Hackers kunnen eenvoudig realtime patiëntgegevens manipuleren

Abonneer je gratis op Techzine!

Tijdens de Defcon-hackersconferentie in Las Vegas hebben veiligheidsonderzoekers van McAfee bekend gemaakt dat ze erin geslaagd zijn om een medisch netwerk te hacken en de gegevens over een patiënt te wijzigen. Het gaat om gegevens over onder meer iemands hartslag en bloeddruk, waarmee er mogelijk levens in gevaar komen.

Hackers beschikken daarmee over nog een nieuwe manier om medische gegevens te manipuleren – mogelijk met desastreuze gevolgen. Het probleem ligt in een netwerkprotocol dat de naam RWHAT draagt. Het protocol wordt gebruikt in een aantal van de meest kritische systemen van ziekenhuizen.

Gegevens manipuleren

McAfee kon de gegevens in real time manipuleren, waarmee medisch personeel mogelijk onnodige handelingen zal ondernemen. Binnen slechts vijf seconden, konden de onderzoekers van McAfee gegevens over iemands hartslag terugdringen van tachtig naar nul slagen per minuten. Daarmee toonden ze aan dat het wel erg eenvoudig is om dit soort belangrijke gegevens te manipuleren. Medisch personeel handelt immers op basis van de gegevens die ze krijgen.

Het probleem is vooral dat er geen goed authenticatiemechanisme aanwezig is. Niet alleen kunnen kwaadwillenden zomaar apparaten plaatsen die de informatie op netwerken en patiëntmonitoren manipuleren, maar ook kunnen ze zich via het netwerk toegang verschaffen tot de data en deze manipuleren.

Goede veiligheidsprotocollen

“Er is de afgelopen jaren veel meer aandacht geweest voor de veiligheid van medische apparatuur, en maar weinig onderzoek gedaan naar de unieke protocollen die door deze apparaten gebruikt worden”, aldus onderzoeker Douglas McKee in een blog. Het is volgens McKee van cruciaal belang om ook veiligheidsprotocollen te ontwikkelen.

Het probleem is ook wijdverspreid in de medische industrie. Vorige week bleek tijdens de Black Hat hackersconferentie dat pacemakers en insulinepompen ook kwetsbaar zijn voor hacks. Er lijken nog geen grote hacks plaatsgevonden te hebben, maar het is belangrijk om te voorkomen dat dit überhaupt zal gebeuren.