Inderdaad het gesprek gevolgd op BNR. Het voorbeeld was zwak. De externe "deskundige" maakte het groter dan het in werkelijkheid was. Waar hij wel gelijk in had is dat standaard het ziekenhuismanagement niet snel noodzaak ziet in vervangen van OS'sen die niet meer ondersteund worden. Gewoonweg dit te kostbaar vindt.

Tsja... Zolang het op geen enkele manier aan de grote boze buitenwereld hagnt (dus ook niet via een USB stick!), dan zal het allemaal wel. En dat is waarschijnlijk ook gelijk het punt waar het fout gaat.

Ander probleem: prima functionerende apparatuur, maar de fabrikant 'ondersteunt het niet meer' (ofwel: er komen geen nieuwe software releases meer uit). Dat moet je dus gaan weg mieteren omdat iemand in een ver verleden de miskleun heeft gemaakt om het op microsoft te laten draaien.

En wat zegt de Minister KUIPERS????

Hij wil eerst weten wat een OS is en heeft nog nooit van XP gehoord, denk ik

Als werknemers thuis de moeite nemen hun eigen Windows up te daten, waarom zouden ze dat dan niet op het werk kunnen, een vreemd verhaal.
En juist hier is het zo belangrijk, heel jammer om te horen.

Veel te ingewikkeld! Vraag maar aan hem wat een IP-adres of een MAC-adres is.

En waarom zou hij dat moeten weten? IT'ers moeten eens van het idee af dat ministers moeten weten wat een bepaald OS is (XP, Ubuntu, net wat), of een IDS, of een poortnummer. Niet zijn taak, gaat hem helemaal niets aan. Totaal onbelangrijk voor de uitvoering van zijn functie. Hij richt zich op andere dingen. Lifecycle management op het bord leggen van een minister, zo werkt dat natuurlijk niet. Iets met scheidingen tussen strategisch, tactisch, operationeel, en prioriteitstelling. Hij houdt zich ook niet bezig met hoe goed de ziekenhuizen worden schoongemaakt. Heel belangrijk, maar niet voor hem.

Het grootste probleem (ook buiten ziekenhuizen) zijn apparaten waar je als "black box" een PC bij krijgt die je niet zelf kan updaten, soms zijn die voorzien van een embedded variant van een OS. De enige optie die je hebt is het apparaat waar ze bij horen niet meer gebruiken, maar ja, vertel het management maar eens dat ze een nieuwe CT scanner van heel veel €€€€€ moeten kopen omdat het OS van de PC die hem bestuurd niet geupdate kan worden ...

Dit speelt ook bij heel veel bedrijven en technische opleidingen. Heel veel dure laboratorium-apparatuur, CNC-machines e.d. wordt geleverd met een Windows OS. De hardware gaat langer mee dan het OS. Vervanging loopt minimaal in de tonnen per installatie.
Leveranciers gaan achterover leunen, koop maar een volledig nieuwe opstelling. Ziekenhuizen en opleidingen worden meestal met privaat geld (onze belastingcenten) gefinancierd. Geen wonder dat ze niet zomaar tot vervanging overgaan.
Het creëren van VLANs met specifieke firewall-rules voor de leverancier is daarom een veel voorkomende oplossing.

Net zoals het recht op reparatie zou hier ook het recht moeten gelden om alleen de Laptop / PC / Thin client te upgraden inclusief een nieuwe driver voor de hardware. Dat is een overheidstaak om dat af te dwingen want niet in het belang van de leverancier.

Iso 27k certificering laten intrekken is waarschijnlijk taal die management wel begrijpt.
Als alternatief kan natuurlijk de voeding van dergelijke apparaten afgesloten worden natuurlijk met een verzegeling.

Dan was het een apparaat met een afschrijvings termijn van 5bjaar en niet zoals aangenomen 20 jaar...
Op die manier begrijpt ook een bestuurder waar het fout gaat.

De "grap' is dat je Windows XP prima kan beveiligen op een netwerk, ware het niet dat beheerders geen admintoegang hebben omdat dan de certificatie wordt overtreden. Of die certificatie niet allang is verlopen is een tweede.

Elk apparaat moet beschermd zijn in een eigen DMZ. Dus niet samen met andere apparaten, dat is een recept voor rampen. Een ander probleem is het overbrengen van bestanden. Via dezelfde weg (SMB/RPC) kan malware worden overgebracht. Er zal toch ergens toegang moeten zijn.

Bij aanschaf van apparatuur moet met leverancier worden afgesproken dat de software 10+ jaar (of de levensduur van het apparaat) up to date zal worden gehouden met alle security patches. Het is onzinnig een beademingsapparaat maar 5 jaar mee zou gaan omdat dan het OS EOL is. Als deze eis landelijk of in de EU wordt gesteld kunnen apparaten die daar niet aan voldoen niet meer worden verkocht.

Het heeft niks voor niks de naam blackbox, zelf updates installeren wordt zeer sterk afgeraden tenzij ze door de leverancier geleverd worden. Je moet deze ook zo behandelen dus niks mee doen, netwerk verkeer zoveel mogelijk beperken en externe rand apparatuur blokkeren en verder laten draaien.

Het is een leuk onderzoek, maar in dit geval zal 99% om blackbox installaties gaan en je ziet dit ook gewoon bij andere bedrijven. Ik zie het ook helemaal niet als een probleem als je er maar juist mee omgaat en wordt heel veel toegepast kijk bijvoorbeeld naar het aantal OS/2 systemen die vandaag de dag nog actief zijn of oude mainframes.

Lifecycle mangement:
Je schaft iets aan (bv een CT scanner) wat x jaar ondersteund wordt. (dat is incl het OS)
Daarna moet het vervangen worden.

Dat moet je een management wel kunnen uitleggen (als ze minimaal middelbare economie) gehad hebben.
En de inkoopafdeling helemaal.

Prima maar dan moet hij zich ook niet bemoeien met IT gerelateerde kwesties zoals Corona App want daar heeft hij ook geen kennis over en ook niet over een EPD.

Hebben we een deal?

Eindgebruiker (ziekenhuis) kan hier ook weinig aan doen imho. Tenzij ze de updates die hun leverancier uitbrengt niet installeert.

Het is ook gewoon een vreemde keuze van een leverancier om een normale windows variant hiervoor te gebruiken. Een dedicated embedded versie had minder vraagtekens en langere support gegeven.

Dit soort apparatuur zouden we als 'wereld' gewoon b.v. 15 jaar full-support op moeten eisen (incl. volledige ondersteuning van updates)

Mensen hebben thuis geen windows meer maar een smartphone (apple android) of tablet (apple android).
Daarom hoor je bijna geen geklaag meer thuis. Incidenten horen bij ouderwetse kantooromgevingen en instellingen met een vendorlock zoals ziekenhuizen.

Dit is een opmerking die aangeeft dat je geen enkele kennis hebt van hoe het werkt in real life.
Het gaat niet om een desktop PC, maar om een medisch apparaat dat aangestuurd wordt via XP.
Ook al zou je het willen, als ziekenhuis kun je dat systeem niet updaten. Dat moet de leverancier doen.
Als ze het al doen, dan kost dat waarschijnlijk wel wat - de software moet immers aangepast worden.
Daar moet iemand wel voor betalen natuurlijk.

Wat ook kan is dat het apparaat out-of-service is, dan heeft de leverancier liever dat je iets nieuws koopt.
Ook dat kost centjes. Belastingcentjes. Jouw centjes dus bv. Ziekenhuis zal die liever in de zorg stoppen;
dat er XP gebruikt wordt is niet per definitie een garantie voor ongelukken. Net zoals toen de autogordel
werd ingevoerd, oude auto's niet verplicht waren om een gordel te monteren. Uiteraard eigen risico als
je in zo'n barrel rijdt.

Nou strategisch beleid natuurlijk wel. Bv open source verplichten zodat voortborduurt kan worden op wat er al is. Gezamenlijk investeren in een opensource EPD en een open source werkplek. Dat levert op termijn veel geld op door de upgrade maffia te elimineren.

Dat is niet zo. Als Canon een printer levert met een XP station er naast (zoals hier bij ons om te kunnen scannen met een windows koppeling) is het goedkoper, meer beveiligd (zie printspooler win zero days) en ook nog stabieler om een printer te kopen met een Linux printserver niet duurder. Het enige wat vereist wordt is ff meer nadenken ipv iets van het schap pakken omdat iedereen dat lijkt te doen.
https://www.openprinting.org/printers

Precies. Zonder context zegt het niets of dit gevaarlijk is. Wij hadden vroeger ook analyse apparatuur staan (IR-spectometer, trekbank etc) die via een Windows PC aangestuurd werd. Dat waren toen gewoon solitair opgestelde apparaten.

Was een paar jaar geleden in een Nederlands ziekenhuis waar ze nog gebruikmaakten van monochroom beeldschermen (jaren 80 model).

Al die windows XP bakken hebben SMB1 nodig wany er moeten bestanden worden uitgewisseld. Weet wat voor drama dat is (iets met Wannecry). Die apparatuur met XP zonder netwerkverbinding moeten regelmatig opnieuw worden geïnstalleerd (ook netwerk verbinding nodig ivm ISO etc) omdat het filesysteem zo is gefragmenteerd (defragmenteren helpt niet meer) dat het niet meer vooruit te branden is. Ik vind eigenlijk dat de ICT manager ontslagen moet worden voor gebruik van XP . Voor het nemen van onverantwoord risico, waardoor de bedrijfsvoering in gevaar is (windows ransomware) en faillissement op de loer ligt.

Foute aanname het is niet te managen. Die dingen moeten de container in of je installeert een OS (indien mogelijk) wat wel wordt gesupport.

Dat is niet waar. Hier staat een printer met een windowsXP desktop ernaast

Die doen het niet meer door een volgelopen of gefragmenteerd filesyteem. Afvoeren dus. Geen enkel lifcycle management waard.

Zegt de puber wiens vrienden ook allemaal alleen maar een smartphone hebben.

Dan zouden ze niks moeten kopen maar een GNU+Linux systeem aan mieten nemen, maarja, dealtjes met Microsoft is ook waar scholen voor vallen, niet alleen ziekenhuizen.

De koffieautomaat wasmachine draaien ook zeer verouderde computersystemen.
Daar is geen enkel probleem mee, niet verbonden met andere systemen.

De ransomware aanval kan weldegelijk geleid hebben tot de dood van het slachtoffer, alleen is juridisch niet 100% rond te krijgen:

Die verwerken alleen geen medische informatie en hebben geen kritieke functie.

In mijn tijd bij CERT kwamen we XP tegen bij de chirurg desk in de operatie kamer en toen was er altijd al gezeik met werking van die hardware dus mag hopen dat ze EOL daar iedergeval wel nu respecteren.

Men heeft het vaak over het gevaar er op de loer ligt als het oude OS betreft. Men heeft het niet hoeveel levens het red als een XP nog de beademingsapatuur bedient dat anders als tonnen geld over boord gegooit wordt. Per machine is het verstandig om te bekijken in hoeveel gevaar het opleverd en soms zijn apparaten niet direct te vervangen omdat er heel veel geld mee gemoeiit zijn, een leverancier failliet is of omdat er geen alternatief/levens red is. Zeggen dat iets verouderd is en onveilig is, is wat kort door de bocht. Helaas wordt windows gebruik makkelijk weggezet als een tuin en keuken apparaat wat je zo even vervangt.

De rest heeft een smartphone en een Android Tablet of een IPad. De windows desktop is al lang weggegooid. De overstap naar een andere GUI bleek kinderlijk eenvoudig.

De organisatie waar ik voor werk heeft meerdere systemen waar nog XP op draait die ook geen updates meer krijgen, maar die hebben geen toegang tot het internet. De USB poorten zijn niet toegankelijk of uitgeschakeld. Klaar toch?

En beheren die ook toevallig een medische infrastructuur en hebben die honderden maatwerk software packets? Nee? dan wat heeft dit te maken met de situatie in het nieuwsbericht. Wat moet ons het interesseren dat een consumenten of SMB netwerkje geen problemen had bij uitfaseren van een OS. Niet relevant aan enterprise situaties.

Dit soort systemen worden niet aangeschaft door de IT afdeling. Dit soort systemen worden aangeschaft (voor heel veel geld) door medici, onderzoekers of de facilitaire dienst (gebouwbeheer software is vaak ook zo'n ramp) en de IT afdeling krijgt van hogerhand de dienstopdracht de software te installeren en beheren volgens de instructies van de leverancier. Nee zeggen als er net een astronomisch bedrag is betaald is geen optie.

De informatieschermen in de Sprinters (huidige snelheid, binnen temperatuur, haltevolgorde, actuele aankomsttijden etc.) van de NS worden ook nog steeds aangestuurd door Windows XP.

De kassa's in het warenhuis hebben ook steeds op XP gedraaid.

Warenhuizen hebben het minder lang volgehouden dan dit OS.

Ik zag laatst in een sprinter een BSOD en dat was geen blauw XP scherm maar iets met ':(' zonder QR code. Win8 denk ik.

Ja, dat zijn zeer critische apparaten in een ziekenhuis. Die mogen zeker niet aan het netwerk hangen.

Je kunt wel lezen dat hier maar weinigen reageren met verstand van zaken van apparatuur wat in ziekenhuizen gebruikt wordt. Er wordt teveel vanuit kantoorauromatisering gedacht terwijl je dit soort apparatuur min of meer met OT kan vergelijken. De investeringen zijn mega duur en zijn vaak zo opgezet dat alleen de leverancier of fabrikant updates kan aanbrengen. Deze updates komen er meestal als er zaken niet goed functioneren en hebben vaak helemaal niets met security te maken maar met functionaliteit. Als je als patient een MRI scan moet laten maken dat wil je wel dat ze de eventuele kanker goed in beeld kunnen krijgen en zal het je worst zijn dat het systeem door een oud OS aangestuurd wordt. Zo denkt de specialist, die afhankelijk is van het beeld van de MRI, tenslotte ook. Uiteindelijk is het aan de IT afdeling(en) om ervoor te zorgen dat die dingen nooit rechtstreeks via een openbaar netwerk te benaderen zijn. En voor wie denkt dat het kinderspel is om even binnen te lopen met een USB stick om een virus te introduceren moet niet zoveel Netflix kijken want onmogelijk is het niet maar bijzonder lastig zeker wel.
Ik lees wel vaker dat bepaalde systeem kinderlijk eenvoudig te hacken zijn. Wel, de eerste moet nog geboren worden die zoiets voor elkaar kan krijgen. Theoretisch kan alles maar nu de praktijk nog.

Wie is die "rest"? Graag een definitie.

Hier (thuis) een tweetal linux laptops, een NAS en een VM-server met een aantal VMs met linux als OS.
Geen windows, geen android, geen iOS.

Ik kom eigenlijk overal nog gewoon Windows tegen.

Wie zegt dat er in de ziekenhuizen XP icm SMB1 wordt gebruikt? Maar ook dat is gewoon icm compartimenten gewoon goed in te regelen met minimal risico's.

Je hebt het draadje gemist. Mensen hebben thuis geen windows meer (op wat systeembeheerders na, maar die gebruiken weer een laptop van de zaak)

De titel klopt ook niet helemaal. In het bron artikel wordt slechts één ziekenhuis genoemd die expliciet Windows XP gebruikt. Dus het meervoud uit de titel is alleen een speculatie.

Bij de andere ziekenhuizen gaat het om eol besturingssystemen in zijn algemeen, zonder verdere specificatie. Dat kan XP zijn, maar ook een niet-windows systeem.

Wannacry alweer vergeten! XP heeft maar 1 compartiment! win10/11 trouwens ook,

Welke onverantwoordelijke knurft heeft verzonnen Microsoft Windows te gebruiken in medische apparatuur? Dat is toch strafbaar z zoiets?

Gebrek aan kennis. Voor een technische omgeving ook zeer kwalijk. Daarnaast crashte of hing ook XP elke dag. Dat je het dan verzint om iets technisch te besturen terwijl er niet eens een fatsoenlijke compiler beschikbaar was.

Ehm ja dat is wel kind eenvoudig.

Zal je vertellen hoe mijn stage ging bij een niet nadergenoemd ziekenhuis een van grootste van NL als IT ondersteuning.
We kwamen de eerste dag kregen een portofoon werden rondgeleid gingen naar kantoor voor maken van staf kaart apparaat werkte niet dus geen kaart werden wel vevolgende ingeroosterd.

Gingen ziekenhuis in liepen in kelder deel voorbij bewaking langs de biohazard buizen opslag ruimte en wasruite ruimte lift in langs alle afdeling zonder ook maar een keer staande gehouden te zijn wat we daar deden terwijl we duizenden euros van apparatuur aan het verslepen waren zoals baco radiologisch schermen.

Andere keer langs IC om daar een status monitor issue op te lossen alle patient data op de rijdende zuilen stond onbeschermd open bij vragen waarom omdat ze geen tijd hadden wachtwoorden in te vullen constant.

Andere probleem oplossing in chirurgen kamer wat door een andere chirurg was gemeld dan de dienstdoenende geen enkele vraag wat daar deden terwijl we in ongeveer het meeste afgesloten deel van het ziekenhuis dus bezig waren.
Chirurg gaf ons zijn wachtwoord zodat die een sigaretje kon roken en een boterham bij het raam kon eten. (in een operatie kamer)

Op tweede dag zaten we midden in de nacht een meld, aansturing post aan te leggen en sleepten en krimpten kilometers aan kabels zonder vragen wtf er in de nacht gebeurde door enig persoon.

Week erop hadden we pas onze stafkaart en waren we officieel herkenbaar.

Dus als je zegt dat ik daar niet met een usb stick kon komen ik kon er met een complete PC kast komen of weg gaan met 40 inch schermen. Geen staf kleding geen begeleiding, geen ID kaart, social engineering was niet eens nodig geweest.

En ja we hebben het aangekaart daar is een memo van rond gestuurd en called it another day.
En dat is niet een los staand incident kan ik je verzekeren.


En omtrent netflix taferelen qua social engineering redteaming en fysieke pentest. Hier de truuk die ik in mijn career later heb gebuikt als de meest succesvolle inbraak test. sigaret lurken of vape bij groep medewerkers buiten gebouw om vervolgens mee te lopen naar binnen met een usb stick in sok mini camera in knoop of bril. Naar toilet usb stick pakken kaartje wat je al hebt geregeld van te voren bij je dragen en aan de slag langs afdelingen openliggende informatie noteren.

Meeste targets is dat alles dat je nodig hebt. Hell in sommige gevallen is het al genoeg om te zeggen dat je er bent om beveiliging te testen en de vrijwaring brief te tonen zonder dat ze snappen dat ze dan meteen de manager moeten bellen dat er een incident plaats vind in plaats van je door te laten naar hun server ruimte waar ik een fake payload kan droppen.

Netflix maakt alles super spannend de realiteit is dat het kind eenvoudig is fysiek in te breken onder de neus van anderen in meeste gevallen. En waar men wel controleert zijn daar ook lowtech truukjes voor om toch succesvol bij je target te komen. Digitaal inbreken ja dat is vrij lastig maar vanaf de locatie fysiek you are absolutely fcked.

Ik wel, dus daar ga je al.

Maar als je geen Apple device hebt, heb je toch ook geen MAC-adres? :-)

Maar zijn deze systemen dan verbonden met het internet ? Ik heb in het verleden ook een windows XP bak gebruikt. Maar dat was een computer die vast zat aan een label printer. De labels werden ermee geprint. De data werd met de hand ingevoerd of via een USB stick. (of barcode scanner...)

Als het goed is ingericht niet.

Daarom zijn het ook alleen maar wannabe "experts" die hier zo druk doen.
En natuurlijk toko's op BNR die security diensten verkopen en een rondje bangmakerij doen.

Onzettend weinig systemen zijn werkelijk geschikt - en ingericht - om de eigen broek op te houden qua security in een werkelijk vijandige omgeving.
En die geschiktheid kan elk moment verdwijnen als er weer kritische CVE gepubliceerd wordt.

Ook al draait zo'n monitor of MRI scanner _wel_ een geschikt OS - je hebt hier blijkbaar idioten die echt denken dat je dan acuut de patch van de dag erop moet knallen want suhkjoeriti . Natuurlijk ongeacht of er een patient aan hangt waarvan de monitor even offline gaat want patch moet erop. Ongeacht de vraag of het de boel eigenlijk wel blijft werken - ook geen onbekend fenomeen, dat dingen functioneel stoppen door een patch.

In de medische hoek (en ook luchtvaart, of militair) is er een enorm circus van certificaties - die opnieuw gedaan moeten worden als er ook maar iets wijzigt . Dat staat totaal haaks op kantoor beheerders die gewoon "ff laatste software erop" doen.

Zo makkelijk gaat dat niet. Het draaien van windows XP op kritische medische systemen is niets nieuws en al jaren bekend. In sommige gevallen (zoals al in de discussie aangevoerd), worden systemen als 1 pakket geleverd. Overgaan naar een nieuwe OS ligt minder voor de hand dan installeren van een patch. Het gaat om de stabiliteit van de installatie en niet het patch of OS niveau tenslotte.