Volg Software Zaken

Ziekenhuizen moeten medische apparaten beter beveiligen

| Sieuwert van Otterloo | Security

Veel apparaten in ziekenhuizen hebben tegenwoording een netwerk-aansluiting, en zouden dus gevoelig kunnen zijn voor hacks van buitenaf. Onderzoeker Jeroen Slobbe van Deloitte heeft onderzoek gedaan naar de risico’s bij Nederlandse ziekenhuizen.

In 2014 is er in de Verenigde Staten veel aandacht geweest voor de IT-beveiliging van medische apparaten, zoals insuline-pompen en hartbewakingsmachines. Onder andere de medische inspectie, maar ook Homeland Security en de FBI hebben toen onderzoek verricht waarin aangegeven werd dat beveiling een zorgpunt is. TV-series speelden hier vervolgens op in (Homeland, Person of Interest) waardoor ook het grote publiek aandacht kreeg voor het risico van hacks van medische apparatuur. Computer-experts maken zich grote zorgen. Wired kopt bijvoorbeeld “It’s Insanely Easy to Hack Hospital Equipment”  Ook het Nederlandse cyber security center meldde dit als een risico in 2014, en de Autoriteit Persoonsgegevens deed in 2014 onderzoek naar beveiliging in het Groene Hart Ziekenhuis waar risico’s werden gevonden.

Voor Deloitte was dit alles aanleiding om gedurende 2015 onderzoek te doen onder Nederlandse ziekenhuizen. Door 17 interviews van verantwoordelijke personen in ziekenhuizen is nagegaan in hoeverre Nederlandse ziekenhuizen voldoende maatregelen nemen om hacks te voorkomen. Dit levert een gemengd beeld op: veel belangrijke maatregelen worden niet in alle ziekenhuizen nageleefd.

Het volledige rapport is door Deloitte gepubliceerd. Hierin staat voor de volgende aspecten aangegeven in hoeverre de geïnterviewde ziekenhuizen dit kennen en gebruiken:

  • Expliciet informatie-beleid (bij 30% ingevoerd)
  • Privacy bij afvoeren van apparaten (75%)
  • Fysieke beveiliging (bij 75% geheel of deels ingevoerd)
  • Versleuteling van gegevens (bij 20% ingevoerd, veel geïnterviewden weten niet of dit gebeurt)
  • Computervirussen (de helft van de geïnterviewden gaf aan dat men hiermee te maken heeft gehad)

Deloitte zelf geeft een aantal concrete adviezen, bedoeld voor alle ziekenhuizen in Nederland:

  1. Eén verantwoordelijke voor ICT en medische technologie
  2. Gescheiden netwerken voor medische apparaten
  3. Expliciet beleid voor informatiebeveiling van medische apparatuur
  4. Zorg voor bewustwording bij gebruikers
  5. Goede inventarisatie van alle aangesloten apparatuur
Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.