Chinese wonderdokter!

Medische apparatuur gevoelig voor cyberaanvallen en malware.

Medische apparatuur is steeds vaker (in)direct aangesloten op internet. Die open toegang tot de systemen maakt ze gevoelig voor cyberaanvallen en malware. Stel je even voor:

• Je pacemaker onder controle van de NSA!
• Je borstimplantaten op IP-adres 192.168.1.22!
• EPD gekoppeld aan MRI in Rusland!

Waren we in de vorige eeuw nog onder de indruk van de Chinese wonderdokter met naalden en kruidenthee. Nu kunnen we toch echt versteld staan van een heel andere vorm van de oosterse geneeskunde.

Kijk, wij beslissen zelf om onze medische gegevens in het EPD op het internet te slingeren. Meneer Snowden heeft duidelijk gemaakt dat de Amerikaanse overheidsdokter NSA met de PRISM-scoop jouw medische geschiedenis extra doorlicht. Dat is netjes afgehecht door Nederlands toezicht, volgens Opstelten. Voor zover dus geen vuiltje aan de lucht!

Maar als medische apparatuur steeds beter toegankelijk is voor anderen, dan wordt second opinion wel heel erg leuk. Internet is vrijheid en openheid, dus ook een second opinion op een Nederlandse diagnose kan nu zonder problemen via internet opgevraagd worden. De buitenlandse arts kan tenslotte zonder problemen bij de laatste MRI-scan.

Als we even kijken waar we dan eenvoudig de second opinion kunnen opvragen, dan komen we in China terecht. Ze hebben de blauwdrukken van de JSF al, dus waarom zouden ze jou niet even een second opinion op afstand kunnen geven?

Als we echter even doorredeneren kunnen we natuurlijk ons ook de volgende gevolgen voorstellen:

• Streng dieetvoorschrift: driemaal daags rijsttafel!
• Laboratoriumuitslag ook  in Chinees te verkrijgen!
• Eén-kind-politiek doorgevoerd in Nederlandse IVF-kliniek!

We moeten er dus voor waken dat onze nationale zorginstellingen niet doorslaan in internationale zorgfabrieken.

De verzekeraars zullen wel erg geïnteresseerd zijn in goedkopere tarieven. De wisselkoersen inbegrepen! Kunnen ze gelijk die spiraaltjesfraude naast zich neerleggen. De patiënt hoeft die echt niet zelf te gaan kopen in China, waarna het ziekenhuis zowel het spiraaltje als de plaatsing vergoed krijgt.

Ik draaf weer door. Medische gegevens op internet, medische apparatuur (in)direct op internet, allemaal niets om je zorgen over te maken.   

Toch heeft de Amerikaanse Food & Drugs Authority gemeend de medische sector te waarschuwen voor de gevolgen van kwetsbare medische systemen die al dan niet aan vanaf internet toegankelijk zijn. Enkele incidenten leiden tot risico’s voor patiënten met een directe zorgindicatie. Analyse apparatuur die wellicht verkeerd gekalibreerd blijkt te zijn, scans die niet gemaakt kunnen worden voor patiënten op de polikliniek. Zomaar wat voorbeelden.

De FDA waarschuwt in hun verklaring Cybersecurity for Medical Devices and Hospital Networks voor de gevolgen van malware en onbedoelde toegang tot medische apparatuur. Enkele voorbeelden zijn: 

• Netwerkgekoppelde medische systemen die geïnfecteerd waren door malware. 
• Malware op computers, smartphones en tablets gericht op patiëntgegevens, montoring apparatuuur en geïmplanteerde apparatuur.
• Onbeheerde verspreiding van wachtwoorden, uitgeschakelde wachtwoorden, hard-coded wachtwoorden voor specifieke accounts (administratief, beheer, onderhoud).Na-ijlende of ontbrekende software updates en/of patches in medische apparatuur en netwerken.
• Kwetsbaarheden in standaard software om ongeoorloofde toegang te beperken (clear tekst, geen authenticatie, hard-coded wachtwoorden, gedocumenteerde wachtwoorden, slechte programmering en codering, SQL-injections).

De FDA vraagt leveranciers van medische apparatuur inzicht te geven in de risico beperkende maatregelen die zij nemen bij het ontwerpen, ontwikkelen en produceren van medische apparatuur.  Ook richten zij zich tot de zorgsector zelf met tips. Ze willen ook graag dat fabrikanten kwetsbaarheden melden, zodat hierover goede adviezen gegeven kunnen worden richting de zorgsector.

Ik ben benieuwd in hoeverre de zorgsector dit gaat oppakken. In Nederland is de NEN 7510 een goed handvat voor ziekenhuizen. Toch zie je dat een goed gedocumenteerd Information Security Management System, een lijst met abstracte security controls en één enkele verantwoordelijke securityprofessional niet voldoende zijn om privacygevoelige gegevens binnen de deur te houden.

Los van de privacy is het natuurlijk wel mooi dat Nederlandse artsen nu de hete adem van Russische  en Chinese vakgenoten in de nek gaan voelen. Goed dat we nu gratis een second opinion kunnen krijgen. Blijft het natuurlijk wel een probleem dat je het recept niet kunt lezen. Maar, laten we eerlijk zijn. Wanneer heb jij voor het laatst het recept van je huisarts kunnen ontcijferen? Ikzelf  gebruik een van de recepten van mijn huisarts nu al bijna een jaar als museumjaarkaart.

Ben jij van mening dat je gezondheid op het spel staat met al die buitenlandse inmenging in je EPD, je laboratoriumuitslagen, je dieetadvies en de vlekjes op je longfoto’s? Wees gerust, een bezoek aan die Chinese wonderdokter uit de vorige eeuw met kruidenthee en naalden spreekt mij ook niet echt aan hoor. Daarom alle lof voor de laatste initiatieven op het gebied van e-Health:

• Ongepatchte MRI-apparatuur aan het internet.
• Tablets vol patiëntgegevens.
• Clouds afgeladen met EPD’s.
• Rammelende online bloedonderzoeken.
• Thuiswerkende longartsen,
• Youtube op de OK (instructiefilms?).
• Operaties op afstand.  

Mocht ik met deze blog zorgprofessionals tegen de schenen geschopt hebben, dan spijt me dat zeer.

Ik ben alleen erg bedachtzaam als het gaat om privacy en medische veiligheid als het internet er bij om de hoek komt kijken. Kijk eens om je heen en vraag de IT-afdeling of alle medische apparatuur waarmee je werkt al voorzien is van de laatste patches of software updates.

Succes met je mooie vak als zorgprofessional. Op een dag zal ik ook van jou afhankelijk worden.

Alle securityprofessionals, die dit gelezen hebben, wens ik veel succes bij hun volgende doktersbezoek. Doe anders even zo’n preventieve scan.