Medische apparaten een groot risico voor de cybersecurity

De digitalisering in de zorg brengt veel voordelen met zich mee, maar ook risico's op het gebied van cybersecurity. Steeds meer medische apparaten, zoals MRI-scanners en infuuspompen, zijn namelijk verbonden met een netwerk en soms zelfs (direct) met het internet. Dit maakt ze kwetsbaar voor cyberaanvallen. Een succesvolle hack kan leiden tot onjuiste diagnoses, verkeerde behandelingen en zelfs direct levensgevaar voor patiënten. Ook kunnen gevoelige patiëntgegevens gestolen worden. Het is daarom van groot belang dat zorgmedewerkers, maar ook (software)ontwikkelaars en producenten zich bewust zijn van deze risico's en hoe ze hiermee om moeten gaan. In een eerder artikel schreven we al dat de zorgsector de meest gehackte sector van Nederland is.

 
Waarom zijn medische apparaten kwetsbaar?

Medische apparatuur is duur en wordt lang gebruikt. Uit het Cybersecurity Dreigingsbeeld en Adviesrapport 2023 van het Nederlandse Pinewood, specialist in cybersecurity, blijkt dat medische apparaten vaak verouderd zijn of verouderde software bevatten met zwakke plekken. De systemen zijn specifiek en op maat gemaakt, waardoor patches en updates ingewikkeld zijn. Veranderingen in de software kunnen onvoorziene gevolgen hebben omdat standaardtestprocedures mogelijk niet alle specifieke functies of interacties binnen het op maat gemaakte systeem dekken. Tevens is het moeilijk om de fysieke toegang tot apparaten te beperken, denk aan medische apparaten in openbare ruimtes waarbij snelle toegang in medische noodsituaties cruciaal is.

 
Wat zijn de risico’s?

Er zijn verschillende risico’s als er een cyberaanval plaatsvindt op een medisch apparaat:

• Verkeerde diagnoses en behandelingen door gemanipuleerde meetgegevens.
• Direct gevaar voor patiënten als apparaten worden uitgeschakeld of verkeerd worden ingesteld.
• Diefstal van vertrouwelijke patiëntgegevens.
• Mogelijkheid voor hackers om via de apparaten verder binnen te dringen in het ziekenhuisnetwerk.

 
NIS2

Met de aankomende NIS2-richtlijn worden hogere eisen gesteld aan risicoanalyses, preventieve maatregelen, beleid en security monitoring. Tevens verhoogt de richtlijn de aansprakelijkheid van organisaties in het geval ze het slachtoffer worden van cyberaanvallen. Bij nalatigheid kunnen zij onderworpen worden aan aanzienlijke boetes en andere sancties.

 
Hoe kan een zorginstelling bijdragen aan een betere beveiliging?

• Wees terughoudend met het aansluiten van medische apparaten op het ziekenhuisnetwerk of internet, tenzij dit echt noodzakelijk is.
• Laat, als het kan, periodiek kwetsbaarheidsscans uitvoeren op apparatuur om risico's in kaart te brengen.
• Spreek collega's aan op onveilige omgang met medische apparaten en meld security-incidenten direct.
• Stel interne richtlijnen op voor veilig gebruik van medische apparatuur.
• Wees terughoudend met het delen van inloggegevens van apparaten en gebruik waar mogelijk sterke wachtwoorden.
• Sta open voor bewustwordingstrainingen over het belang van cybersecurity.

 
Conclusie

In een periode waarin zorgorganisaties toenemend doelwit zijn van cyberaanvallen, is verbetering van de cybersecurity onmisbaar. Bij BG.legal adviseren we u graag over het navigeren in het continu evoluerende veld van zorg gerelateerde cybersecurity. Contacteer ons vandaag nog voor een eenmalige NIS2-complaince check en kom erachter hoe we de cyberweerbaarheid van uw zorginstelling kunnen vergroten. Voorkom boetes en reputatieschade en plan via onderstaande link een meeting in. Wij zijn er om u te helpen door het complexe landschap van NIS2-compliance te navigeren. Heeft u vragen neem contact op met Jody Esveldt.