Medische apparatuur van Becton, Dickinson and Company (BD) zijn mogelijk kwetsbaar voor de KRACK-bug. Dit kan cybercriminelen toegang geven tot data van medische apparaten en patiëntendossiers. Een ontwikkeling die slecht is voor de privacy van mensen, maar ook voor zorgverleners.

Het medisch-technologisch bedrijf, dat ook actief is op de Nederlandse markt, meldde in een veiligheidsbulletin dat zijn apparatuur die gebruikmaakt van het wifi WPA2-protocol kwetsbaar is. Het is niet alleen een probleem voor BD, maar voor producten die gebruikmaken van WPA2 in het algemeen. Veel bedrijven, waaronder Cisco, Intel, Google en Apple, troffen al maatregelen.

Gegevensdiefstal

KRACK, dat staat voor Key Reinstallation Attack, werd in oktober 2017 geopenbaard door een onderzoeksgroep van de Universiteit Leuven. Het exploiteert een fout in het Wi-Fi Protected Access II (WPA2) -protocol, dat wordt gebruikt om moderne draadloze netwerken te beveiligen. KRACK maakt manipulatie van gegevensverkeer mogelijk, resulterend in gedeeltelijke openbaarmaking van gecodeerde communicatie of injectie van gegevens daarin.

IoT-producten, waaronder die van BD, lopen hierdoor gevaar en kunnen de beveiliging van gegevens niet optimaal garanderen. In de medische sector, waarin extra waarde wordt gehecht aan de beveiliging van gevoelige persoonlijke informatie, is dit een groot struikelblok. De mogelijkheden om KRACK te gebruiken voor gegevensdiefstal zijn echter beperkt. Deze wifi-bug kan alleen succesvol worden geëxploiteerd als een aanvaller zich binnen het fysieke bereik van een getroffen wifi-toegangspunt en -client bevindt.

Ontwikkelingen BD-producten

“BD volgt de ontwikkelingssituatie met een recentelijk bekendgemaakte reeks kwetsbaarheden in het WPA2-protocol die de vertrouwelijkheid, integriteit en beschikbaarheid van communicatie tussen een wifi-toegangspunt en een voor wifi-geschikte client zoals een computer, telefoon, wifi-basisstations en andere uitrustingen, zelfs als de gegevens zijn gecodeerd,” aldus het bedrijf.

BD bericht dat zij de ontwikkelingssituatie met een recentelijk onthulde reeks kwetsbaarheden in het WPA2-protocol op nauwe voet volgen. Momenteel is er geen gerapporteerd geverifieerd incident waarbij het KRACK-beveiligingslek kwaadwillig werd misbruikt tegen BD-apparaten, verzekert het bedrijf. In de veiligheidswaarschuwing wordt bericht om welke apparaten het gaat; het betreft vooral producten uit de Alaris en Pyxis-serie.

Als KRACK echter met succes wordt geëxploiteerd in zorginstellingen, kunnen aangetaste ziekenhuisnetwerken worden geconfronteerd met veranderingen in het patiëntendossier en grote IT-verstoringen. Het bedrijf roept gebruikers op om dergelijke problemen te voorkomen. Voor het herstel van KRACK moet een reeks acties worden ondernomen door de IT-afdeling van zorginstellingen en leveranciers waarvan BD afhankelijk is.