontdekking direct alle open verbindingen met het internet gesloten en de wachtwoorden gewijzigd."

Volgens het WZA is de veiligheid van de medicatie nooit in het geding geweest. Uit nader onderzoek blijkt nu dat de aanvaller helemaal geen toegang tot de server van de medicijnrobot heeft gekregen, zo laat Mulder tegenover Dagblad van het Noorden weten. Wel is duidelijk dat de aanvaller door een fout in de firewall binnenkwam. "Die blijkt door menselijke onzorgvuldigheid te zijn ontstaan. Die instellingen van deze firewall waren donderdagavond al hersteld na het ontdekken van de hack. Later is duidelijk geworden dat die firewall dus de toegangsweg voor de hacker is geweest", zo stelt het ziekenhuis.

Het is nog niet duidelijk wat de aanvaller precies heeft gedaan en of er patiëntgegevens zijn gestolen. Een extern bureau doet daar onderzoek naar. Het WZA heeft het incident inmiddels gemeld bij de Autoriteit Persoonsgegevens.

Reacties (4)
23-02-2021, 18:24 door Anoniem
Ik leer mensen altijd dat ze niet alleen moeten vertrouwen op een firewall, ook bij een falende firewall moet je service veilig zijn b.v. door authenticatie. En dan niet een gedeeld wachtwoord 123456 maar gedegen naam/wachtwoord controle.
23-02-2021, 21:13 door Anoniem
Door Anoniem: Ik leer mensen altijd dat ze niet alleen moeten vertrouwen op een firewall, ook bij een falende firewall moet je service veilig zijn b.v. door authenticatie. En dan niet een gedeeld wachtwoord 123456 maar gedegen naam/wachtwoord controle.

Die firewall deed niets verkeerd, de persoon die de firewall heeft ingesteld maakte de fout. (als de firewall zou falen dan was die fout niet te herstellen geweest)
23-02-2021, 23:12 door Anoniem
Door Anoniem: gedegen naam/wachtwoord controle.

gegenereerd met echte en als zuiver gecertificeerde dobbelstenen: en die toch nog goed te onthouden zijn...

https://laatjeniethackmaken.nl/#maak-een-zeer-sterk-wachtwoord-met-diceware

https://en.wikipedia.org/wiki/Diceware


dit gecombineerd met een hardware 2FA-token, die je aan een sleutelbos kunt hangen, bijvoorbeeld:

een YubiKey (USA, closed source)
https://www.yubico.com

of een NitroKey (Duits, open source)
https://www.nitrokey.com


Er zijn ook losse USB-tokens te krijgen die alleen werken met een wachtwoord en gecombineerd met een vingerafruk.
24-02-2021, 18:11 door Anoniem
Zo'n medicijnrobot heb ik vroeger ook mogen beveiligen, ze noemen dat een Baxter machine, omdat fabrikant Baxter er de meeste maakt(e) Een beetje zoals je vroeger iets Xerox'te in plaats van een kopietje maakte.

Toegang is simpel, er zit een standaard wachtwoord op, dat je niet hoeft aan te passen "Want Firewall"
Je kunt met toegang en kennis van zaken "If patient X then 100 tabletten van de dodelijke soort in het zakje" programmeren, maar vaak staat achter een Baxter ook nog een zakjes-kijk-robot, die ziet of de aantal/vorm-pillen die in het systeem gestuurd wordt (gewoon een csv'tje), ook in het zakje zit.
Niet tegen Baxter-hackers, maar tegen plakkerige pillen, of dat er eentje mist.

Als je dan je Baxter raar ziet doen, is een Apotheker eigenwijs genoeg om heel dat ding stil te leggen, Apothekers zijn namelijk van nature nogal de baas in hun omgeving, in tegenstelling tot systeembeheerders.

Als een hacker via een enkele firewall al in het Vlan van de Baxter uitkomt, dan is er met het ontwerp iets grondig mis.
Dikke kans dat de hacker heel doe Baxter niet herkend heeft als Baxter, maar meer als een database-server, of Windows 7 pc. Ja, Medische apparatuur zet je bij voorkeur in een prive-vlan, met prive-firewall tegen de rest van het netwerk, omdat digitale security er meestal gewoon niet in zit. Vloeistofmengers: Windows XP. Pillentellers: Windows XP. Label-op-doos-printers: Windows 7.

Laat een netwerk-engineer de Apotheker maar garanderen dat het veilig is. Die vraagt wel door.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.