Hackers met minder technische kennis van medische apparaten hebben nu gemakkelijk toegang tot medische apparaten, dankzij de steeds slechtere beveiligingsinfrastructuur die in deze systemen is ingebouwd.
Een beveiligingsonderzoeker van Kaspersky Lab heeft met succes het netwerk van een ziekenhuis in Moskou, Rusland, gehackt en ontdekte een breed scala aan mazen in de beveiliging die wijzen op slechte beveiligingspraktijken van fabrikanten van medische apparatuur.
De bescherming van medische hulpmiddelen is een fundamentele stap in de ontwikkeling van deze producten, omdat het raakt aan gevoelige kwesties zoals de gezondheid en privacy van patiënten. Maar recente bevindingen van Kaspersky Lab tonen aan dat de fabrikanten van deze producten de veiligheid en privacy van patiënten niet serieus lijken te nemen.
Het is duidelijk dat er geen specialistische kennis van de gezondheidszorg nodig is, omdat de onderzoeker van Kaspersky Lab toegaf geen voorkennis te hebben van medische hulpmiddelen, maar in staat was om de systemen van het ziekenhuis in Moskou te hacken.
Dit benadrukt het feit dat software-engineers bij het ontwikkelen van deze producten geen rekening houden met het informatiebeveiligingsaspect. En het zou ons bang moeten maken. Stelt u zich eens voor dat uw medische gegevens worden blootgesteld aan hackers die zelfs de controle over het levensondersteunende medische apparaat van een zieke kunnen overnemen.
Nu wordt er door regelgevers steeds meer aandacht besteed aan toezicht op de beveiliging van medische apparatuur om privacykwesties aan te pakken, zoals vereist door de federale wetgeving. In feite is de beveiliging van de gezondheidszorg tegenwoordig een trending topic in het Amerikaanse regelgevingslandschap.
Wanneer een medisch apparaat wordt gecompromitteerd, loopt niet alleen de patiëntinformatie gevaar, maar kunnen hackers ook toegang krijgen tot kritieke apparaten zoals MRI-scans en zelfs beheertools, die bij compromittering mogelijk schadelijke gevolgen kunnen hebben.
De kern van het probleem met deze apparaten is dat de traditionele software die erin is ingebouwd inherente kwetsbaarheden heeft die kunnen worden verergerd wanneer deze apparaten zijn verbonden met internet, waardoor ze toegankelijk zijn via externe servers.
Er zijn nu duizenden ziekenhuisapparaten die de Shodan-zoekmachine gebruiken. Deze ziekenhuisapparatuur omvat MRI- en radiologiesystemen. En we weten dat Shodan de privacy van mensen niet respecteert en dat iedereen die er toegang toe heeft de persoonlijke gegevens van mensen uit alle lagen van de bevolking kan zien.
De beveiligingsonderzoeker vond zelfs een inlogportaal voor een CT-scanmachine in een ziekenhuis in Moskou. Wat dit allemaal laat zien, is de lage maturiteit van beveiliging in medische softwaretools.
