Beveiligingsexperts kraken databases van ziekenhuizen
Beveiligingspecialisten van de bedrijven ITSX, Fox-IT en Madison Gurkha zijn in opdracht van publiciste Karin Spaink twee ziekenhuizen binnengedrongen en hebben toegang verkregen tot 1,2 miljoen patientgegevens. De twee ziekenhuizen in kwestie, die voorlopig anoniem willen blijven, hadden toestemming gegeven om hun beveiligingsystemen op de proef te stellen. Zonder al teveel moeite konden de hackers de blokkades omzeilen en gegevens van patiënten opvragen, bewerken en weggooien. Na het binnendringen van het intranet heeft Spaink de bedrijven een halt toegeroepen, maar ze is er zeker van dat uiteindelijk ook de kritieke systemen kunnen worden gekraakt. De ziekenhuizen en de drie bedrijven zijn nu in overleg over noodoplossingen voor dit probleem.
De minister van Volksgezondheid wil op korte termijn patiënten voorzien van een digitaal dossier, maar volgens Spaink is dit geen verstandig plan. Zij vindt dat eerst de beveiliging kritisch moet worden nagekeken voordat de gegevens van de patienten in een landelijke database worden gestopt. Als een dossier kan worden aangepast of gestolen door hackers, kunnen patiënten gevaar lopen. De gegevens kunnen worden gebruikt voor chantage of door aanpassing een fout introduceren die een voortijdig overlijden van de patiënt tot gevolg heeft. De publiciste waarschuwt de medici voor de feilbaarheid van de digitale gegevens en het te grote vertrouwen in de computersoftware. Maandag zal ze het boek 'Medische Geheimen' presenteren, waarin ze de problemen en toepassingen van de elektronische dossiers behandelt.
Reacties (41)
Damn die afbeelding bij het nieuwsbericht is lastig 
Ik dacht al dat m'n muis raar deed..
Ik dacht al dat m'n muis raar deed..
heb jij ook een muis pointer uit de jaren 80 dan? Ziet eruit als 2-bit graphics.. 
Heb Win XP classic theme, en precies dezelfde cursor.
hmm ze moeten m de volgende keer windows xp style eropzetten met die schaduw aan, dan trapt waarschijnlijk driekwart van de tweakers erin
Echte tweakers zetten al die schaduws, overgangseffecten en en andere tralala (lees: b*llsh*t) uit 
Een beetje Tweaker heeft natuurlijk al lang gezien dat die afbeelding uit deze film komt.
Goede zaak dat ze zelf actief testen of hun beveiliging wel in orde is. Beter zij zelf dan een ander die minder goede bedoelingen heeft. Mischien niet helemaal slim om dit zo naar buiten te brengen, zo breng je andere ook alleen maar op ideeën lijkt me.
ik denk dat anderen al lang dat soort ideeen hebben. Ik elk geval de mensen die kwaad willen, help je niet op deze manier aan nieuwe ideeen. dit kraken zo'n systeem en laten vervolgens geen sporen achter.
waar dit wel goed voor is:
1) reclame voor haar boek, en
2) bewustwording van de maatschappij over de kwetsbaarheid van digitale gegevens.
waar dit wel goed voor is:
1) reclame voor haar boek, en
2) bewustwording van de maatschappij over de kwetsbaarheid van digitale gegevens.
Precies.
In Nederland zit men echter niet stil. Er zijn nu NEN normen (7510 en verder) die zijn afgeleid van de algemene Code voor Informatiebeveiliging en die specifiek op medische systemen van toepassing zijn.
Die normen zijn nog geen wetgeving, maar ook daar wordt aan gewerkt. De huidige stand van de beveiliging is inderdaad vaak bedroevend.
Er loopt op dit moment in Engeland een meer-jaren project om alle Engelsen van een digitaal medisch dossier te voorzien (google maar eens op NPfIT).
Security en privacy staan daar zo hoog in het vaandel dat de technische implementatie daar ondergeschikt aan is. Kan het technisch, maar voldoet het niet aan de gestelde beveiligingseisen, dan mag het terug naar de tekentafel.
Goeie zaak imho. Zo worden ontwerpers gedwongen vanaf het begin af aan ook veilig te ontwerpen.
* 786562 egeltje
In Nederland zit men echter niet stil. Er zijn nu NEN normen (7510 en verder) die zijn afgeleid van de algemene Code voor Informatiebeveiliging en die specifiek op medische systemen van toepassing zijn.
Die normen zijn nog geen wetgeving, maar ook daar wordt aan gewerkt. De huidige stand van de beveiliging is inderdaad vaak bedroevend.
Er loopt op dit moment in Engeland een meer-jaren project om alle Engelsen van een digitaal medisch dossier te voorzien (google maar eens op NPfIT).
Security en privacy staan daar zo hoog in het vaandel dat de technische implementatie daar ondergeschikt aan is. Kan het technisch, maar voldoet het niet aan de gestelde beveiligingseisen, dan mag het terug naar de tekentafel.
Goeie zaak imho. Zo worden ontwerpers gedwongen vanaf het begin af aan ook veilig te ontwerpen.
* 786562 egeltje
Dit is nou een goed initiatief, op deze manier worden de hackers eens een keer niet in een kwaad daglicht gezet. Eindelijk worden ze gebruikt waar ze voor bedoeld zijn 
effe mierenpesten: moet Spaink zijn.het intranet heeft Spain de bedrijven
Het Ministerie van Justitie heeft ook vergaande plannen om de systemen en netwerken van de verschillende onderdelen te ontsluiten via het internet.
Zorgwekkend...
Zorgwekkend...
Scheen overbodig te zijn...
Ik maak me altijd zorgen om bedrijven en consultants die beginnen met een hackerstest. Eigenlijk moet je een hackerstest gebruiken na alle onderzoekswerkzaamheden te hebben uitgevoerd als controle dat alle beveiligingsmaatregelen daadwerkelijk zijn geimplementeerd. Wat ik vaak zie, is dat bedrijven niet luisteren naar professioneel advies maar pas wat gaan doen na een hackerstest of (nog erger) na een incident. Liever zie ik dat een beveiligingsplan met zowel fysieke, technische als procedurele maatregelen wordt ingevoerd, met een nadruk beveiligingsbewustzijn van gebruikers. Wat nu gaat gebeuren, is dat de technische beveiliging in orde wordt gemaakt, maar dat die beveiliging niet volledig is omdat er andere mogelijkheden (bijv. onbeheerde werkstations, delen van wachtwoorden, [overige 100 mogelijkheden weggelaten]etc.) blijven om de beveiliging te doorbreken.
Ook maak ik me nog weleens zorgen over het mogelijke cowboy gedrag van deze test hackers. Hacken is vaak gericht op systeemkwetsbaarheden, bijv. het gebruik van bufferoverflows of veranderen van systeemsettings. Daarmee maak je een systeem instabiel, volkomen onverantwoord in een ziekenhuisomgeving.
Ik lees bovenstaande terug in het verhaal, Spaink moest de beveiligingspecialisten een halt toe roepen. Hackerstests moet je eigenlijk niet op een productieomgeving uitvoeren. Hoeft totaal niet. Je kunt dezelfde informatie zonder hacken krijgen en (indien gewenst) demonstreren op een testomgeving. Je wilt niet weten hoeveel praktijkvoorbeelden ik ken uit eerste en tweede hand waarbij de productie-omgeving uitviel na een hackerstest.
Ook maak ik me nog weleens zorgen over het mogelijke cowboy gedrag van deze test hackers. Hacken is vaak gericht op systeemkwetsbaarheden, bijv. het gebruik van bufferoverflows of veranderen van systeemsettings. Daarmee maak je een systeem instabiel, volkomen onverantwoord in een ziekenhuisomgeving.
Ik lees bovenstaande terug in het verhaal, Spaink moest de beveiligingspecialisten een halt toe roepen. Hackerstests moet je eigenlijk niet op een productieomgeving uitvoeren. Hoeft totaal niet. Je kunt dezelfde informatie zonder hacken krijgen en (indien gewenst) demonstreren op een testomgeving. Je wilt niet weten hoeveel praktijkvoorbeelden ik ken uit eerste en tweede hand waarbij de productie-omgeving uitviel na een hackerstest.
Dit zegt natuurlijk niets, dit wordt voornamelijk zo opgeschreven om het verhaal nog wat spannender te maken dan het al is. Waarschijnlijk is er van te voren gewoon met deze bedrijven afgesproken wat er precies de bedoeling is. Daarnaast bestaan bedrijven als Madison Gurkha niet uit een stelletje zakelijke script kiddies ofzo. Deze mensen snappen zelf ook wel dat het niet handig is om te rommelen met de instellingen van de beademings apparatuur van patient 347264.Ik lees bovenstaande terug in het verhaal, Spaink moest de beveiligingspecialisten een halt toe roepen.
Toevallig dat je dat ter sprake bent,
mijn neefje ligt door omstandigheden in het ziekenhuis, en apparatuur dat aan hem verbonden ligt draait op microsoft windows,
je ziet voortdurend de screensaver met Microsoft windows xp proffesional langskomen. Hoop wel dat het aangepaste software is, en/of iig niet op een buitennetwerk is aangesloten.
mijn neefje ligt door omstandigheden in het ziekenhuis, en apparatuur dat aan hem verbonden ligt draait op microsoft windows,
je ziet voortdurend de screensaver met Microsoft windows xp proffesional langskomen. Hoop wel dat het aangepaste software is, en/of iig niet op een buitennetwerk is aangesloten.
Ik heb een tijdje bij een groot bedrijf gewerkt waar medische apparatuur ontwikkeld wordt, en meestal is het (nog ) wel zo dat de user interface alleen op Windows draait om de klant/dokter een bekend gevoel te geven, maar dat de 'core' functionaliteit op een real-time embedded systeem draait.
De UI is dan ook nog zo ontworpen dat ieder onderdeel automatisch opnieuw kan opstarten als er 'iets' crasht (bijvoorbeeld een deel van het systeem, of het hele systeem).
) wel zo dat de user interface alleen op Windows draait om de klant/dokter een bekend gevoel te geven, maar dat de 'core' functionaliteit op een real-time embedded systeem draait.De UI is dan ook nog zo ontworpen dat ieder onderdeel automatisch opnieuw kan opstarten als er 'iets' crasht (bijvoorbeeld een deel van het systeem, of het hele systeem).
Goed punt, dan heeft mevr. Spaink binnenkort mogelijk ruzie met Madison Gurka. Als professionele IT beveilingsbedrijf wordt dit bedrijf natuurlijk zwaar beledigd door de suggestie dat als Spaink er niet bijgestaan had, dat het dan helemaal fout gegaan was.
Ik heb trouwens ooit geleerd bij mijn eerste training computer auditing dat je eigenlijk nooit aan de systemen van de klant moet zitten als auditor. Als er de komende weken iets mis gaat, dan krijgen deze bedrijven al dan niet terecht de schuld. Mede door de indirecte verdachtmaking van Spaink.
Ik heb trouwens ooit geleerd bij mijn eerste training computer auditing dat je eigenlijk nooit aan de systemen van de klant moet zitten als auditor. Als er de komende weken iets mis gaat, dan krijgen deze bedrijven al dan niet terecht de schuld. Mede door de indirecte verdachtmaking van Spaink.
Dat is toch goed, als ze zo professioneel zouden zijn zou spaink dit helemaal niet hebben kunnen (laten) doen..
Aan je profiel te zien denk ik dat je ook net zo goed als ik (al dan niet beter) weet dat:
Het in het bedrijfswereldje 9 van de 10 keer totaal niet gaat om de technische implementatie van systeemen, maar is het vaak een kwestie van politiek.
De rabobank heeft ook pas acties ondernomen met beveiliging toen er eenmaal een incident had plaats gevonden.
Ik ben het helemaal met je eens dat je in een productie omgeving (en hierbij zelfs om echte lifecritical systemen) geen testen moet doen in welke soort dan ook en al helemaal geen testen waarbij je wilt aantonen dat je het onderuit kan schoppen.
Maar soms moet dit gedaan worden om het management wakker te schudden.
Het in het bedrijfswereldje 9 van de 10 keer totaal niet gaat om de technische implementatie van systeemen, maar is het vaak een kwestie van politiek.
De rabobank heeft ook pas acties ondernomen met beveiliging toen er eenmaal een incident had plaats gevonden.
Ik ben het helemaal met je eens dat je in een productie omgeving (en hierbij zelfs om echte lifecritical systemen) geen testen moet doen in welke soort dan ook en al helemaal geen testen waarbij je wilt aantonen dat je het onderuit kan schoppen.
Maar soms moet dit gedaan worden om het management wakker te schudden.
Onzin, de hack zal uit 2 stukken moeten bestaan :
- Binnendringen op het netwerk
- Beveiligingen op het interne netwerk doorbreken
Zoals je in het artikel kunt lezen, zijn ze binnegedrongen door een publiek netwerk wat op het interne netwerk zit aangesloten.
Het stukje van "spaink moest ze een halt toe roepen" klopt ook niet helemaal, als je het origineel leest zijn ze om deze reden gestopt :
Al met al een interessant stuk leeswerk
- Binnendringen op het netwerk
- Beveiligingen op het interne netwerk doorbreken
Zoals je in het artikel kunt lezen, zijn ze binnegedrongen door een publiek netwerk wat op het interne netwerk zit aangesloten.
Het stukje van "spaink moest ze een halt toe roepen" klopt ook niet helemaal, als je het origineel leest zijn ze om deze reden gestopt :
Het verhaal wat je verhaalt over bufferoverflows raakt ook kant noch wal, daar dit idd dingen kunnen zijn die je (mis)bruikt om binnen te dringen .. daarmee kom je op het netwerk en beinvloed je niet spontaan een hartmeter ofzo."Toen ik een lijst met op de persoon terug te voeren MRSA-besmettingen kreeg, werd ik misselijk en heb ik de test laten afbreken."
Al met al een interessant stuk leeswerk
Ik werk ook in een ziekenhuis. beveiliging is ook zwak tot zeer zwak. De simpelste script kiddie raakt zomaar aan alle gegevens. Blijkbaar is beveiliging pas noodzakelijk als iemand eens ingebroken zal hebben...
Inderdaad. Wireless access points met default instellingen die dokters aansluiten om makkelijk met hun laptop het ziekenhuis door te kunnen cruisen... Probleem is nu net dat een wardriver evengoed even de wachtwoorden van de file shares kan sniffen (jawel, windows file sharing is heel snel te sniffen en ook snel te brute-forcen), en hierna uit naam van de brave dokter een paar mensen dood kan verklaren/dood kan maken! Stel je voor dat je aan iemand die allergisch is aan product A, veel product A voorschrijft. Byebye patiënt...
Ben blij dat er toch één ziekenhuis is die dit serieus neemt. Het is eigenlijk al intelligent om met een tool zoals NetStumbler even snel te kijken of er geen draadloze netwerken draaien doorheen het ziekenhuis. Kan je ze meteen even beveiligen ;-).
Ach, het is een open boek dat ziekenhuizen en overheidsinstellingen in het algemeen hopeloos achterlopen op beveiliging. Steel de laptop van een verzekeringsagent en je hebt meteen alle gegevens. Die worden meestal niet versleuteld of beschermd met een passwoord. Gebruik dan nog eens de WLAN van die agent, en je kan meteen alle gegevens van het hele verzekeringsagentschap navragen.
Ben blij dat er toch één ziekenhuis is die dit serieus neemt. Het is eigenlijk al intelligent om met een tool zoals NetStumbler even snel te kijken of er geen draadloze netwerken draaien doorheen het ziekenhuis. Kan je ze meteen even beveiligen ;-).
Ach, het is een open boek dat ziekenhuizen en overheidsinstellingen in het algemeen hopeloos achterlopen op beveiliging. Steel de laptop van een verzekeringsagent en je hebt meteen alle gegevens. Die worden meestal niet versleuteld of beschermd met een passwoord. Gebruik dan nog eens de WLAN van die agent, en je kan meteen alle gegevens van het hele verzekeringsagentschap navragen.
Toevalligerwijs werk ik ook in een ziekenhuis. Kan je vertellen dat bij jouw voorbeeld (als je de beveiligingsmaatregelen kan omzeilen om ongeautoriseerde apparatuur aan te sluiten aan de wanddoos) bij ons de desbetreffende persoon zwaar diciplinair word gestraft lees: ontslagen
Als dit inderdaad gebeurd, kan iemand mij dan uitleggen waarom ik mijn mobieltje uit moet zetten als ik een ziekenhuis binnenkom? Die accespoints hebben namelijk nogal wat meer vermogen dan die paar watt die mijn gsm uitstraalt.Inderdaad. Wireless access points met default instellingen die dokters aansluiten om makkelijk met hun laptop het ziekenhuis door te kunnen cruisen...
gsm moet hier al lang niet meer uit..
Wat nog ontbreekt in het stuk: Maandagavond vanaf 20:00 uur wordt het boek gepresenteerd in Paradiso, en dan zullen de hackers die bij de ziekenhuizen zijn binnengedrongen ook zelf tekst en uitleg geven. De livestream daarvan is te vinden op http://www.thenexttenyears.nl
Het boekje is trouwens gratis te bestellen als je abonnee bent van een bepaalde 'gele' provider...
Het boekje is trouwens gratis te bestellen als je abonnee bent van een bepaalde 'gele' provider...
Correct me if I'm wrong, de "ouderwetse" papieren patientendossiers liggen ook niet bepaald in een kluis heb ik begrepen.
Ik heb ooit een keer een werkstuk gedaan over electronisch patientendossier en toen werd ook al paniekerig gedaan over beveiliging van gegevens. De persoon binnen het ziekenhuis die ik daarover sprak zag ook zeker het belang van een goed syteem in. Maar tegelijk plaatste hij het wel in persperktief door te zeggen dat iedereen die een beetje de weg wist in het ziekenhuis zomaar met een dossier de deur uit zou kunnen lopen.
Ik heb ooit een keer een werkstuk gedaan over electronisch patientendossier en toen werd ook al paniekerig gedaan over beveiliging van gegevens. De persoon binnen het ziekenhuis die ik daarover sprak zag ook zeker het belang van een goed syteem in. Maar tegelijk plaatste hij het wel in persperktief door te zeggen dat iedereen die een beetje de weg wist in het ziekenhuis zomaar met een dossier de deur uit zou kunnen lopen.
edit:
Is reactie op telenut
Is reactie op telenut
Daarop wil ik graag inhaken (want je hebt 100% gelijk): informatiebeveiling moet gericht zijn op alle te beveiligen informatie ongeachte de informatiedrager. Een informatiebeveiligingsplan kan het beste starten bij de informatie-eigenaar, die heeft er ook belang bij dat het systeem veilig is. Ik had een keer college over informatiebeveiliging, en toen slaakte een it medewerker van een ziekenhuis een letterlijke kreet van verbazing toen ik stelde dat de eigenaar van een medisch informatiesysteem doorgaans een arts (of hoofd van de geneeskundige afdeling) is. Als je het hoofd IT benoemt tot systeemeigenaar en roept: "los het op" dan krijg je in het gunstigste geval (en vaak niet bij gebrek aan budget en geen commitment) een beveiligd host systeem.
Bovenstaande lijken mij de bronnen van de problemen: men begint de beveiling op het systeemniveau, richt zich op één soort informatiebeveiliging (IT en ziet dus het grotere geheel niet) en de eigenaar van de informatie is verkeerd toegewezen (hoofd IT in plaats van hoofd geneeskundige dienst). Volgens veel definities is een informatiesysteem een geheel van mensen, middelen en procedures. IT-ers worden dan soms emotioneel maar deze scoping moet je toch echt toepassen bij elke informatiebeveiliging.
Ik heb het al zo vaak gezien, focus op hostsysteembeveiliging en je wilt niet weten hoeveel andere vergeten methoden (vergeten printjes op de printer, wachtwoorden gewoon op beeldschermen) er nog over zijn om aan info te komen.
Bovenstaande lijken mij de bronnen van de problemen: men begint de beveiling op het systeemniveau, richt zich op één soort informatiebeveiliging (IT en ziet dus het grotere geheel niet) en de eigenaar van de informatie is verkeerd toegewezen (hoofd IT in plaats van hoofd geneeskundige dienst). Volgens veel definities is een informatiesysteem een geheel van mensen, middelen en procedures. IT-ers worden dan soms emotioneel maar deze scoping moet je toch echt toepassen bij elke informatiebeveiliging.
Ik heb het al zo vaak gezien, focus op hostsysteembeveiliging en je wilt niet weten hoeveel andere vergeten methoden (vergeten printjes op de printer, wachtwoorden gewoon op beeldschermen) er nog over zijn om aan info te komen.
Wat voor OS'en draaien zoal in een ziekenhuis. Zelf zie ik op TV wel eens SGI's, Sun's enz staan.
Lijkt me een groot ICT gebeuren in een ziekenhuis.
Lijkt me een groot ICT gebeuren in een ziekenhuis.
Waarschijnlijk moet je denken aan een groot bedrijf uit redmond
Ik weet niet hoe het zit in kleinere ziekenhuizen, maar in het UMCU (waar ik werk) draait vanalles.
De kantoorautomatisering draait op Windows (XP/2000), sommige divisies nog op Netware met NT4 clients.
Maar er draaien ook Linux, Sun, Apple etc. systemen voor verschillende toepassingen. En de meeste medische apparatuur is dedicated en vaak los van het netwerk.
Maar het blijft lastig, we doen zelf bijvoorbeeld nog niet actief iets met Wifi volgens mij, maar iedere malloot kan natuurlijk op zijn kantoortje een gateway opzetten met een access point. Beveiliging gaat in zulke gevallen vooral om voorlichting en regels (zoals bijv. die NEN 7510).
Ons patiëntensysteem is volgens mij behoorlijk goed gescheiden van de buitenwereld, hoewel ik niet erg veel verstand heb van beveiliging.
Weet iemand eigenlijk welke twee ziekenhuizen getest zijn? In ieder geval één academisch ziekenhuis en één regulier ziekenhuis.
De kantoorautomatisering draait op Windows (XP/2000), sommige divisies nog op Netware met NT4 clients.
Maar er draaien ook Linux, Sun, Apple etc. systemen voor verschillende toepassingen. En de meeste medische apparatuur is dedicated en vaak los van het netwerk.
Maar het blijft lastig, we doen zelf bijvoorbeeld nog niet actief iets met Wifi volgens mij, maar iedere malloot kan natuurlijk op zijn kantoortje een gateway opzetten met een access point. Beveiliging gaat in zulke gevallen vooral om voorlichting en regels (zoals bijv. die NEN 7510).
Ons patiëntensysteem is volgens mij behoorlijk goed gescheiden van de buitenwereld, hoewel ik niet erg veel verstand heb van beveiliging.
Weet iemand eigenlijk welke twee ziekenhuizen getest zijn? In ieder geval één academisch ziekenhuis en één regulier ziekenhuis.
Bij ons op het UMCG praktisch hetzelfde Daarnaast hebben we nog Unix en kan niet iedere malloot zomaar een routertje of wat dan ook aanpluggen.
Wifi / voiceoverIP / internet baby monitoring voor ouders, etc zitten in projecten gegoten. Ach, dr gebeurd vanalles continue
Daarnaast hebben we nog Unix en kan niet iedere malloot zomaar een routertje of wat dan ook aanpluggen.Wifi / voiceoverIP / internet baby monitoring voor ouders, etc zitten in projecten gegoten. Ach, dr gebeurd vanalles continue
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
