Medische apparatuur gevoelig voor cyberaanvallen en malware.
Medische apparatuur is steeds vaker (in)direct aangesloten
op internet. Die open toegang tot de systemen maakt ze gevoelig voor cyberaanvallen
en malware. Stel je even voor:
- Je pacemaker onder controle van de NSA!
- Je borstimplantaten op IP-adres 192.168.1.22!
- EPD gekoppeld aan MRI in Rusland!
Waren we in de vorige eeuw nog onder de indruk van de
Chinese wonderdokter met naalden en kruidenthee. Nu kunnen we toch echt
versteld staan van een heel andere vorm van de oosterse geneeskunde.
Kijk, wij beslissen zelf om onze medische gegevens in het
EPD op het internet te slingeren. Meneer Snowden heeft duidelijk gemaakt dat de
Amerikaanse overheidsdokter NSA met de PRISM-scoop jouw medische geschiedenis extra
doorlicht. Dat is netjes afgehecht door Nederlands toezicht, volgens Opstelten.
Voor zover dus geen vuiltje aan de lucht!
Maar als medische apparatuur steeds beter toegankelijk is
voor anderen, dan wordt second opinion wel heel erg leuk. Internet is vrijheid
en openheid, dus ook een second opinion op een Nederlandse diagnose kan nu zonder
problemen via internet opgevraagd worden. De buitenlandse arts kan tenslotte zonder
problemen bij de laatste MRI-scan.
Als we even kijken waar we dan eenvoudig de second opinion
kunnen opvragen, dan komen we in China terecht. Ze hebben de blauwdrukken van
de JSF al, dus waarom zouden ze jou niet even een second opinion op afstand
kunnen geven?
Als we echter even doorredeneren kunnen we natuurlijk ons ook
de volgende gevolgen voorstellen:
- Streng dieetvoorschrift: driemaal daags rijsttafel!
- Laboratoriumuitslag ook in Chinees te verkrijgen!
- Eén-kind-politiek doorgevoerd in Nederlandse IVF-kliniek!
We moeten er dus voor waken dat onze nationale zorginstellingen
niet doorslaan in internationale zorgfabrieken.
De verzekeraars zullen wel erg geïnteresseerd zijn in
goedkopere tarieven. De wisselkoersen inbegrepen! Kunnen ze gelijk die
spiraaltjesfraude naast zich neerleggen. De patiënt hoeft die echt niet zelf te
gaan kopen in China, waarna het ziekenhuis zowel het spiraaltje als de
plaatsing vergoed krijgt.
Ik draaf weer door. Medische gegevens op internet, medische
apparatuur (in)direct op internet, allemaal niets om je zorgen over te maken.
Toch heeft de Amerikaanse Food & Drugs Authority gemeend
de medische sector te waarschuwen voor de gevolgen van kwetsbare medische
systemen die al dan niet aan vanaf internet toegankelijk zijn. Enkele
incidenten leiden tot risico’s voor patiënten met een directe zorgindicatie.
Analyse apparatuur die wellicht verkeerd gekalibreerd blijkt te zijn, scans die
niet gemaakt kunnen worden voor patiënten op de polikliniek. Zomaar wat voorbeelden.
De FDA waarschuwt in
hun verklaring Cybersecurity for
Medical Devices and Hospital Networks voor de gevolgen van malware en onbedoelde toegang
tot medische apparatuur. Enkele voorbeelden zijn:
- Netwerkgekoppelde medische systemen die geïnfecteerd waren door malware.
- Malware op computers, smartphones en tablets gericht op patiëntgegevens, montoring apparatuuur en geïmplanteerde apparatuur.
- Onbeheerde verspreiding van wachtwoorden, uitgeschakelde wachtwoorden, hard-coded wachtwoorden voor specifieke accounts (administratief, beheer, onderhoud).Na-ijlende of ontbrekende software updates en/of patches in medische apparatuur en netwerken.
- Kwetsbaarheden in standaard software om ongeoorloofde toegang te beperken (clear tekst, geen authenticatie, hard-coded wachtwoorden, gedocumenteerde wachtwoorden, slechte programmering en codering, SQL-injections).
Ik ben benieuwd in hoeverre de zorgsector dit gaat
oppakken. In Nederland is de NEN 7510 een goed handvat voor ziekenhuizen. Toch
zie je dat een goed gedocumenteerd Information Security Management System, een
lijst met abstracte security controls en één enkele verantwoordelijke
securityprofessional niet voldoende zijn om privacygevoelige gegevens binnen
de deur te houden.
Los van de privacy is het natuurlijk wel mooi dat Nederlandse
artsen nu de hete adem van Russische en
Chinese vakgenoten in de nek gaan voelen. Goed dat we nu gratis een second opinion
kunnen krijgen. Blijft het natuurlijk wel een probleem dat je het recept niet
kunt lezen. Maar, laten we eerlijk zijn. Wanneer heb jij voor het laatst het
recept van je huisarts kunnen ontcijferen? Ikzelf gebruik een van de recepten van mijn huisarts
nu al bijna een jaar als museumjaarkaart.
Ben jij van mening dat je gezondheid op het spel staat met
al die buitenlandse inmenging in je EPD, je laboratoriumuitslagen, je
dieetadvies en de vlekjes op je longfoto’s? Wees gerust, een bezoek aan die
Chinese wonderdokter uit de vorige eeuw met kruidenthee en naalden spreekt mij
ook niet echt aan hoor. Daarom alle lof voor de laatste initiatieven op het
gebied van e-Health:
- Ongepatchte MRI-apparatuur aan het internet.
- Tablets vol patiëntgegevens.
- Clouds afgeladen met EPD’s.
- Rammelende online bloedonderzoeken.
- Thuiswerkende longartsen,
- Youtube op de OK (instructiefilms?).
- Operaties op afstand.
Mocht ik met deze blog zorgprofessionals tegen de schenen
geschopt hebben, dan spijt me dat zeer.
Ik ben alleen erg bedachtzaam als het gaat om privacy en
medische veiligheid als het internet er bij om de hoek komt kijken. Kijk eens
om je heen en vraag de IT-afdeling of alle medische apparatuur waarmee je werkt
al voorzien is van de laatste patches of software updates.
Succes met je mooie vak als zorgprofessional. Op een dag zal
ik ook van jou afhankelijk worden.
Alle securityprofessionals, die dit gelezen hebben, wens ik
veel succes bij hun volgende doktersbezoek. Doe anders even zo’n preventieve scan.
Geen opmerkingen:
Een reactie posten