Slechte week voor cybersecurity in de zorg

Deze week kwamen er drie grote cybersecurity problemen in de zorg in de openbaarheid.

Lekke patiëntendossiers

Op 7 augustus kwam het bedrijf Project Insecurities met een rapport over grote lekken in open source software die veel gebruikt wordt voor elektronisch patiëntendossiers. Het gaat om de software van Open-EMR.org, naar eigen zeggen de meeste gebruikte open source software voor elektronische patiëntendossiers.

De lekken waren zodanig dat ongeautoriseerde mensen toch gegevens konden inzien. Dat was mogelijk door bijvoorbeeld een uitgebreide url in te typen, om zo direct bij invoervelden terecht te komen. Normaal gesproken lukt dat niet en krijg je een inlogscherm te zien. In dit geval toonde het systeem in het ergste geval medische gegevens van willekeurige patiënten. De problemen in de software gaven grote kansen op datadiefstal, zoals in Singapore inmiddels is gebeurd. Open-EMR heeft inmiddels een update doorgevoerd, zodat de geconstateerde problemen zijn verholpen.

Te hacken implantaten

Op 10 augustus volgde op het grote cybersecuritycongres DEF CON een demonstratie van hoe geïmplanteerde insulinepompen en pacemakers konden worden gemanipuleerd. Bij de insulinepomp was het mogelijk om via een nagemaakt signaal van de afstandsbediening extra insuline toe te dienen. De maker van de pompen adviseert de optie van de afstandsbediening uit te zetten. Bij de pacemaker bood het updateproces van de software mogelijkheden voor het installeren van malware. De fabrikant gaat geen maatregelen nemen.

Valse monitoringgegevens

Op 13 augustus, ook op DEF CON, maakte beveiligingsbedrijf McAfee tenslotte een volgend groot probleem in de zorg zichtbaar: het was mogelijk om bij veelgebruikte monitoring-apparatuur valse patiëntgegevens te tonen. Dit had te maken met het gebruik van een verouderd besturingssysteem (Windows XP) in combinatie met verschillende aanvalsmogelijkheden. Het is de aanvallers gelukt om een "opname" van een ECG-monitor af te spelen, terwijl de echte monitor ontkoppeld was. Hierdoor was het mogelijk om de patiënt van de hartbewaking af te halen, zonder de dienstdoende verpleegkundigen te alarmeren.

Kortom: juist in omgevingen waar cybersecurity essentieel is, omdat het om mensenlevens gaat, zijn nog grote verbeteringen mogelijk.