Ziekenhuistoestellen makkelijk te hacken door verouderde besturings­systemen, blijkt uit test

Heel wat ziekenhuistoestellen kunnen gehackt worden. Dat blijkt uit een test door ethische hackers van Check Point. Check Point test regelmatig de veiligheid van toestellen die aan het internet verbonden zijn. Veel van die ziekenhuistoestellen draaien op een verouderd besturingssysteem. Het verhaal is bevestigd aan VRT NWS door verschillende ziekenhuisinformatici die anoniem willen blijven.

In een ziekenhuis worden heel wat hoogtechnologische toestellen gebruikt: echografie-apparaten, scanners, ECG-toestellen die de hartslag meten en labotoestellen waarmee de samenstelling van het bloed gemeten wordt. Het probleem is dat sommige van die apparaten op een verouderd besturingssysteem draaien. Dat maakt dat ze kwetsbaar zijn voor hackers. 

Hackers konden echo's verwisselen

Check Point is een Israëlisch bedrijf dat gespecialiseerd is in internetveiligheid. Het beschikt over een team van 200 ethische hackers die de klok rond op zoek gaan naar kwetsbaarheden in bepaalde netwerken. Met hun werk willen ze de mensen bewust maken van gevaren op het internet.

De onderzoekers van Check Point namen een echografietoestel, dat draait op het verouderd besturingssysteem Windows 2000, onder de loep. Het bleek dat dat gemakkelijk te hacken was. "We konden vrij makkelijk in een echo-apparaat inbreken. Daar konden we foto's van de baby en de gegevens van de mama bekijken. We konden zelfs echo's verwisselen", zegt Christof Jacques van Check Point. Maar het stopt daar niet bij. "We kregen toegang tot het volledige medisch dossier van de patiënt."

Jacques benadrukt dat het toestel in Israël is getest. "De ethische hackers mochten verschillende echo-apparaten van een groot ziekenhuis lenen om die te testen op mogelijke kwetsbaarheden. Maar datzelfde type toestel staat ook in ons land."

Het is niet duidelijk hoeveel scanners, echografie- en ECG-apparaten met een verouderd besturingssysteem er nog in omloop zijn. De grote ziekenhuizen zijn voldoende beveiligd, vooral kleine ziekenhuizen zouden nog toestellen met een verouderd besturingssysteem hebben.  

Probleem is dat veel van die toestellen op Windows XP of Windows 2000 draaien

Verouderd besturingssysteem

Volgens Jacques ligt de oorzaak bij het verouderd besturingssysteem. "Probleem is dat veel van die apparaten op Windows XP of Windows 2000 draaien. Dat zijn besturingssystemen die niet meer over de nodige "patches" (stukjes software die het besturinggsysteem extra beveiligen, nvdr.) beschikken. Meer nog, Windows heeft zelf laten weten dat het Windows XP en 2000 niet meer ondersteunt."

Dit verhaal wordt ons anoniem bevestigd door verschillende ziekenhuisinformatici. "Maar geen enkel ziekenhuis zal toegeven dat het netwerk onveilig is", zegt een informaticus van een middelgroot ziekenhuis. "We gebruiken soms dure toestellen die een paar jaar oud zijn. De vervanging ervan kost handenvol geld. Toch worden ze aan het internet gekoppeld zonder dat men kijkt naar de mogelijke risico's."

Jacques herkent het fenomeen. "Producenten vragen aan ziekenhuizen om de toestellen aan te sluiten zodat het onderhoud via het internet kan gebeuren. Zo hoeft men niemand ter plaatse te sturen."

In dit filmpje demonstreren onderzoekers van Check Point hoe ze te werk zijn gegaan: 

Nieuwe toestellen zijn duur

Een andere informaticus, die instaat voor de veiligheid van het netwerk van een ziekenhuizengroep, bevestigt dat ziekenhuizen de aankoop van nieuwe toestellen uitstellen. "Een toestel voor bloedanalyses kost snel 100.000 euro. Als ziekenhuis moet je nu eenmaal prioriteiten stellen. We zijn ook zwaar onderbemand. Als je beseft dat er in onze groep duizenden mensen (artsen en verplegend personeel, nvdr.) werken, kunnen we moeilijk controleren of elke internetaansluiting wel veilig is." De informaticus vindt ook dat er een gedragscode moet komen. "Iedereen kan hier binnenstappen en zijn laptop aan het netwerk koppelen."

Wij hebben 2 toestellen die nog op Windows XP draaien, maar ze zijn niet verbonden aan het netwerk. Wij controleren ons netwerk ook constant op mogelijke risico's.

Marc Monbailleu, directeur IT Maria Middelares

Marc Monballieu is directeur IT voor het Maria Middelares-ziekenhuis in Gent. Hij is er zich van bewust dat sommige toestellen gehackt kunnen worden. "Wij hebben twee toestellen die nog op Windows XP draaien, maar ze zijn niet verbonden met het netwerk. Wij controleren ons netwerk ook constant op mogelijke risico's. Daarnaast hebben we twee "firewalls" (een virtuele "muur" die het netwerk beschermt, nvdr.), een interne en een externe. Als een extern bedrijf toegang wil tot een toestel krijgt het alleen toegang tot dat toestel."

Het Maria Middelares-ziekenhuis beschermt het netwerk ook door het in te delen in verschillende compartimenten. Zo kan een hacker bij een mogelijke inbraak niet het hele netwerk platleggen. Monballieu benadrukt dat niet alleen zijn ziekenhuis zo werkt. "Ook andere ziekenhuizen zijn goed bezig. Maar een aanval kan je, zoals in andere sectoren, niet honderd procent vermijden."

Ook ziekenhuizen doelwit van hackers

Het hoofd van e-Health, Frank Robben, geeft toe dat je het netwerk van een ziekenhuis niet honderd procent kan beveiligen.  E-Health is een overheidsdienst die instaat voor de uitwisseling van persoonsgegevens tussen verschillende zorgverstrekkers. "Maar we hebben wel een aantal veiligheidsmaatregelen ingevoerd. Zo staan de patiëntendossiers niet op één server, maar zijn ze verspreid over verschillende plekken. Daarnaast is het mailverkeer tussen zorgverstrekkers versleuteld. Zo kunnen ze niet gelezen worden als die worden onderschept. We werken daarnaast ook nauw samen met internationale partners zodat we bij mogelijke inbraken door hackers snel kunnen ingrijpen." 

Dat ziekenhuizen een gegeerd doelwit vormen voor hackers werd twee weken geleden nog duidelijk.  Een groep - vermoedelijk Russische hackers - slaagde erin om het netwerk van het ziekenhuis André Renard in Herstal plat te leggen. In deze zogenaamde "ransomware attack" plantten de hackers een virus in het systeem. Om het virus te verwijderen vroegen ze aan het ziekenhuis een paar duizend euro's.

BeMedTech, de federatie van producenten van ziekenhuisapparatuur, is er zich van bewust dat er toestellen met een verouderd besturingssysteem in omloop zijn. Daarom vraagt de organisatie aan ziekenhuizen dat ze hun toestellen tijdig onderhouden en indien nodig vervangen. BeMedTech vraagt ook om een duidelijke richtlijn voor het onderhoud van ziekenhuistoestellen.

Meest gelezen