Meer dan 1,2 miljoen medische apparaten en systemen onbeveiligd online
Meer dan 1,2 miljoen medische apparaten en systemen die verbonden zijn met het internet, blijken kwetsbaar te zijn en stellen patiëntgegevens bloot aan potentiële cyberaanvallen. Dat blijkt uit nieuw onderzoek van het Europese cybersecuritybedrijf Modat. De bevindingen tonen aan dat in Europa, de VS en het Midden-Oosten en Noord-Afrika (MENA) in totaal meer dan 1,2 miljoen systemen online te vinden zijn zonder adequate beveiliging. Alleen al in Ierland werden meer dan 81.000 kwetsbare systemen ontdekt, gevolgd door ruim 77.000 in Groot-Brittannië.
Het onderzoek, uitgevoerd met Modat's unieke scanningsplatform Modat Magnify, omvatte meer dan 70 verschillende soorten medische apparaten en systemen. Hieronder vielen onder andere MRI-scanners, CT-scanners, röntgenapparatuur, DICOM-viewers, bloedtestsystemen en ziekenhuismanagementsystemen. De belangrijkste redenen voor de kwetsbaarheid van deze apparaten zijn onjuiste configuraties, zwakke of standaardwachtwoorden en het ontbreken van software-updates.
Gevoelige patiëntinformatie openbaar
Volgens de onderzoekers van Modat ontbraken bij veel systemen zelfs de meest basale beveiligingsmaatregelen. In sommige gevallen werden standaardwachtwoorden zoals "admin" of "123456" gebruikt. Deze nalatigheid brengt de vertrouwelijkheid van patiëntgegevens in gevaar en opent de deur voor cybercriminelen die de gegevens kunnen misbruiken voor fraude, afpersing of netwerkinfiltratie.
Tijdens één scan kwamen bijvoorbeeld MRI-resultaten van een patiënt naar voren, inclusief naam en medische geschiedenis. De gevonden gegevens omvatten zeer gevoelige informatie over de gezondheid van de patiënt. Het onderzoek bracht ook andere medische beelden aan het licht, zoals oogonderzoeken, tandheelkundige röntgenfoto's, bloedtestresultaten en gedetailleerde long-MRI's van patiënten met longkanker.
Verantwoordelijke bekendmaking en aanbevelingen
Modat heeft onmiddellijk contact opgenomen met internationale partners Health-ISAC en het Nederlandse Z-CERT om een proces van "Responsible Disclosure" te starten. Deze organisaties zullen de getroffen partijen benaderen om hen te helpen de beveiligingslekken te dichten.
De bevindingen benadrukken dat cybersecurity in de zorg niet alleen een IT-kwestie is, maar ook een zaak van patiëntveiligheid. Soufian El Yadmani, CEO van Modat, stelt: "De vraag die we ons moeten stellen is: waarom zijn er MRI-scanners met internetverbinding die de juiste beveiligingsmaatregelen missen?" Hij vervolgt: "Het grootste risico is onnodige blootstelling aan het netwerk. Deze medische systemen zouden alleen verbonden moeten zijn met veilige, correct geconfigureerde netwerken wanneer er een legitieme klinische behoefte is aan toegang op afstand."
Modat adviseert zorgorganisaties om regelmatige beveiligingscontroles uit te voeren, gedetailleerde inventarissen van hun activa bij te houden en netwerkapparaten continu te monitoren. Dit is essentieel voor het opsporen van mogelijke blootstellingen, onjuiste configuraties of nieuwe kwetsbaarheden.
Een uitgebreide blogpost over het onderzoek is hier te lezen.
Meer over healthtech
Over Witold Kepinski
