Amerikaanse ziekenhuizen waren in 2021 getuige van een aanval van beveiligingsinbreuken, waarbij meer dan 40 miljoen patiëntendossiers in gevaar kwamen bij incidenten die aan de federale overheid werden gemeld. Sommige aanvallen bedreigden zelfs de gezondheidszorg, waardoor communicatiesystemen wekenlang offline gingen of een storing in de radiotherapie veroorzaakten.

Kevin Fu, universitair hoofddocent aan de Universiteit van Michigan en waarnemend directeur, Medical Device Cybersecurity bij het US FDA Center for Devices and Radiological Health, ontmoette ons en besprak de alarmerende trend en welke maatregelen mogelijk zijn om deze aan te pakken.

Vertel ons over de omvang van dit probleem

2021 was een vrij aanzienlijk jaar voor ransomware-aanvallen op de zorgverlening. Het is erg storend en het raakt de kern van de zwakke punten in de beveiliging:het menselijke element dat binnensluipt.

In april zagen we bij de FDA voor het eerst dat ransomware verder ging dan het verstoren van elektronische medische dossiers, wat tot nu toe een vrij algemeen en onhandig probleem was. Deze aanval beïnvloedde de veiligheid en werkzaamheid van bestralingstherapie voor kankerbestralingsoncologie.

Deze aanval was gericht op een fabrikant, die een privécloud binnenviel die ze gebruikten voor de dosimetrie van stralingsoncologie met ransomware en een aanzienlijke storing veroorzaakte voor ziekenhuizen die hun technologie gebruikten. Wat interessant is, is dat niet de ransomware zelf, maar het herstelproces de storing veroorzaakte. De fabrikant volgde hun IT-beveiligingsplaybook door hun cloud offline te halen toen deze geïnfecteerd was.

Helaas betekende dat dat de cloud niet beschikbaar was voor een bepaalde productlijn van bestralingsoncologie, en dus konden ziekenhuizen die het product gebruikten de bestralingstherapie niet leveren.

Als we denken aan ziekenhuisransomware, hebben we de neiging om te denken aan het gebouw zelf en de apparaten die zich binnen die muren bevinden, maar in werkelijkheid klinkt het alsof de faalpunten die gevaar lopen zich tot ver in de toeleveringsketen uitstrekken

Ja, en ik denk dat een echte uitdaging een verandering in denken is. Er zijn IT-systemen - e-mail, colleges in de klas, dit soort dingen - en ze hebben hun eigen risico's. Maar aan de andere kant heb je operationele technologie, wat we OT noemen, inclusief zaken als medische apparaten, autonome voertuigen of satellietmiddelen in de ruimte. Ze hebben andere eisen en zijn meestal eerst op veiligheid gericht.

Dus hoewel je misschien tolereert dat het e-mailsysteem voor een onderneming wordt uitgeschakeld vanwege een beveiligingsincident, is dat niet echt iets op tafel voor een kinetisch systeem waar het leven van mensen ervan afhangt.

Waarom nu? Is er een specifieke reden waarom dit een toenemend probleem is?

Ik zou meerdere factoren willen voorstellen. Deze problemen zijn sinds het begin ingebakken in computers en dit type aanval had heel goed in de jaren zestig kunnen worden uitgevoerd.

Maar ik denk dat de reden waarom het in 2022 gebeurt, is dat we een keerpunt hebben bereikt waar de mate van connectiviteit tussen apparaten en services in alle sectoren is geëxplodeerd. We zijn nu afhankelijk van gedistribueerde computing. Vijf of tien jaar geleden hadden we misschien cloudcomputing gebruikt voor het gemak, of misschien voor back-up of secundaire opslag. Maar nu het zich op het kritieke pad begeeft, maakt het deel uit van de essentiële componenten van een medisch hulpmiddel. En als het uitvalt, verliest het medische hulpmiddel zijn therapeutische kernfunctionaliteit.

Het is een moeilijk tijdperk. Er is op zich niets mis met cloud computing, maar je moet de risico's beheersen volgens je dreigingsmodel. En mijn observatie is dat het dreigingsmodel voor een medisch apparaat heel anders is dan zakelijke e-mail.

Zijn er primaire zwakke punten die laaghangend fruit zijn om aan te pakken?

Het laaghangende fruit in termen van reparatiegemak zou zijn wat bekend staat als dreigingsmodellering. Dit is iets wat we in feite leren in computerbeveiligingscursussen. Het houdt in dat je de rol van de tegenstander speelt en probeert na te denken over hoe het systeem niet alleen weerstand kan bieden aan de bedreigingen van vandaag, maar ook aan toekomstige bedreigingen.

Dit is iets waarvan ik denk dat het erg nuttig kan zijn, omdat fabrikanten, zelfs met een verouderd apparaat, beter kunnen begrijpen wat er gevaar loopt. Ze beginnen met te erkennen dat het apparaat vatbaar is voor moderne malware omdat het 20 jaar geleden is ontworpen.

Zijn aanvallen op patiëntendossiers vaker gericht op geïsoleerde ziekenhuizen of op gedeelde servers?

Ik ben nog niet op de hoogte van een cloudprovider die specifiek het doelwit is, omdat deze een groot aantal fabrikanten van medische hulpmiddelen bedient. Het zou me niet verbazen als dit op een bepaald moment per ongeluk gebeurt.

We hopen zeker dat de cloudserviceproviders die de zorgsector bedienen, aandacht besteden aan enkele van de standaardontwikkelingen om ervoor te zorgen dat de apparaten van ziekenhuizen veilig en effectief blijven, zelfs als ze de cloud gebruiken.

Dit is mogelijk vanuit een technisch perspectief, maar vereist bewuste, weloverwogen stappen als u redelijke zekerheid wilt. U wilt geen beveiliging door geluk, u wilt beveiliging door ontwerp.

Wat is de boodschap voor belanghebbenden en het publiek?

Dit is geen soort hardloopevenement, het is meer een langzame kook.

Het publiek kan enige tevredenheid hebben dat de verschillende regelgevende instanties in verschillende landen van tevoren daadwerkelijk samenwerken aan deze kwesties. Ze werken eraan om ziekenhuizen op de hoogte te houden van de beveiligingsrisico's van elk apparaat, zodat ze ze op een veilige manier kunnen inzetten.

Er zijn veel dingen gaande op de achtergrond, zowel technisch als beleidsmatig, die apparaten gaan verbeteren.

De FDA werkt strategisch aan de ontwikkeling van standaarden om een ​​groot aantal veiligheidsrisico's uit te werken, maar een uitdaging is dat er nogal wat legacy-software op de markt is - veel ervan is tientallen jaren oud. Het is een ongelooflijke uitdaging om die apparaten te beveiligen als het paard eenmaal uit de poort is.

Daartoe zijn er ook veel tijdelijke maatregelen gaande om de verouderde, legacy-apparaten aan te pakken. Het is een uitdaging, maar niet onmogelijk, om deze apparaten veilig en effectief te houden totdat een meer ideaal apparaat, met ingebouwde beveiliging vanaf het begin, beschikbaar komt.