Digital

Digital

Nieuws

Vlaams ziekenhuis gehackt

In België wilde een aantal artsen weleens weten of het makkelijk is om een ziekenhuis te hacken. De Vlaamse Artsenkrant huurde het beveiligingsbedrijf The Security Factory in en vroeg om een digitale aanval (een zogenaamde penetratietest) te doen op Algemeen Ziekenhuis Groeninge. Dat ziekenhuis was overigens op de hoogte van de snode plannen.

De opdracht: “In één dag zoveel mogelijk rechten verwerven binnen het interne netwerk.”
Een woordvoerder van The Security Factory tegen Knack: “Eens je baas bent over het netwerk, gaat een hele wereld open. Je kan computers overnemen, e-mails sturen, facturen beheren, medische toestellen besturen en ga zo maar door.”

De resultaten?
Inbreken via het wifi-netwerk lukte niet. Dat was goed beveiligd.
Volgende poging: via een IP-adres. Voordat de inbraak was geslaagd, waarschuwde de beveiligingssoftware op het netwerk dat er iets gaande was.
Toen zijn arbeiders van The Security Factory het gebouw binnengegaan (dat net als Nederlandse ziekenhuizen vrij open is) en hebben een badge en sleutels gejat die lagen te slingeren. En ze bleken zelfs bij een open switchkast te kunnen komen waarmee ze delen van het netwerk hadden kunnen uitschakelen.

De conclusies?
De beveiliging op zich is prima, maar het ziekenhuis mag wel een aantal dingen verbeteren. Zoals het wachtwoordbeleid. The Security Factory slaagde in om een computer in de centrale hal te hacken en zo een lijst van gebruikersnamen buit te maken. Vervolgens achterhaalde The Security Factory via LinkedIn en Facebook informatie over de gebruikers, belde de helpdesk en deed zich voor als gebruiker. Na een beetje aandringen wilde de helpdesk best nieuwe wachtwoorden uitdelen.

Verder ontdekte The Security Factory dat informatie op computers die medische toestellen aansturen niet al te best beveiligd is. Een leverancier had bijvoorbeeld mappen met patiëntengegevens nauwelijks afgeschermd.

De ICT-directeur van het ziekenhuis was toch enigszins geschrokken, zeker van het feit dat patiëntgegevens zo gemakkelijk gestolen konden worden. De grootste angst van ziekenhuizen is overigens dat een hacker een medisch toestel uitschakelt. Dat bleek bij dit ziekenhuis niet te lukken.

Slotconclusie: de eindgebruiker is de zwakste schakel. De ICT-directeur: “In hoofdzaak moeten wij niet investeren in hardware en software, maar in goede procedures en het sensibiliseren van ons personeel. Helaas is er weinig bewustzijn rond informatieveiligheid en mogelijke beveiligingsrisico’s. Dat is technische materie die niet erg sexy is.”

Bron: Knack september 2016