Verontrustend: beveiligingssysteem ziekenhuizen omzeild in minder dan vijf uur. . .

Uit een recent onderzoek blijkt dat 39% van de informaticapiraten  een beveiligingssysteem van een zorginstelling kan kraken in minder dan vijf uur tijd. De zorgsector blijkt overigens een van de meest kwetsbare sectoren te zijn voor aanvallen.  

Enquête bij hackers

Het Australisch bedrijf  Nuix, gespecialiseerd in databeheer op grote schaal, publiceerde de tweede editie van zijn ‘Black Report’ over de beveiliging van informaticasystemen vanuit het standpunt van de hackers.  Uit het verslag van zeventig bladzijden blijkt er een kloof te zijn tussen vooroordelen en realiteit wat cyberveiligheid betreft.

Nuix zamelde de antwoorden in van 112 piraten, professionele hackers die tewerkgesteld zijn in een wettelijk kader en beveiligingsexperten uit verschillende werelddelen.

Het verslag betreft onder meer de drie etappes voor het recupereren van gevoelige gegevens: het veiligheidssysteem omzeilen -of gebruik maken van een zwakheid van het systeem, de gegevens lokaliseren en de gegevens extraheren. De resultaten zijn alarmerend: in het algemeen meent 54% van de hackers dat de drie etappes uitgevoerd kunnen worden op minder dan 15 uur tijd.

Ziekenhuissector bijzonder kwetsbaar

Niet minder dan 23% van de piraten zegt die drie etappes te kunnen afronden in minder dan vijf uur als het om ziekenhuizen of zorginstellingen gaat en 15% van de hackers zegt minder dan een uur nodig te hebben om een zwak punt in een ziekenhuissysteem te vinden, tegen 1% als het om alle sectoren gaat. Het lokaliseren van gevoelige gegevens blijkt niet moeilijker te zijn;  voor ziekenhuizen meent 37% dat het kan binnen een uur, versus 26% in alle sectoren. Dat blijkt ook het geval te zijn voor de extractie van gegevens: 51% van de hackers kan het op minder dan een uur tijd in ziekenhuissystemen tegen 40% voor alle sectoren samen.

Kwetsbaarheid, conformiteit en veiligheid

Het verslag maakt komaf met een aantal vooroordelen. De aanvallen zijn niét hoe langer hoe meer gesofisticeerd en de inbraken zijn niét steeds moeilijker te voorkomen. Bijna een vierde van de bevraagden zegt gebruik te maken van dezelfde technieken dan een jaar of meer geleden. Waarom? Omdat ze nog altijd werken en  omdat het zwakke punt of de zwakke punten niet hersteld werden. Het is overigens een feit dat een hacker op de vier geen enkele wet overtreedt.

Het rapport wijst op de zwakke gemiddelde resultaten in de gezondheidszorg terwijl zorginstellingen verschillende wetten moeten respecteren zoals bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) die in de Verenigde Staten gestemd werd in 1996.

De auteurs tonen aan dat conformiteitcertificaten niet garanderen dat de maatregelen toegepast worden en ook niet dat ze een positieve impact hebben op de regulering van gegevens. “Conformiteit is niet hetzelfde als veiligheid.”

De hoofdauteur van het rapport zegt dat de meeste ziekenhuizen en instellingen massaal investeren in veiligheidsbarrières zoals antivirusprogramma’s en firewalls die vereist worden in conformiteitcertificaten. Maar de meeste bevraagde  informaticapiraten hebben geen enkele moeite om die te omzeilen.

U wil op dit artikel reageren ?

Toegang tot alle functionaliteiten is gereserveerd voor professionele zorgverleners.

Indien u een professionele zorgverlener bent, dient u zich aan te melden of u gratis te registreren om volledige toegang te krijgen tot deze inhoud.
Bent u journalist of wenst u ons te informeren, schrijf ons dan op redactie@rmnet.be.

Laatste reacties

  • Frank PEETERS

    17 april 2018

    op hoeveel tijd kan E-Health gekraakt worden ?