Medische software komt met een bijsluiter

do 16 juni 2022
Medische software komt met een bijsluiter
Security
Premium

Een ernstige kwetsbaarheid in de log-tool Apache Log4j heeft in december 2021 veel stof doen opwaaien. Ondanks de ernst van de kwetsbaarheid duurde het soms weken of maanden voordat duidelijk was welke medische applicaties en systemen die Apache gebruikten, precies kwetsbaar waren. Met de Software Bill of Materials die de Amerikaanse president Biden onlangs ingevoerd wist te krijgen1 , moeten kwetsbaarheden in applicaties sneller zijn op te sporen.

De Log4j-kwetsbaarheid was zo ernstig omdat het een zogeheten remote code execution mogelijk maakt, waardoor een aanvaller op afstand allerlei commando’s en processen kan starten op een machine van het slachtoffer. Log4j is een logtool die heel veel wordt gebruikt in applicaties die zijn geschreven in de programmeertaal Java. Toch heeft deze kwetsbaarheid nog niet geleid tot een golf aan hacks, constateert Steven van Baardewijk, securityspecialist bij Z-CERT, het cybersecurity expertisecentrum voor de zorg. Al hoewel er wel ransomware incidenten en datalekken bekend zijn die tot stand kwamen door misbruik van log4j bekend zijn, bleef een grote golf aan dit soort incidenten uit. Dirk de Wit, Head of Product Security bij Philips, heeft ook veel te maken gehad met de gevolgen van Log4j. Als een dergelijke kwetsbaarheid aan het licht komt, volgt De Wit een vaste procedure. “Binnen Philips hanteren we een Coordinated Vulnerability Disclosure (CVD) proces waarbij we elke nieuwe kwetsbaarheid beoordelen qua impact op onze producten en services. Een centraal team registreert de nieuw ontdekte vulnerability en stelt een proces in werking om de impact van een kwetsbaarheid te bepalen.” Bij Log4j was dat nog best puzzelen, stelt De Wit. “Een medisch apparaat is opgebouwd uit diverse onderdelen van derde partijen, denk aan verschillende hardwarecomponenten, het besturingssysteem, security-maatregelen zoals firewall, endpoint protectie, et cetera. Ook in deze producten van derden kan mogelijk code gebruikt zijn waar Log4j in zit. Voor de door Philips zelf ontwikkelde code (meestal de klinische applicatie) zijn we zelf verantwoordelijk om te beoordelen of Log4j aanwezig is. Maar voor Log4j binnen producten van externe partijen zijn we uiteraard afhankelijk van de snelheid van deze leveranciers.” Software Bill of Materials Enkele grote kwetsbaarheden en hacks, zoals Log4j en bijvoorbeeld de verspreiding van ransomware via software van Kaseya (leverancier van ICT-beheersoftware), waren voor de Amerikaanse president Joe Biden aanleiding om een presidentieel decreet te ondertekenen. Hiermee probeert Biden de cyberveiligheid te vergroten bij overheidsorganisaties. Andere sectoren zoals gezondheidszorg kunnen ‘meeliften’. Een van de nieuwe regels uit het decreet is een vereiste voor een Software Bill of Materials (SBOM), bedoeld om de veiligheid en integriteit van softwaretoepassingen te garanderen die de federale overheid gebruikt. De SBOM is een elektronisch document in SPDX (Software Package Data Exchange)- of JSON-formaat waarin de onderdelen worden beschreven waaruit software is opgebouwd, met een lijst van alle onderdelen, informatie over die onderdelen en de relaties ertussen. Het is een inventarisatie van softwarecomponenten. De SBOM is daarom van toepassing op softwareproducenten die een dergelijke inventarisatie als een soort productdocumentatie beschikbaar zouden moeten stellen voor hun softwareproducten. Die complete lijst van volledig traceerbare softwarecomponenten is overigens ook een vereiste voor het verkrijgen van een Europese CE-certificering. Technische documentatie Vooral bij medische apparaten is softwaretransparantie nu al vrij gebruikelijk. Philips werkt bijvoorbeeld al enige tijd met het Philips Product Security Framework, waarbij het bedrijf zichzelf verplicht de programmacode en software te analyseren tijdens de ontwikkeling van systemen, stelt De Wit. “Bij veel van onze medische apparaten wordt nu al een beknopte SBOM opgenomen in de technische documentatie. Vanaf mei 2022 is het verplicht om de SBOM bij een apparaat mee te leveren waarbij de SBOM uitgebreider dient te zijn dan tot nu toe.” De Software Bill of Materials wint aan populariteit in de IT-beveiligingswereld. ENISA, de Europese organisatie voor cybersecurity, noemt de SBOM vooral een middel om de veiligheid te verhogen van het Internet of Things en medische apparaten. Om een SBOM op te stellen, wordt het gebruik van de tool DependencyTrack (https:// dependencytrack.org/) voorgesteld. Bovendien adviseert ENISA zorginstellingen om bij de keuze voor medische apparaten een SBOM voor hardware en software te raadplegen. De SBOM is met name bedoeld om gedurende de levenscyclus van een apparaat snel inzicht te kunnen krijgen of een bepaald softwarecomponent is gebruikt binnen de oplossing waarvoor recent een nieuwe kwetsbaarheid is gepubliceerd. Gebrek aan overzicht Het beschikken over SBOM bij medische producten helpt bij het verkrijgen van overzicht over de software assets. Iets waar het in de praktijk nog wel eens aan ontbreekt. Bij Log4j duurde het juist bij een aantal leveranciers enige tijd voordat duidelijk was welke producten kwetsbaar waren geworden. Beter asset management en het opstellen van een SBOM kunnen volgens Van Baardewijk van Z-CERT helpen om in de toekomst sneller inzicht te hebben welke producten of applicaties een kwetsbaarheid bevatten. Nu vergde dit na het ontdekken van Log4j erg veel uitzoekwerk. “Na de publicatie van de Log4j-kwetsbaarheid hielden sommige leveranciers de boot een beetje af, of ze claimden dat ze niet kwetsbaar waren vanwege incomplete informatie”, aldus Van Baardewijk. Ook volgens het Nationaal Cyber Security Centrum (NCSC) kan de SBOM wel helpen om beveiligingsrisico’s te beperken doordat de SBOM transparant maakt welke kwetsbaarheden van toepassing zijn op een bepaald product of een applicatie. Een gebrek aan systemisch overzicht over de samenstelling en functionaliteit van systemen, verhoogt het risico om gehackt te worden. Wel heeft het NCSC nog twijfels of SBOM in de praktijk erg makkelijk toepasbaar is. Dit heeft onder meer te maken met het gebrek aan standaardisatie in het gebruik van SBOM. Er lijkt nog weinig consistentie te zijn in datastandaarden die geaccepteerd worden en tools die SBOM ondersteunen. Verder is er onduidelijkheid over hoe SBOM wordt aangeboden. Door SBOM online toegankelijk te maken, kan de informatie op elk moment worden bijgewerkt als dat nodig is. Die optie geniet de voorkeur. Een alternatief is om een SBOM elektronisch aan te bieden als dat nodig is, bijvoorbeeld via een download. En verder kan SBOM ook worden verpakt in de embedded software op het betreffende medische apparaat. Ook Philips is nog bezig om een standaard-methode te ontwikkelen om de SBOM te publiceren. Daar moeten de SBOM’s van externe partijen ook nog in geïntegreerd worden. Bovendien onderzoekt Philips of er een manier is om SBOM-gegevens te combineren met informatie uit de Vulnerability Exploitability eXchange (VEX) zodat de risicoinschatting van een kwetsbaarheid wordt gecombineerd met bestaande mitigaties. Uiteindelijk is elke fabrikant van medische apparaten zelf verantwoordelijk voor het gehele eindproduct. In het geval van Log4j kan het zomaar zijn dat een klinische applicatie niet kwetsbaar is en dat de fabrikant na verloop van tijd een bericht van een derde partij krijgt dat hun product wel geraakt is. In dat geval zal de status van het medische apparaat worden gewijzigd van ‘not impacted’ in ‘impacted’. Dankzij de Software Bill of Materials zal dat waarschijnlijk steeds minder vaak voorkomen. CV Steven van Baardewijk is securityspecia list bij Z-CERT. Dirk de Wit is Head of Product Security bij Philips. Meer informatie: Z-CERT is hét expertisecentrum op het gebied van cybersecurity in de zorg en speelt een belangrijke rol in het cyberweerbaar maken van de zorgsector. Z-CERT heeft specifieke kennis van medische technologie en vormt met haar deelnemers een netwerk om gezamenlijk digitale dreigingen als ransomware, phishing, datalekken of hacken aan te pakken. Het netwerk bestaat behalve de deelnemers uit brancheorganisaties, leveranciers, andere CERTs, internationale contacten en (hackers)communities. Z-CERT verzamelt informatie die nodig is om risico’s of dreigingen snel te signaleren en dreigingen af te slaan.