Gezondheidszorg, IT en security is een combinatie waar de lezer zich het nodige bij kan voorstellen. Zelfs al voor we te maken kregen met cryptoware was het een sector waar niet iedereen zomaar iets aan mocht leveren of onderhouden. Minimaal NEN7510 moet je zijn gecertificeerd om daar een voet tussen de deur te krijgen. Een ziekenhuis moet dat eisen om te voorkomen dat fouten in de IT leidt tot verlies van patiëntdata of erger nog de patiënten zelf in gevaar brengt. En toen kwam er cryptoware en zagen we berichten van ziekenhuizen die moesten sluiten.
Ziekenhuis IT onder de loep nemen
Daar ergens begint ook het verhaal van Cohen en Kamil, beiden werkzaam als onderzoekers bij Maglan, dat deel uitmaakt van Accenture-Security in Israël. De talk die zij hielden was tenenkrommend om wat ze tegenkwamen en daardoor ook bijna humoristisch. Na de eerste signalen van cryptoware kregen ze de mogelijkheid een van de klanten, een ziekenhuis, te onderzoeken op mogelijke kwetsbaarheden. Dat moet iedereen die iets doet met IT aanspreken, er is nog niets aan de hand en toch krijg je de vrije hand om de ziekenhuis IT op de kop te zetten.
Bijzondere omgeving
Een ziekenhuis is een bijzondere omgeving. Delen zijn 24/7 actief, in andere heersen reguliere kantoortijden, het is een quasi openbare ruimte omdat er bezoek in en uit loopt en dan zijn er nog de machines. Het werd door Cohen en Kamil tijdens de talk en het interview achteraf meerdere keren benadrukt: een beetje ziekenhuis “device” kost een half miljoen en die aan een grondig onderzoek onderwerpen terwijl ze het gewoon moeten blijven doen is iets waarbij je niet over een nacht ijs kunt gaan. Er zijn ook zelden overbodige of afgedankte exemplaren beschikbaar, zoals je bij servers wel hebt, die je wel tot op het bot kunt uitpluizen. Als die stuk gaan is er verder niets aan de hand.
De werkzaamheden in ziekenhuizen zijn goed gescheiden. Er is iemand verantwoordelijk voor de “office IT” en die gaat niet over de “medical IT”. Begrijpelijk, al zou tijdens de talk blijken dat daar iets niet goed ging, helemaal niet omdat er ook nog iemand voor de buiten infra verantwoordelijk was.
Let’s start
De talk startte met de eerste foto’s van de eerste werkdag op de klantlocatie. Cohen en Kamil komen binnen op de tijdelijke werkplek en gaan op zoek naar koffie. Nu is een ziekenhuis een heel spannende omgeving, want op heel veel plekken staren de RJ45 sockets je aan. Die verleiding konden ze tot de koffie weerstaan. De cafetaria, een ruimte waar ook bezoekers komen, vonden ze en ze vonden er ook iets anders: een wifi hotspot. Om precies te zijn een open wifi hotspot. Of ze rustig de koffie hebben opgedronken hebben we niet verteld. Wel maakten ze duidelijk dat dit het beging van een zeer spannende en teleurstellende inventarisatie was.
Om een lang verhaal kort te maken: het hotspot was niet gescheiden van de rest van de IP space in het ziekenhuis. Segmentering van het netwerk met vlans bleek niet te bestaan, van de negen noodzakelijke security maatregelen bleek e slechts 1 aanwezig te zin: het ziekenhuis beschikte over AV. OK, het was niet up-to-date, maar dat iets anders viel ook niet meer te verwachten.
Mogelijke impact
De mogelijke impact van het onveilige netwerk lijkt groot. Cohen en Kamil hebben vastgesteld dat de ziekenhuis machines los staan van het internet, dat is goed. Ze moeten echter data overpompen en ontvangen van apparaten (PACs) die wat dichter op het internet zitten. Er kwam nog een screenshot voorbij van een machine die permanent 8.8.8.8. aan het pingen was. Reden en nut daarvan was onduidelijk. Iemand met slechte bedoelingen kan vast iets verzinnen om met een paar sprongen wel bij de machines uit te komen en dan wordt het echt eng. Een machine onbruikbaar maken is dan nog het minste erge scenario, een machine onbetrouwbaar maken is veel erger.
Hardware
Omdat de meesten van ons ziekenhuis hardware alleen van de buitenkant of foto’s kennen was het ook voor de meeste een nieuwtje te horen hoe de twee onderzoekers alles onder de motorkap beschreven “het is eigenlijk vergelijkbaar met IoT van 5 jaar geleden” Dus de ARM cpu’s zul je daar vaak aantreffen. Nu is een van de veelgehoorde klachten over IoT enduser devices dat die niet gepatched kunnen worden. Dat is bij ziekenhuis machines een iets ander verhaal legde Cohen nog uit. “voor dit soort devices komen wel patches uit, maar de focus ligt vanzelfsprekend op het functionele.” De lezer weet dat functioneel iets anders is dan security.
Tenslotte
De talk en het interview na afloop waren leerzaam. De onvermijdelijke slotvraag was of de twee nog een advies hebben op basis van het onderzoek dan bijna drie maanden heeft geduurd. Cohen sprak over het “maturity level” van security in de sector. Dat zou wel beter mogen. Kamil had het over “niet bang zijn voor testen en het inhuren van red teams”. Beiden punten staan of vallen met “awareness”. Daar is waarschijnlijk ook het kapstokhaakje voor de lezer van Technite. Weet dat als je zaken doet met de gezondheidszorg dat de securitykennis daar lager kan zijn dan je hoopt. Dat het komt door de segmentatie van functies in een ziekenhuis is een detail. Het wil niet zeggen dat je daar als leverancier geen taak hebt te polsen of wat jij levert ook goed en verantwoord wordt ingezet.
