“Als er geen verbinding nodig is, doe het dan niet”, is het advies van Jelena Milosevic. Zij heeft uitgezocht hoe je in het ziekenhuis veilig gebruik kunt maken van de computer. Milosevic is zelfstandig verpleegkundige en werkt sinds 1995 in verschillende ziekenhuizen in Nederland. Daarvoor werkte zij tien jaar op de afdeling intensive care in het kinderziekenhuis van de Universiteit van Belgrado. Milosevic is lid van I Am The Cavalry en Women in Cybersecurity, die zich inzetten voor technologische beveiliging van samenleving en publiek.

Dat het slecht gesteld is met de informatiebeveiliging, is inmiddels wel bekend. Milosevic oogstte dan ook veel waardering op de Bsides conferentie in Manchester van 16 augustus 2018 voor het aankaarten van gevaarlijke situaties en haar voorstellen om de beveiliging van gegevens in ziekenhuizen te verbeteren.
BSides conferenties gaan over technologie en cyberveiligheid en worden op verschillende plaatsen in de wereld georganiseerd door de Community Interest Company (CIC), een nonprofit bedrijf dat gerund wordt door vrijwillige cyberprofessionals.
John Leyden doet op de site van The Register, een in 1994 als nieuwsbrief begonnen online publicatie op het gebied van technologie verslag van de toespraak van Jelena Milosevic.

Gijzelsoftware

Veiligheid en privacy worden in toenemende mate belangrijk voor ziekenhuizen en klinieken. Verouderde digitale systemen bevatten persoonlijke, medische en financiële informatie die makkelijk in handen kan vallen van de verkeerde mensen. Hackers verschaffen zich in de medische sector toegang tot voorzieningen en malware infecteert ziekenhuiscomputers.

Volgens Milosevic vallen vooral ziekenhuizen ten prooi aan ransomware, kwaadaardige software die gebruikt wordt als chantagemiddel. Ransomware blokkeert de computer en versleutelt bestanden. Bij gebrek aan een (bruikbare) back-up ziet het ziekenhuis zich genoodzaakt losgeld te betalen om de gegevens terug te krijgen. In 2017 werden de ziekenhuizen in Groot-Brittannië getroffen door de zeer kwaadaardige gijzelsoftware WannaCry, en Orangeworm heeft ziekenhuizen in heel Europa veel last bezorgd.
WannaCry heeft de alarmbel doen rinkelen in alle zorginstellingen in Europa. Dat men de signalen serieus heeft genomen blijkt uit de maatregelen die men sindsdien bezig is te treffen.

Ga niet het internet op als het niet nodig is

Milosevic richtte haar kritiek op de makers van hardware vanwege hun IoT-gezondheidszorgtechnologie (Internet of Things) die geen “patch, geen update, geen antivirus en geen proxy” heeft. Met andere woorden: chronisch onveilig: “Zet het niet op internet als het niet nodig is”, waarschuwde ze, daarbij veiligheidsonderzoeker Dan Tentler citerend en eraan toevoegend dat er heel vaak geen enkele medische noodzaak is om apparaten te verbinden met het internet dat altijd werkt, vandaar net 24/7.

Vier van de vijf zorginstellingen hebben geen veiligheidsexpert, aldus Milosevic: “De IT-afdeling is niet dezelfde als de beveiligingsafdeling, maar artsen en verpleegkundigen denken van wel”.
Volgens haar hoort informatiebeveiliging thuis bij een aparte afdeling die ziekenhuiseenheden en -afdelingen traint in cyberveiligheid. Beveiliging behoort van de grond af aan opnieuw te worden opgebouwd en aangevuld met een bewustwordingsprogramma. Milosevic vindt dat een arts niet alleen behoort te weten hoe het lichaam werkt, maar ook hoe de computer werkt.
Milosovic: “Gezondheidszorg zonder (basis)veiligheid is als chirurgie zonder steriele instrumenten. De operatie was technisch gezien geslaagd, maar de patiënt is overleden aan bloedvergiftiging”.

Zie hieronder de video met toespraak van Jelena Milosevic op de BSides conferentie in Manchester op 16 augustus 2018: Hospitals and Infosec: The consequences of bad security in health care. Duur 42 min

If it doesn’t need to be connected, don’t: Nurse prescribes meds for sickly hospital infosec, door John Leyden, The Register, 23 augustus 2018: https://www.theregister.co.uk/2018/08/23/hospital_infosec_bsides/