Nederlandse ziekenhuizen riskeren virus op medische apparatuur

Goede cyber security is voor iedereen belangrijk. Maar vooral als het om levens gaat. Wat blijkt? Meer dan de helft van de ziekenhuizen is een keer geraakt door virusbesmetting van medische apparatuur. En slechts een klein deel heeft een expliciet beveiligingsbeleid.

Medische apparatuur wordt innovatiever en is steeds vaker met een netwerk verbonden. Dat biedt kansen, maar ook bedreigingen. Nog niet alle ziekenhuizen zijn zich daarvan bewust, concludeert Deloitte. Het adviesbureau deed onderzoek onder 17 van de 82 Nederlandse ziekenhuizen en ondervroeg de professionals die verantwoordelijk zijn voor of werken met medische apparatuur.

Versleuteld netwerk?

Hartmonitoren, infusie-apparaten en MRI-scanners. Allemaal voorbeelden van medische apparatuur met een netwerkaansluiting. Om betrouwbaarheid en vertrouwelijkheid van gegevens te kunnen borgen kan gebruik gemaakt worden van een versleutelde verbinding met het netwerk. Maar uit het onderzoek blijkt dat minder dan een kwart van de ondervraagde ziekenhuizen zeker weet dat medische apparatuur op hun netwerk versleuteling gebruikt. Daarnaast geeft driekwart van de ziekenhuizen aan dat het meestal niet mogelijk is om gegevens van een medisch apparaat direct versleuteld op een USB-stick op te slaan.

Dreigingsscenario’s die de patiëntveiligheid kunnen raken:

• Een alarm gaat niet af omdat een hacker dit actief blokkeert.
• Een alarm gaat onterecht af door een hacker waardoor alarmmoeheid op kan treden onder personeel.
• Een patiënt ontvangt geen of juist wel therapie omdat een hacker dit blokkeert of activeert.
• Een patiënt ontvangt therapie van een apparaat waarvan een hacker de instellingen heeft veranderd.

Medische apparatuur afvoeren

Acht van de geïnterviewde ziekenhuizen hebben een procedure voor het afvoeren van medische apparatuur. Bijvoorbeeld als deze verouderd is of niet meer werkt. In één geval wordt de meeste apparatuur opgehaald door de leverancier en bij een ander ziekenhuis wordt de apparatuur ingeleverd bij een professionele afvalverwerker. In twee gevallen wordt de apparatuur vernietigd door een gecertificeerde partij. De ziekenhuizen zonder interne datavernietigingsprocedure doen de aanname dat de leveranciers, gecertificeerde verwerkers zelf op een adequate manier de data verwijderen.

Stappen om cyber security van medische apparatuur te vergroten:

• Scheiden van het administratieve netwerk en het medische netwerk (netwerksegregatie).
• Periodieke patching, monitoring en (waar mogelijk) fysieke afscherming van apparatuur.
• Eén verantwoordelijke voor ICT en medische technologie.
• Een beleid voor de informatiebeveiliging van medische apparatuur.
• Privacy en security van meet af aan meenemen in het ontwerp en bij de aanschaf van nieuwe medische apparatuur.

Het volledige Deloitte-onderzoek Cyber security van netwerk verbonden Medische Apparatuur in Nederland 2015 is hier te downloaden.