E-health security is om te huilen

vr 23 juni 2017 - 10:41
Blog

Hoe staat het eigenlijk met de veiligheid van e-health? Niet zo best. De naam van de onlangs opduikende Ransomware, WannaCry, was niet onterecht. Gewoon om te huilen. Het ging feitelijk om het niet tijdig met updates dichten van veiligheidsgaten in het operatingsystem door gebruikers. Ook was WannaCry qua ontwerp en implementatie geen echte hoogvlieger, de onverlaten lieten zelfs grote kansen liggen. Kortom knulligheid maakt blijkbaat toch meer dan 200.000 slachtoffers.

De zin van veiligheid

Even simpel: Waarom moeten wij ons eigenlijk druk maken om security bij e-health? Antwoord: De gevolgen als het verkeerd gaat kunnen immens zijn. Dit zowel op het gebied van miljoen tot miljarden schade aan de lichamelijke of geestelijke gezondheid zelf als bedrijfsvoering. Om het over de juridische aspecten en verantwoordelijkheden bij menselijke slachtoffers nog maar niet te hebben.

Onze moderne e-zorg is in hoge mate afhankelijkheid van het goed en betrouwbaar functioneren van de e-health tools bij zowel de professionele als klant-gebruiker. Of het nu om (Big)Databases met e-dossiers, apps, wearables slimme sensoren, nanorobots, online begeleiding of telemetrie, 3D printers voor farmaca, neuro- of DNA-profielen en VR gaat, we zijn gewoon heel kwetsbaar geworden als er iets mis gaat.

Welke dreigingen?

Zonder gedegen e-health security valt de zorg maar ook de leefstijl en het welbevinden ten prooi aan:

•    Criminele activiteiten. Zowel voor geldelijk gewin als het aanbrengen van letsel
•    Vandalisme en terrorisme
•    Ongewenste verzameling van gegevens voor andermans doeleinden
•    Manipulatie van opinie, meningen en gebruik
•    Het schenden van de privacy.

Deze bedreigingen floreren door de relatieve eenvoud bij het toepassen, grootschaligheid met flinke winsten en het nogal eens moeilijk te traceren zijn.

Allen zijn doorgaans goed en effectief tegen re gaan. Investeer in security en voorkom laksheid, De keten is en blijft net zo sterk als de zwakste schakel en je moet de kat niet op het spek binden!

Onderschat

De hierna behandelde dreigingen staan regelmatig niet goed op het netvlies van de zorgwerkers en hun instanties. Er is geen duidelijk beleid en het draagvlak is smal. De beveiliging zelf en draaiende systemen blijken verouderd te zijn. Meekijken en/of registreren kan gewoon via openstaande cameraverbindingen, het uitlezen van toetsenboordaanslagen of een ingeladen vissende app en mail.

Aan “Het zal mij niet gebeuren” en “Er valt hier toch niets te halen” hebben boosdoeners gewoon lak. Zorgeloosheid en onzorgvuldigheid leiden tot voor iedereen openstaande terminals rondslingerende mobieltjes,  iPads en USB-sticks, elk mailtje openen, niet goed afgeschermde (draadloze) netwerken, geen encryptie, en het vreemden op gevoelige bedrijfsplekken binnenlaten. Dat zet de (achter-)deur wijd open.

Gijzeling en moord

Niets crimineels is ook de e-health vreemd. Oplichting, afpersing / chantage, ordinaire beroving, het toebrengen van lichamelijk letsel, laster en zelfs moord betreden het nieuwe domein met verve. Het gijzelen van ziekenhuissystemen om losgeld in de vorm van bitcoins te krijgen is al geen noviteit meer. Via security-lekken in het OS, Fishing-technieken en losse eindje op het Internet Of Things (IOT) weten de criminele de digitale kluis binnen te komen. Daarna is het leed snel geschied.

Om tegenstanders of het rijke suikeroompje voor de erfenis eens (voorgoed)  uit te schakelen zijn er tal van mogelijkheden. Moord online of via het IOT. Bijvoorbeeld het ontregelen van medische apparatuur en het aanpassen van doseringen per app. Laat de fantasie eens de vrije loop en je ziet hoe kwetsbaar wij in deze kunnen zijn.

Cyberterorrisme

De moderne vandaal of terrorist behoeft diens luie stoel niet meer te verlaten en onzekere reizen met een pakkans te ondernemen. Programma’s om in andermans systemen in te breken, deze te verlammen, vernielen of verkeerd te laten werken zijn gewoon op Internet te koop. Met als variant partijen die dit type softwaretools aan online partners verschaft om vanuit de eigen ICT-omgeving de snode plannen te gaan uitvoeren. Radicaliserende ICT-ers zijn inmiddels ook al bekend.

Alleen het voor de lol gezondheidssystemen vandaliseren of naar hun grootje helpen is al erg genoeg. Als elke niet nadenkende puber met vrij verkrijgbare tools aan de slag kan vergt dat streng ingrijpen.

Datacollection en mining

Het ongeautoriseerd verzamelen en doorzoeken van gegevens varieert van een simpele registratie voor eigen archivering of onderzoek tot verkoop van persoonsgegevens aan commerciële aanbieders en marketeers. Zo krijgt de klant van de gezondheidszorg nogal eens niet gevraagde aanbiedingen en registraties elders.

Mining kan heel interessant en winstgevend zijn om bruikbare gegevens op het spoor te komen. Wat echter als de ICT- mijnwerker op zoek is naar data voor eigen commercieel en crimineel gebruik?

Gegevensmanipulatie

Behalve het bij de criminele activiteiten al genoemde misbruik van data vormt een geheel andere insteek het beïnvloeden van de opinie en productgebruik. Mensen geloven als nel wat de techniek, zeker die vanuit E-Health, hun vertelt. De recente verdenkingen op het manipuleren van verkiezingen spreken boekdelen.

Met een beetje sleutelen aan de waarheid, het anders presenteren van de informatie en het lekker maken voor krijgt de manipulator al snel hele volksstammen in beweging. Uiteraard in de eerste plaats om eigen financieel gewin. Doch ook foute politiek kan hier dankbaar gebruik van maken!

Privacy

De privacy wordt in de zorg als een groot goed beschouwd  Persoonlijke gegevens deel je gewoon niet of alleen met toestemming van de cliënt onder strenge voorwaarden.

Persoonlijke gegevens kunnen voor de pers, overheden en verzekeraars, GLW-producenten en werkgevers echter uitermate interessant zijn. Geeft de zorgverlener deze niet dan het maar eens via een datalek proberen.

Vijf voor twaalf

De tijd dringt. We hebben al de nodige voorproefjes gehad over wat de E-Health aan security breaks binnenkort nog te wachten staat. Tijdig analyseren, investeren en waar nodig stevig ingrijpen voorkomt straks veel ellende.

Het vertrouwen in en de veiligheid van E-Health valt met de bijbehorende security. Helaas is deze veiligheid te vaak nog zo lek als een mandje. En daar maken tal van lieden met minder goede bedoelingen graag gebruik van. Hoe veilig is uw organisatie eigenlijk? Laat het aan de redactie weten.