Ziekenhuisapparatuur slecht beveiligd tegen computervirussen

Een groot deel van de Nederlandse ziekenhuizen heeft ooit te maken gehad met een besmetting van medische apparatuur door een computervirus. Onder meer hartbewakingsapparatuur en MRI-scanners zijn getroffen, aldus beveiligingsspecialisten van Deloitte.

Foto Medioimages/Photodisc

Voor zover bekend is de gezondheid van patiënten niet in gevaar geweest. Ook zijn er geen aanwijzingen dat het gaat om gerichte acties door criminele of terroristische organisaties, bijvoorbeeld om ziekenhuizen af te persen. 'Het zijn in de meeste gevallen zogenoemde oeps-besmettingen; een bestaand virus dat bijvoorbeeld via een usb-stick wordt overgebracht', zegt expert cyber security Jeroen Slobbe van Deloitte, die anderhalf jaar lang onderzoek heeft gedaan bij zeventien van de 82 Nederlandse ziekenhuizen.

Reële gevaren

Dat er reële gevaren bestaan, bleek afgelopen week toen het Amerikaanse ministerie van Binnenlandse Veiligheid waarschuwde voor ernstige beveiligingslekken in de software van de infuussystemen van het bedrijf Hospira. Door dit lek kan de bediening op afstand worden overgenomen, waardoor kwaadwilligen in theorie de dosering kunnen aanpassen. Of en hoe veel van deze apparaten in Nederland actief zijn, is onbekend. Hospira heeft niet gereageerd op een verzoek om informatie.

Doordat steeds meer ziekenhuisapparatuur online komt, of bijvoorbeeld met een usb-stick benaderd kan worden, neemt de kans op besmettingen met computervirussen toe. Hoewel de gevonden virussen meestal niet gericht zijn om de medische apparatuur te ontregelen, kan de betrouwbaarheid van hun functioneren er wel door geschaad worden, aldus Slobbe. Apparatuur kan traag worden of verkeerde waarden doorgeven. Indirect komt de patiëntveiligheid daarmee in gevaar, stelt Slobbe.

De ziekenhuizen wilden op basis van anonimiteit praten over de beveiliging van hun medische apparatuur. Bij de helft is ooit sprake geweest van een besmetting. De precieze aard en omvang van de problemen meldt de onderzoeker niet.

Geen beveiligingsbeleid

Of de getroffen ziekenhuizen hun beveiliging niet op orde hebben, is volgens Slobbe lastig te zeggen: 'Het zou ook kunnen dat zij dankzij hun beveiligingsbeleid de virussen juist hebben ontdekt.' De kans bestaat volgens Slobbe dat bij andere ziekenhuizen virussen een sluimerend bestaan leiden. Driekwart van de ondervraagde ziekenhuizen heeft geen actief beveiligingsbeleid voor medische apparatuur.

Volgens de Nederlandse Vereniging van Ziekenhuizen is honderd procent veiligheid niet mogelijk, zelfs als alle maatregelen worden uitgevoerd die de opstellers van het rapport voorstellen. De NVZ is voorstander van het onderling delen van ervaringen. Er bestaat echter nog geen centraal meldpunt waar ziekenhuizen problemen met computerbeveiliging kunnen delen.

Meer over