Veel infuuspompen in ziekenhuizen bevatten kritieke kwetsbaarheden
Veel infuuspompen die in ziekenhuizen worden gebruikt bevatten kritieke kwetsbaarheden, zo stelt securitybedrijf Palo Alto Networks op basis van eigen onderzoek. Via de beveiligingslekken kunnen aanvallers gevoelige data stelen, systeemconfiguraties aanpassen, systemen plat leggen en verdere aanvallen op het ziekenhuisnetwerk uitvoeren.
Voor het onderzoek analyseerden onderzoekers meer dan 200.000 infuuspompen die actief bij ziekenhuizen in gebruik zijn, afkomstig van zeven verschillende fabrikanten. Bij driekwart van de geanalyseerde infuuspompen werden bekende kwetsbaarheden aangetroffen. Zo bleek 52 procent van de infuuspompen een bekend kritiek beveiligingslek uit 2019 te bevatten.
De impact van deze kwetsbaarheid, aangeduid als CVE-2019-12255, is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) is het beveiligingslek op afstand te misbruiken en vereist dit weinig technische kennis van een aanvaller. De betreffende fabrikant kwam in 2019 met beveiligingsupdates, maar die blijken bij veel infuuspompen niet te zijn geïnstalleerd. Ook andere kritieke kwetsbaarheden werden bij duizenden infuuspompen aangetroffen.
"Hoewel sommige van deze kwetsbaarheden onpraktisch zijn voor aanvallers om misbruik van te maken, tenzij ze fysiek in een organisatie aanwezig zijn, vormen ze allemaal een potentieel risico voor de veiligheid van zorgorganisaties en patiënten, met name in situaties waar aanvallers gemotiveerd zijn om extra moeite te doen voor het aanvallen van een doelwit", aldus de onderzoekers.
Ik ben wel nieuwschier hoe makkelijk het is een email te kraken van een arts voor een verrandering in in het medisch dossier door te voeren hoe gemakkelijk dat gaat.
Ik ben wel nieuwschier hoe makkelijk het is een email te kraken van een arts voor een verrandering in in het medisch dossier door te voeren hoe gemakkelijk dat gaat.
Struckto, dit is geen taak van de overheid, dat moeten instellingen zelf doen. Overheidsregels werken eerder belemmerend dan ondersteunend.
Verder zou het bevorderlijk zijn voor het begrijpen van commentaar, wanneer je er op toeziet, dat je correct Nederlands gebruikt. Nu moet ik hopen, dat je met beveiliging experts beveiligingsexperts bedoeld, dat nieuwschier vervangen moet worden door nieuwsgierig en dat je bij verrandering een typo hebt gemaakt en verandering bedoelt. Mocht ik het fout hebben, graag nog een keer in correcte bewoordingen posten a.u.b. Overigens, mocht je dyslectisch zijn o.i.d., type het dan eerst in een tekstverwerker, draai een spellingchecker en copy- -past het dan hier.
Waarom maak je dat op ?
Ze hebben gewoon zitten testen tegen een stel infuuspompen, omdat dat veel lekkerder opgepakt wordt als Groot Probleem dan een chinese webcam.
Feit is gewoon dat al dat soort embedded spul helemaal niet geschikt is om direct aan een vijandige omgeving te hangen .
Ik maak niet meteen op _dat_ die dingen in een ziekenhuis meteen aan het "gasten wifi voor bezoekers en patienten" netwerk hangen .
Ja ik heb dislectie en ben gestopt met school vandaar mijn slechte nl al eerder aan geven in een andere topic.Het is dat je geen code mag pasten want dat versta ik vloeiend zoals c of perl html javascript assembly. Nu we toch bezig zijn ben ik wel nieuwschieig na nokia en de esp chips. Als ze dit uit voeren in de hardware is xor eax,eax niet meer mogelijk.
O wacht even.....
Waarom maak je dat op ?
Ze hebben gewoon zitten testen tegen een stel infuuspompen, omdat dat veel lekkerder opgepakt wordt als Groot Probleem dan een chinese webcam.
Feit is gewoon dat al dat soort embedded spul helemaal niet geschikt is om direct aan een vijandige omgeving te hangen .
Ik maak niet meteen op _dat_ die dingen in een ziekenhuis meteen aan het "gasten wifi voor bezoekers en patienten" netwerk hangen .
Men ziet 9,8 van 10 dus dat moet wel goed mis zijn.
Kijk je verder naar de vector strings voorbeeld die van STACK-BASED BUFFER OVERFLOW CWE-121 en ziet dat er netwerk verbinding nodig is voor exploiting en bedenkt dat het geen apparaten zijn die ingeplugd zitten op het internet en het zeer onwaarschijnlijk is dat een aanvaller fysiek op de locatie komt en zowaard daalt het risico ineens van 9.8 naar een 6.1
Dan vervolgens bekijk je de mitigation die al beschikbaar is en dat er patches zijn en je kunt de temporal score aanpassen met Official fix (O) En er is geen Proof of Concept opgenomen in de report dus die moet op unknown en de temporal daalt ook naar een 5.1
Zou je dit dan bespreken met je Security consultant dan kom je al gauw op een Accepted Risk (AR) schatting en inplannen voor patch tijdens regulier onderhoud van de hardware om later tot een Resolved status te komen bij een herscan waar waarschijnlijk dan al weer tig andere lekken gevonden zijn.
Of denkt enig iemand hier echt dat men bij het zien van dit rapport ala minuut alle infuuspompen beschikbaar stelt voor nood patching op een centrale werkplaats? Zou een leuke afdeling overleg worden ik zie de gezichten nu al voor me.
Ik maak me pas zorgen als op mijn bureau geen boekwerk aan security risks ligt voor audit omdat ik dan zeker weet dat de analisten dan hun werk niet goed gedaan hebben en we te maken hebben met verhoogd risico op unknowns.
Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus.
Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus
Technisch is het dus mogelijk een bloed groep te verranderen van patienten en kan je hieruit op maken dat zieken huis instelligen een directe bedreiging zijn voor cyber aanvallen en internationaal terrorisme. Dit valt meer onder de mivd lijkt mij want het kabinet laat hier wel een enorme steek liggen.
Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus
Technisch is het dus mogelijk een bloed groep te verranderen van patienten en kan je hieruit op maken dat zieken huis instelligen een directe bedreiging zijn voor cyber aanvallen en internationaal terrorisme. Dit valt meer onder de mivd lijkt mij want het kabinet laat hier wel een enorme steek liggen.
Wat ik wil weten als patienten zoals mijn vader die suiker ziekte hebben of het infuus ook gekoppeld is aan het wifi netwerk en zo slecht is. Dan maak ik mij ernstige zorgen over zijn medische behandeling. Ik vraag me af wat die zusters daar doen in die ziekenhuizen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.