Security is maar zo sterk als de zwakste schakel, wordt vaak gezegd, en in ziekenhuizen zijn die zwakste schakels vaak oude machines. Kostbare medische apparatuur heeft een afschrijvingsperiode van decennia in plaats van jaren en deze machines vormen een bron van legacy die erg lang in een organisatie blijft hangen. Software die contact legt met deze apparaten is ontworpen in de tijd waarin de machine werd geleverd en in de regel voor het toen gangbare OS. Mogelijk zijn er nog lange tijd updates geweest met zelfs herschreven versies, van Windows 95, naar 2000, naar Windows XP, maar op een gegeven moment houdt dat ook op. 

Levensreddende taak 

Het is logisch dat beveiliging in het verleden een minder hoge prioriteit kreeg in een ziekenhuis. Daar draait het immers primair om het leveren van levensreddende zorg: het is van het allerhoogste belang dat een medische scanner de foto's snel en correct levert aan een behandelaar - beveiliging is secundair (of zelfs tertiair). Op een intern netwerk hielden ziekenhuizen minder rekening met potentiële onverlaten en was er meer focus op functionaliteit. Of dat nu vanwege naïviteit, of pragmatisme, of iets anders was, het leverde een situatie op waarin een binnengekomen aanvaller eenvoudiger lateraal kon bewegen dan in een gemiddeld bedrijfsnetwerk. 

Bijkomend probleem van de legacy is dat diverse medische apparaten op het internet zijn aangesloten, zo blijkt wel uit diverse voorbeelden van hardwarzoekmachine Shodan. Als dat gaat om een machine met een niet meer ondersteund OS krijgen aanvallers vrij eenvoudig toegang tot het netwerk via deze apparatuur en kunnen ze verdere schade aanrichten. Makers van ransomware als SamSam, dat zich specifiek op organisaties als zorginstellingen richtte, ontdekten dat er in potentie veel te verdienen valt aan een ziekenhuis. Daar is het van levensbelang dat een database met scans bijvoorbeeld zo spoedig mogelijk weer beschikbaar is. Een ziekenhuis zal sneller overgaan tot het betalen van losgeld om verder te kunnen werken, omdat een organisatiebrede restore een dag of langer gaat duren. Dat is tijd die een ziekenhuis niet kan missen. 

Problematiek wordt aangepakt 

De mindset van ziekenhuizen is daarom ook aan het veranderen. Jaren geleden spraken we een informatiebeveiliger van een Nederlands ziekenhuis die het verhaal vertelde van uitgerolde thin clients zodat artsen en assistenten overal bij hun persoonlijke omgeving konden. Die werkwijze van het overal inloggen met een authenticatiepas bleek verstorend. Ze konden niet steeds op het booten van de benodigde resources na het inloggen en verzonnen ze een work-around: steek één pas in de kaartreader en knip hem af, zodat de terminal altijd actief is. Informatiebeveiliging kijkt daarom de laatste jaren steeds minder naar beveiligingsmiddelen die goed lijken op papier en in de praktijk functioneel onwenselijke situaties opleveren, maar meer naar wat eindgebruikers daadwerkelijk nodig hebben, zo leerden we de afgelopen tijd van diverse zorginstellingen en leveranciers. 

De voor ziekenhuizen specifieke legacyproblematiek moet de komende decennia afnemen. Moderne MRI-machines bijvoorbeeld, hebben allang geen hoofdapplicatie meer die is ontworpen voor een specifiek platform. Dat zou in dit tijdperk gekkenwerk zijn. In plaats daarvan gebruikt deze apparatuur in de regel REST-technologie en wordt er verbinding gemaakt met API's, zodat je vanuit bijvoorbeeld een thin client, beveiligde smartphone of wat dan ook contact kan maken met de machine, ongeacht het platform. 

Voorzichtig optimisme 

Vooralsnog is legacy een van de grootste uitdagingen voor degenen die de informatievoorziening van een ziekenhuis op peil houden. Maar er is voldoende om positief over te zijn. Met segmentatie via vLANs en andere hardening-technieken komen zorgorganisaties een heel eind en de industrie is zich duidelijk meer bewust van de mogelijke pijnpunten. Als de levensreddende primaire taak van een ziekenhuis verstoord dreigt te worden doordat de informatiebeveiliging niet voldoet - denk aan ziekenhuizen die operaties moeten afblazen door een ransomware-infectie - wordt informatiebeveiliging een veel belangrijker onderdeel van de totale strategie van een ziekenhuis. Het hierdoor veranderende uitgangspunt over IT maakt al een hoop verschil.