Het groeiende bewustzijn bij ziekenhuizen en andere medische instellingen inzake het belang van goede cybersecurity van hun medische apparatuur, vertaalt zich op operationeel niveau nog lang niet altijd in de noodzakelijke steeds verbetering van de beveiliging. Dat stelt Deloitte in het rapport ‘Cyber security of networkconnected medical devices in (EMEA) Hospitals’.
Deloitte stelt op basis van het onderzoek onder 24 ziekenhuizen uit 9 verschillende EMEA-landen onder andere dat meer dan de helft van de ziekenhuizen gebruik maakt van eenvoudig te kraken standaard wachtwoorden (fabrieksinstellingen) om apparatuur te beveiligen. Ook blijkt dat bijna de helft van de ziekenhuizen niet weet of hun apparatuur voldoet aan de vanaf mei 2018 in te voeren nieuwe EU privacy regelgeving (General Data Protection Regulation).Ook geeft slechts een vijfde van de onderzochte ziekenhuizen aan dat zij bij het merendeel van hun apparatuur gebruik maken van een versleutelde verbinding met het netwerk, om zo de betrouwbaarheid en vertrouwelijkheid van gegevens te borgen. Computervirussen en malware kunnen de behandeling of de privacy van patiënten verstoren. Uit het onderzoek komt naar voren dat drie van de geïnterviewde ziekenhuizen het afgelopen jaar te kampen hebben gehad met malware. Ook laten trends in de VS met betrekking tot ransomeware bij medische apparatuur zien dat alertheid nodig is aldus Jeroen Slobbe, cyber security expert binnen Deloitte.
Het Institute for Critical Infrastructure Technology meldde recent dat het toenemend aantal IoT-toepassingen zoals in de medische wereld aanlokkelijk is voor hackers zolang kwetsbaarheden niet worden aangepakt. Als mogelijk scenario noemt het instituut het toepassen door cybercriminelen van ransomware bij met internet verbonden medische apparatuur. Veel met internettoegang uitgeruste medische apparaten, zoals pacemakers, insulinepompen en andere medische systemen, hebben een verbinding die misbruikt kan worden om het device met malware te infecteren. Overigens benadrukt Slobbe dat er allerminst reden is voor blinde paniek.
Het niet gebruiken van medische apparatuur is een groter risico voor de gezondheid van de patiënt dan het gebruiken van kwetsbare medische apparatuur. Maar deze kwetsbaarheden en daaruit voortvloeiende risico’s voor patiënten kunnen wel verkleind worden. Om de cybersecurity van medische apparatuur te vergroten, is het ook van belang om één verantwoordelijke voor de security van ICT en medische technologie aan te stellen, die opereert vanuit een samenhangend en concreet beleid voor beveiliging van medische apparatuur.
Ook kunnen zaken zoals netwerksegregatie, monitoring en fysieke afscherming van apparatuur leiden tot een betere beveiliging. Daarnaast is het van groot belang om vanaf het begin veiligheid en privacy mee te nemen in het ontwerp van nieuwe technologische innovaties in de zorg.
