Een groot deel van de Nederlandse ziekenhuizen heeft wel eens te maken gehad met een besmetting van medische apparatuur door een computervirus. Zo zijn hartbewakingsapparatuur en MRI-scanners wel eens getroffen, volgens beveiligingsspecialisten van Deloitte.
Dit meldt de Volkskrant.
“Het zijn in de meeste gevallen zogenoemde oeps-besmettingen; een bestaand virus dat bijvoorbeeld via een usb-stick wordt overgebracht”, zegt expert cyber security Jeroen Slobbe van Deloitte, die anderhalf jaar lang onderzoek heeft gedaan bij zeventien Nederlandse ziekenhuizen. Die praatten op basis van anonimiteit over de beveiliging van hun medische apparatuur. Bij de helft is ooit sprake geweest van een besmetting. De precieze aard en omvang van de problemen meldt de onderzoeker niet.
Betrouwbaarheid schaden
De kans op besmetting met computervirussen neemt toe doordat steeds meer ziekenhuisapparatuur online komt. Volgens Slobbe richten de gevonden virussen zich meestal niet op het ontregelen van medische apparatuur, maar ze kunnen wel de betrouwbaarheid van hun functioneren schaden. Apparatuur kan traag worden of verkeerde waarden doorgeven. De veiligheid van patiënten is niet in gevaar geweest, volgens Slobbe. Ook zijn er geen aanwijzingen dat het gaat om gerichte acties door criminele of terroristische organisaties.
Of de getroffen ziekenhuizen hun beveiliging niet op orde hebben, is volgens Slobbe lastig te zeggen: “Het zou ook kunnen dat zij dankzij hun beveiligingsbeleid de virussen juist hebben ontdekt.” De kans bestaat volgens hem dat bij andere ziekenhuizen virussen een sluimerend bestaan leiden. Driekwart van de ondervraagde ziekenhuizen heeft namelijk geen actief beveiligingsbeleid voor medische apparatuur.
Ervaringen delen
Volgens de Nederlandse Vereniging van Ziekenhuizen is honderd procent veiligheid niet mogelijk, zelfs als alle maatregelen worden uitgevoerd die de opstellers van het Deloitte-rapport voorstellen. De NVZ is voorstander van het onderling delen van ervaringen. Dot kan vooralsnog niet: er bestaat geen centraal meldpunt waar ziekenhuizen problemen met computerbeveiliging kunnen delen.
Dat er reële gevaren bestaan, bleek recent toen het Amerikaanse ministerie van Binnenlandse Veiligheid waarschuwde voor ernstige beveiligingslekken in de software van de infuussystemen van het bedrijf Hospira. Hierdoor kan de bediening op afstand worden overgenomen, waardoor kwaadwillenden in theorie de dosering kunnen aanpassen. Of en hoeveel van deze apparaten in Nederland actief zijn, is onbekend.
