Etienne Janssen: Afd. CAT Preventiehuis Kwetsbaarheid en sterkte.
Kwetsbaarheid medische apparatuur
15
-
Upload
erik-remmelzwaal -
Category
Healthcare
-
view
248 -
download
0
Transcript of Kwetsbaarheid medische apparatuur
Erik Remmelzwaal
OKDagenErik Remmelzwaal, CEO@erikremmelzwaal | [email protected] 10/14/15
#Zoals veel mensen tegenwoordig kijk ik graag Amerikaanse TV series.
1
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#En van mijn favorieten is de serie Homeland, die net zijn 5e seizoen in is gegaan. De serie draait om een CIA agente met een bipolaire stoornis en geeft een onofficieel kijkje in de keuken van de geheime dienst en diens operaties in met name het midden-oosten. Het heeft diverse awards gewonnen, waaronder Emmys en Golden Globes. En aflevering, nummer 10 van seizoen 2 in 2012, heeft een element in zich dat draait om hetgeen ik vandaag met u wil bespreken, en dat wil ik bij deze even laten zien.
Wat achtergrond: een veteraan Nicolas Brody is ontvoerd geweest in Irak en na lange tijd vrijgelaten en terug gekeerd naar de VS. Daar is hij onthaald als held, maar tijdens zijn ontvoering is hij bekeerd tot de islam en hij heeft een geheime missie om Amerika een lesje te leren. In deze scene is Brody inmiddels opgeklommen richting de kandidatuur voor vice-presidentschap van de VS als running mate van een man die hij wil vermoorden.
2
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#VRAAG: Kende iemand dit stukje al? VRAAG: En hoe zeer geloofde u dat dit mogelijk is?
3
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Het feit wil, dat de hack op de pacemaker is gebaseerd op een werkelijke angst die heeft gespeeld bij de Amerikaanse overheid ten tijde van het vice presidentschap van Dick Cheney. Want die werd namelijk voorzien van een pacemaker.4
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Maar dat is niet alles: in oktober 2012, 2 maanden voor deze uitzending van Homeland, sprak security onderzoeker Barnaby Jack op een conferentie in Melbourne. Barnaby was een fenomeen in de security community, vooral bekend van zijn hack van pinautomaten die hij kon dwingen al het geld uit te spugen, de truc werd ook wel Jackpotting genoemd.5
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Maar in Melbourne zou hij spreken over de mogelijkheid om op een afstand van 15 meter een pacemaker te hacken en een dodelijke schok van 830 volt uit te voeren. Op die conferentie heeft Barnaby een video laten zien als bewijs, maar deze niet openbaar gemaakt onder druk van de fabrikant, wiens naam we niet kennen. http://www.computerworld.com/article/2473402/cybercrime-hacking/pacemaker-hacker-says-worm-could-possibly--commit-mass-murder-.html
6
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Een klein jaar later, in augustus 2013, zou Barnaby opnieuw komen te spreken op de Black Hat security conferentie in Las Vegas. Daar zou hij een demonstratie geven van zijn pacemaker hack. Net als bij Jackpotting was zijn motivatie altijd om de kwetsbaarheid van systemen aan te tonen en het bewustzijn hierover zo te laten groeien. Op 25 juli 2013, nog geen maand voor de Black Hat conferentie, werd helaas bekend dat Barnaby volstrekt onverwachts en op mysterieuze wijze was overleden. Zelfmoord, zeggen ze. Barnaby werd 36 jaar oud.7
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Van het verhaal over Barnaby Jack zou je ook makkelijk een TV-serie kunnen maken. Maar dit verhaal is werkelijkheid. En zonder teveel stil te staan bij complot theorieen, gaat het erom dat medische apparatuur gehackt kan worden. Dat is geen fictie, dat is een feit. Naast de pacemaker is een ander voorbeeld dat veel wordt aangehaald de insuline pomp die de opdracht gegeven kan worden om alle insuline te dumpen in het lichaam van de gebruiker. Beide voorbeelden draaien om implantaten, waarbij misbruik dus directe levensgevaarlijke gevolgen kan hebben. Maar hoe zit dat met medische apparatuur in de operatiekamer?8
FDA
http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm456815.htm DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Eind juli nog, slechts twee en een halve maand geleden, deed de Food and Drug Administration (de FDA) in Amerika een waarschuwing uit naar alle ziekenhuizen. Zij waren erachter gekomen dat een infuuspomp van het merk Hospira kwetsbaar was voor cyberaanvallen. Het dringende advies was om de pomp niet langer te gebruiken.9
DerbyCon Scott Erven & Mark CollaoSHODAN:21 anaesthesia488 cardiology67 nuclear medical133 infusion systems31 pacemakers97 MRI scanners
(bron: https://www.defcon.org/images/defcon-22/dc-22-presentations/Erven-Merdinger/DEFCON-22-Scott-Erven-and-Shawn-Merdinger-Just-What-The-DR-Ordered-UPDATED.pdf)
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#En een halve maand geleden publiceerden onderzoekers Scott Erven en Mark Collao op de conferentie DerbyCon in Louisville, Kentucky hun bevinding dat zij duizenden medische apparaten konden misbruiken, waaronder MRI scanners, rntgen apparaten en wederom infuuspompen. Voor een gedeelte omdat dit soort apparatuur steeds vaker verbonden wordt met het internet.10
All your devices can be hacked
https://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked?language=en DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#De conclusie is duidelijk: medische apparatuur, ook die gebruikt wordt in de OK, is kwetsbaar voor cyberaanvallen. Maar dat weten wij allang hoor. Avi Rubin sprak al in 2011 bij TED over mogelijke hacks op medische apparatuur. Ja ook pacemakers. Ofwel: we weten dit allang. Er is nog niet superveel veranderd.11
Internet-of-Things (IoT): joepie
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Ja 1 ding is veranderd: het Internet of Things. Dat is een van de laatste hypes waarbij elk apparaat wat je kunt bedenken smart wordt gemaakt en aan het internet verbonden. Zodat je allerlei functies kunt gebruiken waar je nog nooit aan had gedacht. En dat draaft best wel door. Dat leidt tot twee vragen: Ten eerste: maar gaat er ook iemand echt misbruik maken van die kwetsbaarheid? En ten tweede: wat kunt u hieraan doen?
12
Geld verdienen, hoe?Ransomware
Lateral Movement
Botnet > DDoS
?DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#Op het eerste is het eerlijke antwoord dat het scenario uit Homeland natuurlijk onwaarschijnlijk is. We hoeven ons gelukkig nog niet zorgen te maken dat hackertjes op zolderkamers continu apparaten proberen te hacken om mensen dood te maken. Dat wil echter niet zeggen dat de zorgsector niet een doelwit is voor cybercriminelen. En de kwetsbare medische apparatuur dan misschien niet gehackt wordt om mensen aan te vallen, maar om geld te verdienen. Hoe kan je nu geld verdienen aan een gehackte infuuspomp, zult u vragen?
1) apparatuur hacken en zorgen dat ze niet gebruikt kunnen worden en vervolgens een losgeldsom vragen om ze weer vrij te geven. Dit heet ook wel ransomware 2) de infuuspomp gebruiken als uitgangspunt om andere plekken in het netwerk te bereiken waar waardevolle medische persoonsgegevens staan opgeslagen (10x waarde van creditcard) 3) een grote groep van infuuspompen onder controle nemen en ze als een botnet inzetten voor het uitvoeren van DDoS aanvallen zoals waar laatst Ziggo last van had
Sterker nog: het blijkt dat de zorgsector zelfs een bovengemiddeld interessant doelwit is. Want juist in de zorg zijn processen van levensbelang, en is de bereidheid om losgeld te betalen hoger dan in andere sectoren. Ransomware aanvallen komen dan ook veel voor binnen de zorg.
13
Wat moet ik doen?Organisatie: iedereen is verantwoordelijk
Netwerk: scheiding tussen gewone en medische computers
Controle: continue monitoring op verdachte activiteiten
DearBytes - NL OK Dagen 2015 - https://dearbytes.com/zorg10/14/15
#En wat kunt u daaraan doen? Wat belangrijk is in informatiebeveiliging, is dat iedereen in een organisatie zijn eigen verantwoordelijkheid kent en neemt. Het is niet een onderwerp dat overgelaten kan worden aan de IT afdeling. Omdat incidenten in informatiebeveiliging in het meerendeel van de gevallen het gevolg zijn van foutief menselijk handelen. Maar ook omdat de IT afdeling misschien wel allerlei muren kan opwerpen tegen misbruik, maar dat u die dan wel moet accepteren in uw eigen dagelijks werk.
Er is nieuwe wetgeving op komst die het belang van die goede informatiebeveiliging vergroot. Vanaf 1 januari 2016 is elke organisatie namelijk verplicht om melding te maken van security incidenten, als gevolg van de nieuwe Meldplicht Datalekken, onderdeel van de Wet bescherming persoonsgegevens.
De IT afdeling zal dolblij zijn wanneer de lijnorganisatie, u dus, zelf het belang inziet van beveiliging en daarover vragen gaat stellen en behoeftes ontwikkeld. Daarna staan de volgende twee adviezen centraal:
1) maak een duidelijke scheiding in het computer netwerk tussen gewone computers en medische apparatuur 2) zorg ervoor dat er continu gemonitord wordt op verdachte activiteiten in het netwerk, zodat aanvallen in de kiem kunnen worden gesmoord.
Bij deze en andere maatregelen kan mijn organisatie DearBytes goed helpen. Wij bedienen al veel clinten in de zorg en kennen dus de complexiteit van ICT beveiliging in deze sector maar wat goed. Verwijs uw IT afdeling dus gerust door naar ons voor concrete oplossingen!
14
DANK Uvragen?Erik Remmelzwaal@erikremmelzwaal | [email protected] 10/14/15
#
