Vorige week berichtten de internationale media over de onthulling van Duitse onderzoekers dat de radiologiebeelden van miljoenen burgers vrij in te zien zijn op honderden met het Internet verbonden systemen waarin onder meer MRI- en CT-afbeeldingen worden opgeslagen.
Eenvoudig te benaderen
Het Duitse onderzoeksbureau Greenbone Networks gebruikte openbare websites en hulpmiddelen om achter de IP-adressen van 2300 zogeheten PACS-servers (Picture Archiving and Communication Systems) te komen, verspreid over de hele wereld. Zo’n server is meestal gekoppeld aan radiologische apparatuur, en stelt behandelende artsen in staat om beelden van patiënten te bekijken.
De onderzoekers concludeerden dat je bij veel van de onderzochte systemen helemaal geen behandelend dokter hoeft te zijn om beelden en andere informatie van patiënten op te vragen. Een zogeheten DICOM beeldviewer en het IP-adres van zo’n PACS-server volstaan. Die adressen kun je gemakkelijk vinden op sites als Shodan.io en Censys.io door het zoekwoord ‘DICOM’ in te voeren.
Zonder ingenieuze exploits of malware
Wanneer het in de media gaat om de dreiging van datadiefstal of datalekken, doemt al snel een beeld op van slimme hackerscollectieven die (al dan niet via opdrachten op The Dark Web) gericht op zoek gaan naar medische data en daarbij gebruikmaken van ingenieuze exploits of malware. Dat staat in schril contrast met de realiteit van die de Duitse onderzoekers aantroffen.
De servers met gevoelige medische data als radiologische beelden, patiëntcodes en soms ook aandoeningen bleken zonder enige vorm van beveiliging direct bereikbaar te zijn via het openbare internet. In een groot aantal gevallen was zelfs geen gebruikersnaam of wachtwoord nodig om direct gevoelige patiëntdata in te zien.
De waarde van een Zero Trust strategie
Op welke manier zou het toepassen van een Zero Trust strategie dit soort security-blunders hebben voorkomen? Op de eerste plaats zou bij een inventarisatie en classificatie van alle systemen en data in een organisatie snel naar voren komen dat dit type data aan hoge, bijna altijd wettelijk afgedwongen, eisen voor vertrouwelijkheid moet voldoen. Integriteit en beschikbaarheid spelen ook een rol, maar confidentiality is een kernvoorwaarde.
De gevoeligheid van persoonlijke medische data vereist een verregaande mate van zekerheid over de identiteit en rol van mensen die er toegang toe krijgen. Zaken als two-factor authenticatie en toegangsrechten moeten worden afgedwongen nog voordat een bezoeker of proces ook maar contact kan maken met de beeldendatabase.
Het via internet ontsluiten van interne applicaties met beperkte beveiligingsopties (die soms nog op oude versies van Windows draaien), zonder de bescherming van een next-generation firewall en/of een afgedwongen VPN is niet uit te leggen. Dat die PACS-server ook binnen het ‘veilige’ interne netwerk van een ziekenhuis beter in een eigen micro-segment met specifieke toegangspolicy’s zou moeten worden ondergebracht laten we hier nog maar even buiten beschouwing.
De moraal van dit verhaal
De moraal van dit verhaal is dat er nog veel laaghangend fruit is wanneer het om cybersecurity gaat, niet alleen in de zorg, maar ook in andere branches. De meest eenvoudige vulnerability scan brengt deze gaten in de gegevensbeveiliging aan het licht, en de meest evidente kwetsbaarheden zijn relatief eenvoudig op te lossen, met firewall-technologie die al zes tot zeven jaar beschikbaar is.
Waarom dit soort situaties nog bestaan, en vooral op zo veel plaatsen? Dat is een kwestie van de wortel en de stok. Kennelijk is de dreiging die sommige bestuurders ervaren (bezoek van de Inspectie, boetes, reputatieverlies) niet groot genoeg om tot adequate actie over te gaan. En tegelijk is er bij de nu gevonden organisaties kennelijk ook geen sprake van een voldoende hoge beloning (materieel of anderszins) om de juiste maatregelen te willen nemen.
