Onderzoek: veel Nederlandse medische apparatuur geïnfecteerd met malware

De helft van de ziekenhuizen in Nederland heeft te maken gehad met besmetting van medische apparatuur met virussen. Dat blijkt uit onderzoek van Deloitte. In veel gevallen was sprake van een toevallige besmetting, die niet op de apparatuur was gericht.

Het is onduidelijk in hoeveel gevallen de aanvallers wel bewust probeerden om medische apparatuur te ontregelen; dat blijkt niet uit het artikel van De Volkskrant, dat met Deloitte heeft gesproken. "Het zijn in de meeste gevallen zogenoemde oeps-besmettingen", zegt Deloitte-onderzoeker Jeroen Slobbe tegenover die krant. Daarmee doelt Slobbe op toevallige besmettingen.

Er zijn in ieder geval geen aanwijzingen dat er terroristische organisaties of criminele groeperingen achter de aanvallen zitten, bijvoorbeeld om ziekenhuizen af te persen. Het is onduidelijk hoe ernstig de beveiligingsproblemen bij de ziekenhuizen waren, maar De Volkskrant schrijft dat de gezondheid van patiënten 'voor zover bekend' niet in gevaar is geweest.

Het gebeurt niet vaak dat een ziekenhuis zelf bekendmaakt dat zijn medische apparatuur is geïnfecteerd met malware; in het onderzoek van Deloitte gebeurde dat ook anoniem. In 2010 bracht het Westfriesgasthuis in Hoorn zelf naar buiten dat het kampte met een ernstig computervirus, waardoor operaties moesten worden afgelast.

IT-banen

Reacties (71)

Room42 8 april 2015 08:06

Je zou toch eigenlijk verwachten dat dergelijke apparatuur niet aan het internet gehangen wordt. Maar goed, het kan natuurlijk ook via het LAN gebeurd zijn, hoewel ik ook daar strenge veiligheidsmaatregelen op verwacht. Wel weet ik (van een insider) dat veel personeel de beveiliging maar lastig vindt en redelijk hun best doet om op het werk hetzelfde te kunnen als thuis. En wachtwoorden zijn ook niet altijd even sterk, helaas.

Kalief @Room42 • 8 april 2015 09:07

In mijn ogen zou het kantoor-LAN gescheiden moeten zijn van het apparatuur-LAN.

FooLsKi @Kalief • 8 april 2015 09:16

Maar hoe krijg je bijv de scans van een MRI dan bij de specialist, zonder te klooien met USB-sticks?

proatjeboksem @FooLsKi • 8 april 2015 10:34

een MRI communiceert meestal alleen maar met een PACS (Picture Archive & Communication System).

Van daaruit worden dat soort beelden door een specialist bekeken op een zgn. PACS werkstation of via een webserver op zijn eigen pc/laptop/whatever.

Naar buiten toe kan dat met draagbare media, via externe toegang tot die voornoemde webserver en tegenwoordig ook steeds meer digitale uitwisseling, IHE XDS

Het mooiste zou een goede scheiding tussen de MRI/PACS netwerk en de rest van het ziekenhuisnetwerk & de rest van de wereld zijn. Maargoed, focus & budget liggen meestal op bruikbaarheid en minder op veiligheid.

Blokker_1999

Malware
Netwerk en systeembeheer

@proatjeboksem • 8 april 2015 11:51

Maar die eigen PC staat dus niet in de buurt van de scanner, die staat op zijn eigen bureau of hij/zij kan deze beelden willen raadplegen op een PC in een consultatie ruimte. Om die afbeeldingen daar te krijgen moet het systeem dus wel degelijk verbonden zijn met het LAN netwerk.

Gebruiksvriendelijkheid en beveiliging gaan niet hand in hand samen. Het is altijd een trade-off tussen de twee. Je moet de risicos zoveel mogelijk beperken zonder het de gebruiker al te moeilijk te maken.

proatjeboksem @Blokker_1999 • 8 april 2015 12:07

Klopt. In het ideale geval is alleen de webserver bereikbaar en dan ook nog eens via een https verbinding en verder niet(s). Maar de specialist of laborant moet wel van overal (zelfs thuis, als het moet) bij zijn gegevens kunnen.

Als systeembeheerder zit je dan vaak echt in een spagaat.

Raventhorn @FooLsKi • 8 april 2015 09:53

Door een (proxy)server, welke verbonden is met de noodzakelijke (V)LANs en uitgerust met flinke beveiliging betreffende firewalls en anti-malware, liefst met scheidingen per afdeling zodat alleen bevoegden toegang hebben tot specifieke apparatuur.
Monitoring lijkt me vrij belangrijk, zowel van de apparatuur als van het netwerk, maar dan liever door een proxy/authenticatieserver dan direct aan het web.

defixje @FooLsKi • 8 april 2015 21:53

Denk ik te simpel door te zeggen dat ze alleen upstream poorten open te zetten, voor het streamen van de data. En downstream gewoon alles dicht.

Dan heb je in mijn ogen een soort van one-way data stroom, waardoor er dus ook geen virus via het netwerk naar het betreffende apparaat kan.

derkesthai @FooLsKi • 8 april 2015 09:57

Via het digitale medische dossier?

RGAT @derkesthai • 8 april 2015 12:38

Hoe sluit je dat aan op je MRI? Met een VGA aansluiting?

Tuurlijk kan je het in een digitaal dossier gooien, maar hoe krijg je het op de webserver?
Dan moet je je MRI netwerk aan de webserver hangen, waardoor het bereikbaar is voor malware.

Als ze nou eens alle poorten dichtgooien en op het beheersysteem van de MRI een programma draaien wat de data alleen verzend naar een webserver, en niet luistert naar inkomend verkeer, behalve een ack van de webserver dat het ontvangen is?
Veel meer moet die MRI niet doorsturen lijkt me, en je krijgt niks naar binnen...

derkesthai @RGAT • 8 april 2015 13:21

Ja, ongeveer wat jij zegt. Kwestie van goede infrastructuur. Het gaat er om dat het dan een gecontroleerde ongeving is, en niet een USB stick die overal in heeft gezeten....

xxxneoxxx @Room42 • 8 april 2015 08:12

Dus eigenlijk zeg je dat.. Het bedrijfsnetwerk van een ziekenhuis.. Hetzelfde is als een bedrijfsnetwerk bij elk ander bedrijf? Je verwacht het niet he?

Room42 @xxxneoxxx • 8 april 2015 08:15

Nouja, afhankelijk van de branche. Ik verwacht dat een ziekenhuis extra aandacht besteedt aan het beveiligen van specialistische apparatuur. Ik vergelijk dat niet met een gemiddeld MKB-netwerkje.

Freaky_Angelus @Room42 • 8 april 2015 08:25

De stelling dat een ziekenhuis netwerk fysiek anders mag zijn dan een bedrijfsnetwerk vind ik niet onrealistisch om te stellen.

Met alle persoonsgegevens is de gedachte van een fysieke scheiding intern en alles wat er met buiten moet gebeuren niet buiten proporties. Er zijn genoeg mogelijkheden om alle medische gegevens en toegang tot medische gegevens op een afgesloten netwerk te houden (derhalve ook de wachtwoord en beveiliging te kunnen verlagen).

Op het principe van een tweede monitor kan dan toch prima een apart netwerk gehangen worden. Het enige probleem zal het gebruik van 2 kabels zijn op dit verhaal en dat men tussen toetsenbord/muis moet wisselen als men mail/internet/open netwerk nodig denkt te hebben.

Blokker_1999

Malware
Netwerk en systeembeheer

@Freaky_Angelus • 8 april 2015 11:53

En dan wil je bepaalde data doorsturen naar een collega die op een andere locatie werkt ... wat doe je dan? Even op een USB stick zetten? Die USB stick is al een risico voor je netwerk.

Freaky_Angelus @Blokker_1999 • 8 april 2015 13:33

Nope,

Ik zat aan een gescheiden medisch netwerk t.o.v. algemeen internet te denken en voornamelijk op locatie fysieke scheiding toe te passen. Daarmee breng je de gevarenzones terug tot enkel een specifieke server die een beveiligde verbinding met de andere moet hebben.

Intern is dan alles afgeschermd en zou het in principe makkelijker worden tussen collega's om de medische documentatie correct door te sturen.

Miesepies @Freaky_Angelus • 8 april 2015 22:22

Werk nu al enige tijd in het ziekenhuis, en snap het probleem wel. Je koopt medische apparatuur van tonnen of zelfs miljoenen. Dat vervang je niet gauw, omdat dit vaak meer kost dan wanneer je een onderhoudscontract neemt en levert ook extra uitdagingen op zoals migratie van data. Veel apparaten maken gebruik van een embedded windows versie (XP komt vaak voor) maar soms ook reguliere versies. Deze worden niet bijgewerkt. Zeker in de afgelopen jaren was ook weinig aandacht voor hardening en zeker met deze oude systemen is het wachten op dit soort situaties.

Je kan apparatuur en servers afscheiden van hogere risico netwerk onderdelen, maar dan loop je al gauw tegen een hoop problemen aan. Voor een gemiddelde applicatie server kom je al gauw op een connectiviteitslijstje als dit: domain controllers, file servers, sql server, backup client, antivirus management, software distributie agent, update agent, leveranciers toegang (teamviewer, logmein en andere enge dingen die je niet op een server wil), call home functionaliteit, connectiviteit naar koppeling servers en/of ziekenhuis informatie systeem (ZIS), management software, monitoring agents en client software welke connectie naar de server maakt (en dan vergeet ik er vast nog een paar

).

Alles hangt aan elkaar vast, waardoor het scheiden van de KA, servers en medische apparatuur netwerken niet zo makkelijk is als dat het klinkt.

Wel is het zo dat me opvalt dat security nog steeds een beetje een ondergeschoven kindje is in de zorg. Prioriteit gaat toch vaak naar functionaliteit.

Denk dat de leverancier hier ook debet aan zijn, ook zij (incl. grote namen in de zorg) laten behoorlijk grote steken vallen (tot groot verdriet van ons beheerders).

[Reactie gewijzigd door Miesepies op 5 augustus 2024 06:27]

Freaky_Angelus @Miesepies • 9 april 2015 08:32

Nou, bot gesteld kan het heel makkelijk:
- Alles wat privacy gevoelig / medisch is gaat op lijn 1
- Alles wat mensen voor overige nodig hebben gaat op lijn 2

Hier heb je dus maximaal 2 VM's voor nodig met een verdeling van applicaties en dan naar 2 gescheiden routers waarvan 1 op een directe secured line naar het algemene netwerk ligt. Hou die lijn monitored en veilig en klaar. Fysiek gescheiden op het 'zwakke gedeelte' van het netwerk en ga nuts op de encryptie bij de rest.

De lijst die je opnoemt is terecht, maar ik had het over scheiden van diensten, niet over hoe we een server moeten opzetten (en dat trouwens ook gedaan, dus snap je punt qua investering wel op die apps, maar 1 rechtzaak verliezen is ook niet goedkoop. Ook niet in NL bij privacy).

Ik zeg niet dat dit makkelijk is en een nieuw ziekenhuis is beduidend makkelijker (vanwege clean slate), maar een scheiding is prima te realiseren. Om de een of andere reden zijn overheidsorganen/overheidsbemoeide instanties nogal happig om veel te veel geld uit te geven aan veel te weinig ICT kwaliteit. (Ga de waterschappen op het onderdeel ICT maar eens controleren. Openbare begrotingen, hilarisch/pijnlijk)

Ennuh, XP is niks mis mee, mits afgesloten van het internet

[Reactie gewijzigd door Freaky_Angelus op 5 augustus 2024 06:27]

xxxneoxxx @Room42 • 8 april 2015 08:42

Dat zal je best nog wel tegenvallen bij niet al te grote ziekenhuizen. Iig, een jaartje of tig geleden was dit neit het geval. Bron: Ervaring met het werken op de helpdesk van een kleiner ziekenhuis. Granted, dit is wel "even" geleden.

Ziekenhuizen hadden vroeger iig het probleem dat ICT niet zo belangrijk gevonden werd. Beetje een ondergeschoven kindje. Je hebt maatschappen die uiteindelijk de ruimtes huren binnen een ziekenhuis (groep chirurgen bijv.) en die bepalen ook voor een groot gedeelte waar het geld naartoe gaat. Vinden de maatschappen die het meeste geld in het laatje brengen ICT niet zo belangrijk, dan ligt daar ook niet veel budget.

proatjeboksem @xxxneoxxx • 8 april 2015 11:15

Bij grote ziekenhuizen is het vaak nog erger hoor, ik heb daar dingen gezien....draconische maatregelen en dikke firewalls, die een schijn van veiligheid ophouden, maar ondertussen op de afdelingen post-its met wachtwoorden en/of generieke gebruikers en wachtwoorden (radiologie-1/ welkom01)

BastiaanNL @proatjeboksem • 8 april 2015 13:34

Ik kom die postits met wachtwoorden overal tegen inderdaad. Schrijnend, men schijnt kennelijk ook niet capabel genoeg te zijn om dit te kunnen onthouden.

Plopeye @Room42 • 8 april 2015 08:54

"Specialistische apparatuur" of "Industrieel" ze hebben waarschijnlijk allebij hetzelfde probleem. Security is een ondergeschoven kindje...

divvid @Plopeye • 8 april 2015 12:36

dat niet alleen, maar je zou de apparatuur maar moeten onderhouden die alleen maar XP ondersteunt vanwege 1 of andere insteek kaart waarvoor alleen XP drivers zijn en die niet aan de praat te krijgen zijn op andere platforms. De fabrikant geeft niet thuis want die zegt gewoon dat je de volgende versie van zijn apparaat moet kopen (500k investering) of is gewoon failliet.
Daar sta je dan als specialist met een verder goed werkend apparaat......

MTDjassen @Room42 • 8 april 2015 09:06

De "extra aandacht" in de ziekenhuizen die ik heb meegemaakt (en dat zijn een stuk of 4-5 topklinische en academische centra) houdt vaak in een onevenredige beperking van usability, vereisen om geregeld wachtwoorden te veranderen en het dichttimmeren van alle poorten waardoor in mijn huidige instelling zelfs mail ophalen met outlook buiten het bekabelde zkh netwerk bv niet meer mogelijk is, alsook VPN verbinding maken met de universiteit. Gevolg is dat Sjonnie van de radiologiereceptie met USB stickjes haar data overzet en haar nieuwe wachtwoord (van deze maand) voor het gemak met een postit op het scherm plakt.

Nog een voorbeeld: Mail ophalen op m'n Windows Phone wordt niet ondersteund, omdat WP naar verluid de vereiste veiligheidsvoorwaarden niet allen ondersteunt. Gevolg? Een bookmark naar de webmail inlog op m'n homescreen geplaatst omdat het anders echt niet werkbaar is. Tien keer minder veilig, aangekaart bij de ICT maar nooit echt een antwoord gekregen. Tevens werk ik nu standaard via de openbare Wifi ipv de beveiligde bekabelde verbinding want dan kan ik wel via VPN met m'n universiteit verbinden, wat noodzakelijk is voor het draaien van bepaalde software.

Verkijk je er niet op: In tegenstelling tot wat je zou verwachten is het qua ICT in high impact facilities als ziekenhuizen mijns inziens niet uitzonderlijk goed of "beter" geregeld, wat natuurlijk wel zou moeten.

-Edit, kan overigens bevestigen dat bij ons ook infecties zijn geweest, o.a. met een cryptolocker.

[Reactie gewijzigd door MTDjassen op 5 augustus 2024 06:27]

Blokker_1999

Malware
Netwerk en systeembeheer

@MTDjassen • 8 april 2015 11:55

Het moment dat je data hebt die de air gap moet overbruggen heb je een probleem en is je air gap waardeloos. Men kan beter inzetten op andere beveiligingsvormen.

Banath

@Room42 • 8 april 2015 08:29

Ik heb het meegemaakt bij MST ... geen antivirus product want dat zou de werking van veel aanstuur pc's verstoren. Nou ik was er net een paar maanden weer weg en voila, de boel plat.

Medisch personeel heb ik als de grootste digibeten ter wereld meegemaakt. Echt verschrikkelijk hoe daar gedacht wordt over computer vaardigheden.

Het ergste zijn de specialisten in maatschappen, die zijn zo overtuigd van hun computer vaardigheden dat alles wat thuis werkt ook op het werk moet. En die brengen rustig usb sticks heen en weer. En daar komen de meeste infecties dan ook vandaan.

De rillingen lopen me dan ook over de rug als ik weer eens een onbeheerde pc aantref met alle schermen open bij het ziekenhuis waar ik nog wel kom. Maar ze zoeken het maar uit, ergens hoop ik dat ze door heel veel schande wat wijzer worden.

(en liever helemaal geen schade behalve imago, want er kunnen echt doden vallen)

[Reactie gewijzigd door Banath op 5 augustus 2024 06:27]

Iblies @Banath • 8 april 2015 11:30

Het komt een paar keer naar voren,

echter is ICT een hulpmiddel ter ondersteuning van het personeel.

Dat wordt maar al te vaak vergeten waardoor je een kip-en-ei discussie krijgt. Is de ICT niet toereikend of is het personeel niet deskundig genoeg om gebruik te maken van de apparatuur.

Ik neig naar het eerste.
Binnen een ziekenhuis moet zeer zorgvuldig worden bekeken wat een machine moet kunnen en hoe daar verder invulling aan wordt gegeven.

Zo vind ik het onbegrijpelijk dat op veel bedrijven je nog steeds in het bios kunt komen, USB stickies worden herkend, ip-adressen worden uitgereikt als je een utp-kabel in de muur steekt?!?!

Zulke basale veiligheid zorgt er al voor dat betweters al een stapje terug doen om gebruik te maken van een bedrijfsnetwerk. En discussie's kunnen/moeten al vroeg in de kiem worden gesmoord en dat kan ook als je het vroeg uitlegt.

Een ander probleem tegenwoordig is het motto "bring your own device". Vervolgens krijg je het wachtwoord van het WiFi-netwerk... Verder geen enkele beperking terwijl je er voor moet zorgen dat je een lijst met mac-adressen hebt die bekend zijn en dat die alleen een ip-krijgen.
Het is geen garantie, maar je beperkt de meest gevaarlijke schakel, je eigen medewerker.

ATS @Room42 • 8 april 2015 08:35

Dat ligt eraan wat voor apparatuur het is. Ik werk bij een bedrijf dat ook dit soort spullen maakt. Het zijn apparaten die aan een gewone PC hangen, en waar het rekenwerk en de visualisatie gebeurt op die PC. Voor die software komen regelmatig updates uit. Het is bijzonder praktisch als het systeem daarvoor weldegelijk aan internet hangt, om zo deze updates te kunnen binnenhengelen. Ook gebruiken we het voor remote assistance. Als een klant op locatie problemen heeft, dan kunnen we als het systeem via internet bereikbaar is op afstand assistentie bieden. Daarmee bereikt het systeem een betere uptime, en dat is belangrijk als er patiënten zitten te wachten in de wachtkamer...

Aan de andere kant: het is natuurlijk niet de bedoeling dat je met dit soort systemen maar gewoon gaat zitten surfen op het web.

[Reactie gewijzigd door ATS op 5 augustus 2024 06:27]

it0 @Room42 • 8 april 2015 08:59

Er staat nergens dat de apparatuur aan internet hing, dat zal ook ook wel niet het geval zijn. Maar een monteur met een eigen laptop of personeel met een usb stick zal wel voorkomen.

Netwerk is niet de enige manier van infecteren.

Verwijderd @Room42 • 8 april 2015 09:31

je zou ook verwachten dat 1 van de meest gebruikte medische softwarepakketten in belgie het master password voor de sql database niet in plaintext opslaat op de computer...
De regering gaat hier gewoon veel te laks mee om, begin eens met aan leveranciers van medische it-ware een security audit te verplichten vooraleer hun product kans maakt op homologatie.

Fliepke @Room42 • 8 april 2015 10:10

Dat zie je verkeerd.
Veel van die scanners etc moeten juist aan het internet hangen, zodat nieuwe updates gepushed kunnen worden en techneuten remote erbij kunnen. Het is echter zo dat veel van die apparatuur op zeer gedateerde OS'en draait en daar wordt bijvoorbeeld bij Microsoft extra lange support op ingekocht, maar blijkbaar houdt men de ellende van het internet niet afdoende buiten de deur.

Verwijderd @Room42 • 8 april 2015 10:47

Zou ik ook zeggen, maar tegenwoordig gaan bijna alle besturingssystemen uit van een connectie met internet voor updates etc.

Durandal @Room42 • 8 april 2015 23:58

Je zou toch eigenlijk verwachten dat dergelijke apparatuur niet aan het internet gehangen wordt.

Ik zou verwachten dat medische apparatuur ook geen Windows draait, want dat doet het wel denk ik zo.

Golodh 8 april 2015 08:16

Tsja ... medische apparatuur die draait op MS WIndows heh? En dan nog eens een verouderde versie en niet dichtgetimmerd (want dat kost de fabrikant teveel).

Ik was wel verbaasd toen ik het las, maar na enig nadenken besef ik dat het daaraan zou moeten liggen. MS Windows is (was?) "de standaard" voor alle kleine computers. Dat wordt "gewoon" zonder aanpassingen gebruikt voor SCADA systemen, voor medische systemen, voor medische administratie, kantoorautomatisering, en .. , oh ja ... ook nog eens voor een paar miljard consumentensystemen die bol staan van de infecties. Enneh ... WiFi staat natuurlijk ook "standaard" aan en het staat "standaard" open.

Hehe ... daarom hangen er in ziekenhuizen bordjes dat je je eigen laptop niet aan mag doen en je mobieltje uit moet doen. Tsja, werk aan de winkel.

Verwijderd @Golodh • 8 april 2015 08:43

ik heb hier een ziekenhuis groep achter de hoek met allemaal Windows reut in huis en een ploeg IT'ers om triestig van te worden. Als ik ooit ernstig ziek ben mag mijn vriendin mij ook naar het academisch ziekenhuis brengen waar ik weet dat alles wat er op Linux kan draaien ook daadwerelijk op Linux draait...

Mister_White @Verwijderd • 8 april 2015 09:00

Mijn beste,
al mag Linux nog zo hoog aangeschreven zijn in het tweaker wereldje, een héél ziekenhuis op Linux laten draaien inclusief inschrijvingspakketten, tarificatie pakketten, spoed pakketten, intensieve zorgen monitoring (de PC's dan met de lijntjes van hartritmes, ademhaling), ... is echt, maar dan ook echt een utopie

Als je ziet dat veel leveranciers nog niet hoger kunnen dan internet explorer 9 (ik denk bijvoorbeeld aan het PACS systeem van Fuji), dan moet je eens bedenken wat dit gaat geven naar Linux support toe

[Reactie gewijzigd door Mister_White op 5 augustus 2024 06:27]

HitDyl @Mister_White • 8 april 2015 09:15

Ten eerste die medische apparatuur is ontzettend duur en er is dus natuurlijk budget voor vernieuwingen in de ICT ten tweede als een bedrijf nu nog software levert dat enkel op IE9 draait dan doet zij dit bewust omdat de kantoren/ziekenhuizen maar niet overstappen op nieuwere browsers (ervaring als webdeveloper). En wel omdat het ontwikkelen voor IE9 juist veel meer geld en tijd kost omdat heel veel niet werkt zoals omschreven in de w3 standaarden en je heel veel workarounds moet schrijven.

Maar zeggen dat een hèèl ziekenhuis niet op linux kan draaien is echt bespottelijk. Natuurlijk kan dat, en dat kost geld en tijd maar het kan echt wel.

Blazing-Studios @HitDyl • 8 april 2015 11:32

Allereerst er is geen budget in de zorg (zeker met dit kabinet niet) en dat is er ook nooit echt geweest.
Farmaceutische firma's en fabrikanten van apparatuur (MRI machine kost rustig €3.000.000)verdienen miljarden maar een ziekenhuis is tot nog toe altijd een verlieslijdende onderneming op zijn beste dag (als het winst gaat geven is de zorg altijd ondermaats is gebleken).

Ik weet niet of je ooit van Siemens, IBM, SAP of Oracle gehoord hebt maar dat zijn enkele klanten hier en die willen veel toch nog erg graag op windows xp en IE9 hebben dus hebben wij speciaal voor hen machines daarmee (meer beveiliging dan fort knox want je wilt geen xp machines meer in je netwerk).
Het zijn echt de grote jongens die lui zijn en niet mee willen gaan, niet zozeer de ziekenhuizen zelf.

Verder is het ook zo dat aanpassingen (zelfs minieme) in dit soort systemen jaren van plannen in beslag nemen en nog veel meer jaren van uitvoeren (reken maar zon 10 jaar voor een heel traject).
Dus als ze 8 jaar geleden vol voor Linux waren gegaan had je nu misschien de eerste grote uitrol gehad.
8 jaar terug was Linux een stuk problematischer op een hoop niveaus (bijvoorbeeld dat er vrijwel geen linux engineers waren en degene die er waren konden vragen wat ze wilden) dus is daar toen niet voor gekozen bij veel ziekenhuizen en andere instellingen die amper budget hebben voor de dingen die ze echt nodig hebben.

Tegenwoordig is Windows een heel stuk beter dan destijds en kan het zich echt wel meten met linux maar dan moet je het (net als linux of welk ander systeem) gewoon goed opzetten.
Dit houd onder andere in dat NIEMAND dingen mag installeren zonder toestemming van IT (vrij basic en standaard) en zorgen dat de hele boel up-to-date is voorkomt ook veel problemen.
De machines die verbonden zijn met apparatuur moeten geen directe internetaansluiting hebben uiteraard maar alleen lokaal toegang tot de server om bijvoorbeeld de MRI gegevens vandaan te plukken.
En uiteraard gewoon geregeld av/am/as filters in de gaten houden en een scan uitvoeren en je houd het al redelijk schoon.

Ik ben groot fan van Unix/Linux (moet wel als engineer van betreffende os'en) maar de implementatie ervan in een zorgomgeving zou ik echt niet 123 aanraden en in de meeste gevallen zou ik het gewoon afraden.

HitDyl @Blazing-Studios • 8 april 2015 12:00

Ik had het eigenlijk ook over de budgetten van de fabrikanten van de hardware. Maar goed waarom zouden deze fabrikanten je afdwingen Windows XP te gebruiken waar het voor hun zelf nou niet echt voordeliger of beter op word?

Blazing-Studios @HitDyl • 8 april 2015 12:19

Autisme

_{Als autist mag ik hier grapjes over maken}

Nee maar even zonder dollen, veel van de grootste bedrijven (in ieder geval elke multinational en overheid waar ik voor werkte) hebben het principe van:
It's tried and true and it is still working without killing everything everywhere so why replace it?

Ik weet bijvoorbeeld van enkele kritieke systemen hier in NL (dus niet een 3e wereldland) waar gewoon doodleuk windows 98 staat te draaien want ja dat ene pakket draait er op en de fabrikant is al jaren van de aardbodem verdwenen en er is 0.0 documentatie dus blijven we het maar zo doen.
Niemand wil verantwoordelijk zijn voor het platleggen van een cruciale dienst dus blijft iedereen er ook vanaf en blijft de cyclus voortborduren helaas.

Deze observaties/ervaringen zijn ook de reden dat ik een beetje klaar ben met het hele westerse kapitalistische idee van zaken doen en communicatie als ik eerlijk ben.
Mensen gaan soms (letterlijk) over lijken voor enkele grijpstuivers bij dit soort bedrijven/overheden.

Verwijderd @Mister_White • 8 april 2015 09:45

Ik leg mijn leven liever niet in de handen van dat hoopje ongeregeld uit Redmond en hun fanclubje van luie .net ontwikkelaars. Al eens C/C++ code die in Visual Studio geschreven is door GCC gejaagd? Kans is groot dat Visual Studio de code zonder fout compileerd en GCC weigert omdat je instructies gebruikt die al jaren niet meer gebruikt zouden mogen worden... Om over een programma dat gemaakt is met software die origineel voor thuis gebruik ontwikkeld is nog maar te zwijgen (access + basic later VB en nog later .net)

proatjeboksem @Verwijderd • 8 april 2015 11:08

gelukkig staan die lui niet bij je aan het (operatie) bed

Wodanford @Golodh • 8 april 2015 09:09

Onbegrijpelijk dat je weggemod wordt. Maar dat gebeurt vaker als er kritiek geleverd wordt op Windows. Je bent on topic dus van mij krijg je een +1.

Nu zelf on topic. Ik vraag me af waar ze het precies over hebben als er gesproken wordt over 'medische apparatuur'. Gaat het dan over de MRI-scanners en hart/long-machines zelf? Dat lijkt me namelijk sterk. Eerder verwacht ik dat het over de 'systemen' gaat, en dan eigenlijk over de computers waarmee de machines en scanners worden beheerst. Als die draaien op Windows, dan is het vragen om problemen. Zowiezo vraag ik me af, als het zo is, waarom Windows dan überhaupt gebruikt wordt. Er is geen enkele reden voor te bedenken anders dan bekendheid en gemakzucht.

proatjeboksem @Wodanford • 8 april 2015 11:11

Klopt: het is een volledig kip-ei verhaal.

Leveranciers kunnen sneller en makkelijker .NET ontwikkelaars krijgen, en ziekenhuizen komen makkelijker aan Windows systeembeheerders. Ergo, er wordt geen tijd of geld in alternatieven gestoken. Vervolgens zeggen leveranciers dat security voor het ziekenhuis is en dat ze geen virusscanners oid op hun apparatuur ondersteunen. Of ze ondersteunen er precies één, die nou net weer is afgekeurd door de inkoper van het ziekenhuis.

Tel daar wat security-onkundige gebruikers bij op en je hebt een paradijs voor de hacker.

Ntr- 8 april 2015 08:10

Ik kan niet begrijpen dat ziekenhuizen echt moeilijk doen om hun apparatuur up to date houden. Vaak draaien in ziekenhuizen nog genoeg oude systemen waarbij de support al verdwenen is. Ziekenhuizen moeten meer gaan investeren in beveiliging en in nieuwere systemen, immers worden veel gegevens van een klant opgeslagen op de computers. Zou niet leuk zijn dat alle gegevens van een patiënt naar de buitenwereld lekt.

vhal @Ntr- • 8 april 2015 08:26

Tsja, als de support beëindigd is van MS wil niet zeggen dat je een apparaat gelijk maar in de kliko moet gooien. De fabrikant heeft ook een taak om het product 10 jaar na laatste productiedatum te supporten. Het is te simpel gedacht om 'even' een nieuwere OS te installeren zodat het apparaat weer even mee kan. Het kan wel maar dan kom je in een traject van validatie endoet het apparaat nog wat hij moet doen.

Momenteel is er hier een aanzienlijk deed geüpdatet naar W7 maar inderdaad, er draait nog genoeg op Windows XP (ik praat dan even over de medische apparatuur, IT is een andere afdeling)

kimborntobewild @vhal • 8 april 2015 08:42

Tsja, als de support beëindigd is van MS wil niet zeggen dat je een apparaat gelijk maar in de kliko moet gooien.

In het artikel wordt gesproken over medische apparatuur; niet over desktop-PC's of terminal clients.
Dus dan denk ik aan hart/long-machines e.d. Dat is medische apparatuur. En voor zover ik weet is standaard Windows helemaal niet gecertificeerd voor medische apparatuur.

vhal @kimborntobewild • 8 april 2015 09:09

Wellicht niet geheel standaard (sommige functies zijn uitgezet) maar onze MR/CT/PET/gammacamera's en vele andere medische apparatuur draaien 'gewoon' op Windows 7. Overigens doelde ik met mijn post wel op medische apparatuur. Je genoemde desktop PC is wel zeker een onderdeel van zo'n modaliteit.

kimborntobewild @vhal • 14 april 2015 23:22

Het artikel spreekt specifiek over een aantal soorten medische apparaten. Een desktop-PC wordt daarbij helemaal niet genoemd.
Maar over 't algemeen barsten onderzoeksresultaten in de media van de hiaten (zeer zelden worden alle meetmethoden genoemd. Een gepubliceerd onderzoek zonder de meetmethoden te noemen, is al snel slecht).

Croga

@kimborntobewild • 8 april 2015 09:04

Medische apparatuur is ook een röntgen scanner waarbij de uiteindelijke foto via een "normale PC" bekeken en verstuurd wordt. Als de software om die foto te bekijken niet op een moderne windows draait ben je dus het haasje.....

Firefox @kimborntobewild • 8 april 2015 09:06

En daar zit dan weer net de angel....

"Standaard" windows... Het is niet standaard, en daarmee wordt het nouwelijks mee ontwikkeld. Nu ben ik nog niet heel erg op de hoogte van de medische systemen, maar de angsten zijn in de petrochemie net zo goed aanwezig. Geindustrialiseerde systemen worden enorm slecht bijgehouden, omdat er zoveel bij mis kan gaan. Helaas werkt dat een houding in de hand waarbij er dan maar simpelweg helemaal niet wordt onderhouden...

KA kan wat dat betreft iets minder in fout, dus dat daar het patchen wat ruimhartiger op los gaat is terecht, maar ook geindustialiseerde netwerken horen gewoon heel erg goed up to date gehouden te worden

http://www.aidanfinn.com/?p=17751 heeft het dan nog maar over de weerstand om Win2003 er uit te knikkeren, op andere vlakken is het minstens net zo erg. Windows 2000 of zelfs NT kom je nog zo nu en dan tegen. En ook network apparatuur wordt niet goed onderhouden. Zo kwam ik recent een screenhot van een manageable switch tegen op LinkedIn; had al ruim 14 jaar aaneengesloten gedraaid. al die jaren dus geen geupdate firmware op gezet, of iig niet actief gemaakt (eerder unmanageddus) ...

Dat is niet iets om trots op te zijn ("Goh, wat een stabiel spul, draait al 14 jaar rock solid!") maar om je voor te schamen. Bash bug? Heartbleed? Dat zijn nog maar de recente voorbeelden!

proatjeboksem @kimborntobewild • 8 april 2015 10:41

daar heb je wel een punt. Dat wordt in het artikel niet echt duidelijk.

Welk soort apparatuur is dan geraakt? Veel computers in de omgeving van bijvoorbeeld CT scanners en MRI scanners zijn unix bakken. Of hebben een eigen os. Of helemaal geen os, maar gewoon een plc-achtig iets. Er zijn wel wat moduliteiten op windows, zoals ultrasound, maargoed, die zitten niet altijd aan een netwerk en vaak ook alleen aan een PACS netwerk.

MrHankey 8 april 2015 08:13

Het is onduidelijk hoe ernstig de beveiligingsproblemen bij de ziekenhuizen waren, maar De Volkskrant schrijft dat de gezondheid van patiënten 'voor zover bekend' niet in gevaar is geweest.

Zo typisch, men heeft dus anno 2015 nog steeds niet in kaart kunnen brengen welke levensreddende/bedreigende processen er afhankelijk zijn van de medische (ICT) aparatuur en welke niet. Anders zouden ze immers wel met zekerheid kunnen zeggen dat er geen levens in gevaar zijn gebracht. Marktwerking in de zorg, my ass.

Firefox @MrHankey • 8 april 2015 09:10

Hoewel ik je standpunt over die marktwerking wel deel (ben er ook geen fan van) zou het in dit geval geen enkel positief hebben gehad als deze er niet was geweest. Zoals iemand eerder al aangegeven heeft zijn de meeste medici totaal onbekwaam als het om computer kennis gaat. Gelukkig eigenlijk maar, ik heb liever dat ze mijn zenuwbannen snappen dan de circuits op een printplaat.

Zonder de makrtwerking zijn het de-facto weer de semi-ambtenaren organisaties die het altijd al zijn geweest. Kan aan mij liggen, maar ik heb recentelijk niet veel goeds gehoord als de begrippen "IT" en "Overheid" in het zelfde bericht voorkwamen.

Verwijderd 8 april 2015 08:29

Ik lees hier in een paar reacties dat het 'verschrikkelijk' is dat men medische apparatuur aan het netwerk of internet hang.

Dat medische apparatuur aan een netwerk hangt, is opzich niet zo erg, zolang je die apparatuur en het netwerk ook goed beveiligd.

Het hangen aan een netwerk biedt grote voordelen, zo kun je als verpleger of arts veel mensen tegelijk monitoren, en automatisch voor een grote groep laten detecteren als er afwijkingen zijn.

Dat de 'hackbaarheid' van traditionele medische fabrikanten een groot probleem is, is volgens mij al een tijdje bekend. Want je ziet ook partijen als qnx, die normaal de beveiliging doen van energiecentrales of auto-boord-computers doen nu ook naar deze markt trekken.

Als mogelijk toekomstig patiënt vind ik het ook fijn dat in de toekomst er meer en meer aandacht zal zijn voor de beveiliging van onze medische gegevens. Maar ook van de beveiliging van de medische apparaten die gebruikt worden voor de zorgverlening. Een goede beveiliging van zo'n apparaat kan het verschil betekenen tussen wel of niet functioneren van zo'n apparaat, en voor sommigen is dat het verschil tussen leven en dood.

HMC @Verwijderd • 8 april 2015 12:07

Het hangen aan een netwerk biedt grote voordelen, zo kun je als verpleger of arts veel mensen tegelijk monitoren, en automatisch voor een grote groep laten detecteren als er afwijkingen zijn.

Er is natuurlijk wel een verschil tussen een intern netwerk en de boel aan een extern netwerk (Internet) hangen.
Dat een intern netwerk handig kan zijn is natuurlijk zo, inderdaad, maar om dat interne netwerk ook nog eens met de buitenwereld te verbinden lijkt mij minder slim.
Maar ja, ze zullen er wel hun redenen voor hebben.

HitDyl 8 april 2015 09:10

Zelf snap ik ook niet dat Ziekenhuizen gebruik maken van windows als OS. Die toch de meeste virussen kent en veel vaker nieuwe virussen krijgt omdat gaten niet of niet snel gedicht worden. Het lijkt mij dat je beter voor een OS gebaseerd op linux kan gaan omdat die gewoon van de grond af aan met veiligheid in het achterhoofd zijn gemaakt en de gaten die ontstaan snel zijn opgelost (doorgaans het eerste platform met security fixes)

proatjeboksem @HitDyl • 8 april 2015 11:03

Dat is een kip/ei discussie, jammer genoeg.
Leveranciers bieden windows aan, omdat de beheerders van een ziekenhuis dat al kennen.
En de beheerders van die ziekenhuizen worden aangenomen omdat ze de machines van de leverancier kennen: windows machines.

Al zijn er uitzonderingen, zoals het Antonius in Nieuwegein, die hebben, waar mogelijk, Linux draaien.

En veel van de grotere modaliteiten, zoals MRI en CT zijn vaak unix bakken.

Mister_White 8 april 2015 08:26

Tja, veel medische apparatuur wordt "af" geleverd door de fabrikant.
De ICT dienst van het ziekenhuis mag hier niets aan doen, zelfs geen virusscan installatie e.d.
Daarenboven willen de leveranciers en met willen bedoel ik eisen de leveranciers dat de toestellen verbonden worden met internet zodat zij vanop afstand deze toestellen kunnen beheren.
Zo moeten ze niet ter plaatse komen om hun meestal zéér ouderwetse apparatuur te fixen.

Het enige dat je dan als ziekenhuis kunt doen is een goede firewall plaatsen alsook een goede IPS in het netwerk plaatsen zodat je toch controle hebt over bepaalde traffic.

kimborntobewild @Mister_White • 8 april 2015 08:45

De ICT dienst van het ziekenhuis mag hier niets aan doen, zelfs geen virusscan installatie e.d.

Ik kan een standaard-PC niet zien als medische apparatuur.
Een machine waarvoor je een virusscanner nodig zou hebben, lijkt mij per definitie al niet geschikt om te gebruiken als medische apparatuur.

Mister_White @kimborntobewild • 8 april 2015 08:56

Ik denk bijvoorbeeld aan een ecg fietsproef.
Dit is gewoon een standaard PC (moederbord) met een standaard Windows 7.
Dit moederbord is ingebouwd in een mooie behuizing, maar het is gewoon een standaard ATX moederbord...

Deze toestellen zijn echter zo minimaal gesized dat het technisch bijna onmogelijk is hier een virus scanner op te plaatsen zonder dat de bijhorende fiets met bloeddruk meter en longfunctie toestel beïnvloed wordt op gebied van snelheid.
Wel moet dit dan weer internet connectiviteit hebben voor externe support.
En dan nog het liefst met Teamviewer of iets dergeljks...

Firefox @kimborntobewild • 8 april 2015 09:17

*elke* machine die om wat voor reden dan ook aan een internet connectie is gehangen zou - direct of indirect - door antivirus maatregelen beveiligd moeten worden. En daar zit de kunst in. Als het op machine niveau niet kan, dan maar op network niveau. Extreme firewalling (network én client), zonering, traffic analizers etc.

vanuit een veiligheidsoogpunt kun je natuurlijk stellen dat die apparatuur gewoon helemaal niet op een network komt, maar dat is gewoon niet realistisch met de opkomst van IoT

sj31 8 april 2015 09:20

Ik vind het echt onbegrijpelijk, het lijkt mij logisch dat de apparatuur die essentieel is en dus niet zomaar besmet mag worden in een apart afgeschermd netwerk zit van de buitenwereld en dus ook voor een intern netwerk van apparatuur dat essentieel is zodat er ook een netwerk komt met computers die wel gebruikt worden en er dus niet zomaar even malware op die belangrijke medische apparatuur komt.
Het lijkt mij echt het minste wat ze kunnen doen.

andreetje 8 april 2015 09:28

De Volkskrant zegt dat de patiënt zelf geen gevaar loopt. Dat is een iets te optimistische kijk op zaken. De gezondheid van patiënten is in ziekenhuizen altijd in gevaar om allerlei redenen. Niet voor niets sterven jaarlijks in Nederland 2000 of mogelijk meer patiënten door medische missers.

!mark 8 april 2015 10:04

Tja veel ziekenhuizen draaien nog verouderde besturingssystemen zoals Windows XP(het ziekenhuis waar ik laatst was iig 4 maanden terug nog), dan sta ik hier ook niet raar van te kijken eerlijk gezegd.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: