Een ziekenhuis hacken – omdat het mag

De laatste talk van Hack In The Box waar ISP Today aandacht aan besteed was ook een van de laatsten van de tweedaagse conferentie. Het ging over “Hacking a Hospital for Fun and Profit“ en werd gepresenteerd door Asaf Cohen en Ofir Kamil. Bijna het eind van de conferentie en dan de zaal helemaal vol krijgen, dat zegt veel over de belangstelling voor dit onderwerp.

Gezondheidszorg, IT en security is een combinatie waar de lezer van ISP Today zich het nodige kan voorstellen. Zelfs al voor we te maken kregen met cryptoware was het een sector waar niet iedereen zomaar iets aan mocht leveren of onderhouden. Minimaal NEN7510 moet je zijn gecertificeerd om daar een voet tussen de deur te krijgen. Een ziekenhuis moet dat eisen om te voorkomen dat fouten in de IT leidt tot verlies van patiëntdata of erger nog de patiënten zelf in gevaar brengt. En toen kwam er cryptoware en zagen we berichten van ziekenhuizen die moesten sluiten.

Ziekenhuis IT onder de loep nemen

Daar ergens begint ook het verhaal van Cohen en Kamil, beiden werkzaam als onderzoekers bij Maglan, dat deel uitmaakt van Accenture-Security in Israël. De talk die zij hielden was tenenkrommend om wat ze tegenkwamen en daardoor ook bijna humoristisch. Na de eerste signalen van cryptoware kregen ze de mogelijkheid een van de klanten, een ziekenhuis, te onderzoeken op mogelijke kwetsbaarheden. Dat moet iedereen die iets doet met IT aanspreken, er is nog niets aan de hand en toch krijg je de vrije hand om de ziekenhuis IT op de kop te zetten.

Bijzondere omgeving

Een ziekenhuis is een bijzondere omgeving. Delen zijn 24/7 actief, in andere gelden reguliere kantoortijden, het is een quasi openbare ruimte omdat er bezoek in en uit loopt en dan zijn er nog de machines. Het werd door Cohen en Kamil tijdens de talk en het interview achteraf meerdere keren benadrukt: een beetje ziekenhuis “device” kost een half miljoen en die aan een grondig onderzoek onderwerpen terwijl ze het gewoon moeten blijven doen is iets waarbij je niet over een nacht ijs kunt gaan. Er zijn ook zelden overbodige of afgedankte exemplaren beschikbaar, zoals je bij servers wel hebt, die je wel tot op het bot kunt uitpluizen. Als die stuk gaan is er verder niets aan de hand.

De werkzaamheden in ziekenhuizen zijn goed gescheiden. Er is iemand verantwoordelijk voor de “office IT” en die gaat niet over de “medical IT”. Begrijpelijk, al zou tijdens de talk blijken dat daar iets niet goed ging, helemaal niet omdat er ook nog iemand voor de buiten infra verantwoordelijk was.

Let’s start

De talk startte met de eerste foto’s van de eerste werkdag op de klantlocatie. Cohen en Kamil komen binnen op de tijdelijke werkplek en gaan op zoek naar koffie. Nu is een ziekenhuis een heel spannende omgeving, want op heel veel plekken staren de RJ45 sockets je aan. Die verleiding konden ze tot de koffie weerstaan. De cafetaria, een ruimte waar ook bezoekers komen, vonden ze en ze vonden er ook iets anders: een wifi hotspot. Om precies te zijn een open wifi hotspot. Of ze rustig de koffie hebben opgedronken hebben we niet verteld. Wel maakten ze duidelijk dat dit het beging van een zeer spannende en teleurstellende inventarisatie was.

Om een lang verhaal kort te maken: het hotspot was niet gescheiden van de rest van de IP space in het ziekenhuis. Segmentering van het netwerk met vlans bleek niet te bestaan, van de negen noodzakelijke security maatregelen bleek e slechts 1 aanwezig te zin: het ziekenhuis beschikte over AV. OK, het was niet up-to-date, maar dat iets anders viel ook niet meer te verwachten.

En dan was er nog het detail buiten de deur: Op de eerste foto staat een soort van een wijkkast op het terrein met een standaard sleutel. Dat had ook een hoog horror gehalte.

Mogelijke impact

De mogelijke impact van het onveilige netwerk lijkt groot. Cohen en Kamil hebben vastgesteld dat de ziekenhuis machines los staan van het internet, dat is goed. Ze moeten echter data overpompen en ontvangen van apparaten (PACs) die wat dichter op het internet zitten. Er kwam nog een screenshot voorbij van een machine die permanent 8.8.8.8. aan het pingen was. Reden en nut daarvan was onduidelijk. Iemand met slechte bedoelingen kan vast iets verzinnen om met een paar sprongen wel bij de machines uit te komen en dan wordt het echt eng. Een machine onbruikbaar maken is dan nog het minste erge scenario, een machine onbetrouwbaar maken is veel erger.

Hardware

Omdat de meesten van ons ziekenhuis hardware alleen van de buitenkant of foto’s kennen was het ook voor de meeste een nieuwtje te horen hoe de twee onderzoekers alles onder de motorkap beschreven “het is eigenlijk vergelijkbaar met IoT van 5 jaar geleden” Dus de ARM cpu’s zul je daar vaak aantreffen. Nu is een van de veelgehoorde klachten over IoT enduser devices dat die niet gepatched kunnen worden. Dat is bij ziekenhuis machines een iets ander verhaal legde Cohen nog uit. “voor dit soort devices komen wel patches uit, maar de focus ligt vanzelfsprekend op het functionele.” De lezer weet dat functioneel iets anders is dan security.

Tenslotte

De talk en het interview na afloop waren leerzaam. De onvermijdelijke slotvraag was of de twee nog een advies hebben op basis van het onderzoek dan bijna drie maanden heeft geduurd. Cohen sprak over het “maturity level” van security in de sector. Dat zou wel beter mogen. Kamil had het over “niet bang zijn voor testen en het inhuren van red teams”. Beiden punten staan of vallen met “awareness”. Daar is waarschijnlijk ook het kapstokhaakje voor de lezer van ISP Today. Weet dat als je zaken doet met de gezondheidszorg dat de kennis van security daar lager kan zijn dan je hoopt. Dat het komt door de segmentatie van functies wil niet zeggen dat je daar als leverancier geen taak hebt te polsen of wat jij levert ook goed en verantwoord wordt ingezet.

(afbeeldingen komen uit de presentatie)

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.