Open source software (OSS) wordt gebruikt om elke kritieke infrastructuursector te ondersteunen, maar publiek toegankelijke code en kwetsbaarheden vormen een risico voor de gezondheidszorg. Dat blijkt uit een onderzoek van de Amerikaanse instantie HC3, onderdeel van het Ministerie van Volksgezondheid. Zo betekent de publieke beschikbaarheid van OSS dat cybercriminelen er vrijelijk in naar uit te buiten kwetsbaarheden kunnen zoeken.
Open source software (OSS) vormt de basis van veel hedendaagse softwareontwikkeling, maar kan ook kritieke infrastructuursectoren blootstellen aan cyberveiligheidsrisico's. Dat stelt het Health Sector Cybersecurity Coördinatiecentrum (HC3) in een onlangs gepubliceerde white paper, waar Health IT Security over bericht.
Voordelen open source software
Open-source software is een gebied van softwareontwikkeling waarin de broncode voor tools, projecten en programma’s vrij beschikbaar wordt gesteld om te downloaden, aan te passen en te delen, aldus de white paper. De volledige broncode wordt meestal openbaar geplaatst via platforms voor het delen van codes zoals GitHub, zodat iedereen deze codes kan onderzoeken en wijzigingen kan aanbrengen. Veelvoorkomende voorbeelden zijn FireFox en Linux.
Open-sourcesoftware wordt veel gebruikt in kritieke infrastructuur. In de zorgsector bijvoorbeeld in EMR (EPD)-software zoals OpenEMR en OpenMRS, en receptsoftware zoals Open Hospital en PatientOS. De populariteit ervan is volgens HC3 begrijpelijk: sectoren die OSS gebruiken profiteren van lagere startkosten, flexibelere softwareontwikkelingsprocessen, eenvoudiger licentiebeheer en een snellere start van projecten.
Keerzijde van Open Source
Het publieke karakter van OSS heeft echter een keerzijde, meent HC3. “Hoewel open-sourcesoftware de basis vormt van moderne softwareontwikkeling, is het ook vaak de zwakste schakel in de softwaretoeleveringsketen”. Niet alleen komen kwetsbaarheden en beveiligingsproblemen vaak voor bij OSS: het publieke karakter ervan betekent dat bedreigingsactoren vrijelijk de code kunnen scannen op kwetsbaarheden die ze kunnen misbruiken. Bovendien kunnen kwetsbaarheden in open-sourcebibliotheken aanwezig zijn in duizenden applicaties, waardoor veel organisaties kwetsbaar zijn voor risico's.
HC3 benadrukt ook dat open source-code regelmatig wordt bijgewerkt en zeer snel verouderd kan raken. Soms nemen organisaties open source-componenten op in applicaties en werken ze die vervolgens niet (tijdig) bij met patches, waardoor software aan verdere risico's wordt blootgesteld.
Open-sourceprojecten ontberen doorgaans gecentraliseerde kwaliteitscontrole, wat betekent dat er geen garantie is dat de code rigoureus is getest op beveiligingsfouten, schrijft HC3 verder.
“Er is beperkte verantwoordelijkheid voor leveranciers. In tegenstelling tot bij commerciële softwareleveranciers die vaak specifieke ondersteuning bieden, ontberen open-sourceprojecten vaak de structuur of middelen die nodig zijn om verantwoordelijkheid te nemen voor beveiligingsproblemen.”
Cybersecurity-problemen
Er zijn in het verleden cyberbeveiligingsproblemen gedocumenteerd die voortkomen uit het gebruik van OSS in de gezondheidszorg, zo onderstreept HC3. Opmerkelijke incidenten zijn onder meer het Heartbleed-probleem in 2014, waardoor netwerken kwetsbaar werden voor afluisteren en gegevensdiefstal, en de Log4j-kwetsbaarheid in 2021.
HC3 benadrukt dat deze problematiek niet betekent dat het beter is OSS niet langer te gebruikenorganisaties aanbevolen OSS-evaluaties uit te voeren om de veiligheid en beveiliging vast te stellen. Deze beoordelingen omvatten het analyseren van de beveiliging van de codebase en het beoordelen van de mate van betrokkenheid en reactievermogen van de projectbeheerder op beveiligingsproblemen.
Het inzetten van Software Bill of Materials (SBOMS) en Software Composition Analysis (SCA) zijn ook belangrijke manieren om risico's te verminderen. SBOM's bieden transparantie in de softwaretoeleveringsketen door alle componenten en afhankelijkheden op te sommen waaruit een stuk software bestaat. Een SCA is een geautomatiseerd proces dat de open-sourcesoftware in een codebasis identificeert.
Over HC3
Het Health Sector Cybersecurity Coördinatiecentrum (HC3) is opgericht door het Amerikaanse ministerie van Volksgezondheid om te helpen bij de bescherming van vitale, gecontroleerde gezondheidszorg-gerelateerde informatie en om ervoor te zorgen dat het delen van cyberbeveiligingsinformatie wordt gecoördineerd in de (volks)gezondheidssector.
In Nederland is onder meer Z-Cert actief op het gebied van cybersecurity voor de zorgsector.
