Een ziekenhuis hacken, hoe gemakkelijk dan wel moeilijk is dat? Artsenkrant stapte met die vraag naar beveiligingsbedrijf The Security Factory en az groeninge. Beide partijen gingen de uitdaging aan; begin augustus mocht het Kortrijkse ziekenhuis zich aan een hackaanval verwachten. "Bedoeling was om in één dag zoveel mogelijk rechten te verwerven binnen het interne netwerk", licht Stijn Jans toe, managing partner bij The Security Factory. Het bedrijf krijgt regelmatig de vraag van ziekenhuizen om een zogenaamde penetration test te doen. "Eens je baas bent over het netwerk, gaat een hele wereld open. Je kan computers overnemen, e-mails sturen, facturen beheren, medische toestellen besturen en ga zo maar door."

Social engineering

Eerst probeerde het hackteam binnen te breken via het wifi-netwerk. Omdat dit goed afgeschermd bleek, probeerden de specialisten zich een weg naar binnen te banen via een van de IP-adressen van het ziekenhuis. Om tijd te winnen, stelde het ziekenhuis daarvoor één IP-adres beschikbaar. "Al in een vroeg stadium alarmeerde onze NOC (of Network Operations Center. Externe partij die 24/7 al de beveiligheidssystemen bewaakt, nvdr) dat er iets verdachts aan de hand was", zegt IT-manager Infrastructuur & Operaties van az groeninge Kevin Meerschaert. "We negeerden deze waarschuwingen echter, omdat we iets wilden leren uit de hackpoging."

Al in een vroeg stadium alarmeerde onze NOC dat er iets verdachts aan de hand was - Kevin Meerschaert van az groeninge

In totaal lijstten de ethische hackers acht aandachtspunten op, waarvan twee van kritisch niveau. Een van die zwaktes bleek het paswoordbeleid. Zo slaagde het team erin om een computer in de inkomhal te hacken en een lijst van gebruikersnamen te pakken te krijgen. Via LinkedIn en Facebook probeerden ze zoveel mogelijk informatie over deze gebruiker te bemachtigen... om vervolgens de helpdesk te bellen en zich voor te doen als deze laatste. Na enig aandringen kreeg de hacker een nieuw paswoord; een schoolvoorbeeld van social engineering. Ander kritisch aandachtspunt gaat over de toegangsrechten van computers die medische toestellen aansturen. Zo had een leverancier mappen met patiëntengegevens te weinig afgeschermd.

Op een gegeven moment zijn de teamleden ook de gebouwen in getrokken. In hun speurtocht hebben ze een badge meegepikt die voor het grijpen lag en sleutels ontvreemd

Op een gegeven moment zijn de teamleden ook de gebouwen in getrokken. In hun speurtocht hebben ze een badge meegepikt die voor het grijpen lag en sleutels ontvreemd. De ethische hackers zijn ook tot in de administratieve gebouwen geraakt, waar gevoelige financiële informatie op papier bewaard wordt. Daar merkten ze een openstaande switchkast op; het eenvoudig uittrekken van enkele kabels had verschillende segmenten van het netwerk kunnen platleggen.

IT volwaardig thema

Uiteraard waren er ook positieve vaststellingen. Zo stelde The Security Factory vast dat az groeninge een antivirussysteem heeft ingeplant in alle systemen. Ook alle noodzakelijke veiligheidsupdates bleken in orde te zijn (patching). Het patiëntendossier (KWS) viel buiten het opzet van de hack. "Het is duidelijk dat az groeninge veel moeite doet om haar belangrijke applicaties en data te beschermen", aldus het beveiligingsbedrijf.

De werkwijze, omvang en tijdstip van de hackpoging werden vooraf afgesproken en in een contract gegoten. az groeninge verleende zijn medewerking aan dit project omdat het ziekenhuis het nut inziet van een ethische hack, zegt ICT-directeur Tom Coolen. "IT en beveiliging zijn een volwaardig thema binnen ons beleid, ook op directieniveau." Het ziekenhuis krijgt naar eigen zeggen minstens een keer per maand af te rekenen met een (vijandige) aanval van buitenaf.

'Investeren in informatieveiligheid is niet sexy'

Tot op heden zijn er in België weinig zaken bekend van medische gegevens die zijn gehackt en doorverkocht. Voor een ziekenhuis is het absolute worst case scenario: een patiënt die vanop afstand wordt uitgeschakeld.

Financiële informatie is hot op zwarte markten. Maar ook persoonsgegevens blijken gegeerd. Stijn Jans, managing partner bij The Security Factory, nuanceert de situatie voor ziekenhuizen. "Veel hangt natuurlijk af van welke patiënten in het 'doelwit-ziekenhuis' opgenomen zijn. Aan het medische dossier van de koning kan een hacker uiteraard grof geld verdienen. Maar in de meeste gevallen zal het hem gaan om financiële informatie."

Voor een ziekenhuis is de imagoschade evenwel groter wanneer patiëntengegevens uitlekken, aldus ICT-directeur van az groeninge Tom Coolen. "Dat zijn de kroonjuwelen." Het ultieme worst case scenario voor een ziekenhuis is een hacker die een medisch toestel uitschakelt (en dus ook de patiënten die ermee verbonden zijn). Dat risico is reëel omdat steeds meer medische toestellen op het net zijn aangesloten. Daardoor kunnen hackers makkelijker ziekenhuisapparaten manipuleren, zelfs vanuit het buitenland.

© © maxkabakov

Jaarlijks herhalen

Uit de test besluit het ziekenhuis dat de eindgebruiker de zwakste schakel is. "In hoofdzaak moeten wij niet investeren in hardware en software, maar in goede procedures en het sensibiliseren van ons personeel." Dat laatste was tot nog toe geen groot succes, zo blijkt ook uit de hacktest. Tom Coolen: "Er is te weinig bewustzijn rond informatieveiligheid en mogelijke beveiligingsrisico's - technische materie die niet erg sexy is." De aanzet moet daarom vanuit de overheid komen, besluit de ICT-directeur.

Het ziekenhuis overweegt nu om een dergelijke hacktest jaarlijks te budgetteren. "Een oefening als deze vergt geen grote hap uit een IT-budget, hoogstens enkele duizenden euro."

Een ziekenhuis hacken, hoe gemakkelijk dan wel moeilijk is dat? Artsenkrant stapte met die vraag naar beveiligingsbedrijf The Security Factory en az groeninge. Beide partijen gingen de uitdaging aan; begin augustus mocht het Kortrijkse ziekenhuis zich aan een hackaanval verwachten. "Bedoeling was om in één dag zoveel mogelijk rechten te verwerven binnen het interne netwerk", licht Stijn Jans toe, managing partner bij The Security Factory. Het bedrijf krijgt regelmatig de vraag van ziekenhuizen om een zogenaamde penetration test te doen. "Eens je baas bent over het netwerk, gaat een hele wereld open. Je kan computers overnemen, e-mails sturen, facturen beheren, medische toestellen besturen en ga zo maar door."Social engineeringEerst probeerde het hackteam binnen te breken via het wifi-netwerk. Omdat dit goed afgeschermd bleek, probeerden de specialisten zich een weg naar binnen te banen via een van de IP-adressen van het ziekenhuis. Om tijd te winnen, stelde het ziekenhuis daarvoor één IP-adres beschikbaar. "Al in een vroeg stadium alarmeerde onze NOC (of Network Operations Center. Externe partij die 24/7 al de beveiligheidssystemen bewaakt, nvdr) dat er iets verdachts aan de hand was", zegt IT-manager Infrastructuur & Operaties van az groeninge Kevin Meerschaert. "We negeerden deze waarschuwingen echter, omdat we iets wilden leren uit de hackpoging." In totaal lijstten de ethische hackers acht aandachtspunten op, waarvan twee van kritisch niveau. Een van die zwaktes bleek het paswoordbeleid. Zo slaagde het team erin om een computer in de inkomhal te hacken en een lijst van gebruikersnamen te pakken te krijgen. Via LinkedIn en Facebook probeerden ze zoveel mogelijk informatie over deze gebruiker te bemachtigen... om vervolgens de helpdesk te bellen en zich voor te doen als deze laatste. Na enig aandringen kreeg de hacker een nieuw paswoord; een schoolvoorbeeld van social engineering. Ander kritisch aandachtspunt gaat over de toegangsrechten van computers die medische toestellen aansturen. Zo had een leverancier mappen met patiëntengegevens te weinig afgeschermd. Op een gegeven moment zijn de teamleden ook de gebouwen in getrokken. In hun speurtocht hebben ze een badge meegepikt die voor het grijpen lag en sleutels ontvreemd. De ethische hackers zijn ook tot in de administratieve gebouwen geraakt, waar gevoelige financiële informatie op papier bewaard wordt. Daar merkten ze een openstaande switchkast op; het eenvoudig uittrekken van enkele kabels had verschillende segmenten van het netwerk kunnen platleggen. IT volwaardig themaUiteraard waren er ook positieve vaststellingen. Zo stelde The Security Factory vast dat az groeninge een antivirussysteem heeft ingeplant in alle systemen. Ook alle noodzakelijke veiligheidsupdates bleken in orde te zijn (patching). Het patiëntendossier (KWS) viel buiten het opzet van de hack. "Het is duidelijk dat az groeninge veel moeite doet om haar belangrijke applicaties en data te beschermen", aldus het beveiligingsbedrijf.De werkwijze, omvang en tijdstip van de hackpoging werden vooraf afgesproken en in een contract gegoten. az groeninge verleende zijn medewerking aan dit project omdat het ziekenhuis het nut inziet van een ethische hack, zegt ICT-directeur Tom Coolen. "IT en beveiliging zijn een volwaardig thema binnen ons beleid, ook op directieniveau." Het ziekenhuis krijgt naar eigen zeggen minstens een keer per maand af te rekenen met een (vijandige) aanval van buitenaf.