Beveiliging van IoT-devices
IoT-devices zijn niet meer weg te denken in de zorg. Persoonsalarmering, domotica, infuuspompen en activity trackers, allemaal zijn ze verbonden met het internet. Lang niet alle devices kun je voorzien van goede endpoint security. “Zorgorganisaties hebben een blinde vlek voor beveiliging van IoT”, weet May Wang, oprichtster van ZingBox. “Hackers krijgen steeds beter in de gaten dat ze via IoT bij de data in het EPD en ECD kunnen komen. Laat dat niet gebeuren!”
Aanvankelijk betroffen IoT-devices vooral de apparatuur in het ziekenhuis: radiologiesystemen, hartbewaking, infuuspomen enzovoort. Maar tegenwoordig zit ook de langdurige zorg vol met IoT, zoals camera’s, automatische deuren, intelligente polsbandjes om demente mensen mee te traceren, stappentellers en wat dies meer zij. De vele en gevarieerde devices maken allemaal gebruik van verschillende software en verschillende operating systems. Ze staan 24×7 aan en werken onderling met elkaar samen. Dat maakt IoT uitermate moeilijk om te beveiligen, volgens Wang.
Zorginstellingen zijn interessante doelwitten voor hackers. Zij kunnen veel geld verdienen aan het doorverkopen van medische informatie. Als zij via een digitale klok of deursensor op het netwerk van een zorgorganisatie kunnen komen en zich zo toegang kunnen verschaffen tot het EPD of ECD, dan hebben ze een goudmijn aangeboord.
Traditionele security werkt niet
Het grootste probleem met de meeste IoT-devices is dat traditionele endpoint security niet werkt. Wang: “Op de meeste devices kun je bijvoorbeeld geen virusscanner zetten en je kunt ze ook geen security key geven of authenticatie toepassen. En zijn ze wel voorzien van endpoint security, dan werkt dat vaak niet goed samen met de zwaar beveiligde it-omgeving, dus zetten it-afdelingen het vinkje maar uit om de devices toegang te verstrekken tot het netwerk. Ook firewalls voldoen niet meer omdat veel aanvallen van binnen het eigen netwerk komen. Netwerksegmentatie zou hiertegen helpen, alleen is het grote voordeel van IoT nu juist dat alles met alles wordt verbonden. Je houdt die segmentatiebenadering niet vol in de wereld die nu aan het ontstaan is.”
Analyseer gedrag
Als de devices zelf niet goed te beveiligen zijn, hoe pak je het dan wel aan? Wang gebruikt een metafoor. “Ons lichaam heeft veel functies die je op verschillende manieren kunt monitoren. Hartslag, bloeddruk en zuurstofsaturatie vertellen je iets over het functioneren van je hart-long-systeem. Als je de functie van de nieren of de lever wilt meten, heb je echter heel andere informatie nodig. Zo is het met IoT ook. Ieder device heeft een eigen gedrag. Dat gedrag voorspelt of het device gewoon zijn werk doet of dat het besmet is en iets doet waarvan jij niet wilt dat het gebeurt.”
ZingBox monitort het gedrag van de devices op het netwerk. Niet met een traditioneel Security Information and Event Management System (SIEM) dat logs analyseert. “De meeste IoT-devices maken niet eens een log”, zegt Wang. ZingBox volgt gedrag: wat is normaal gedrag en wanneer wijkt het gedrag af? Want dan ontdek je vroegtijdig of iemand probeert in te breken. Vergelijk het met een gewone inbreker. Je kunt je huis uitrusten met een alarmsysteem en dan ontdek je het als iemand al binnen is. Je kunt ook camera’s ophangen die verdacht gedrag waarnemen. Dan zie je het als iemand rondjes om het pand rijdt in zijn auto, dat hij die auto niet op de normale parkeerplaats parkeert maar langs de weg waar hij zo kan wegrijden, dat hij veel om zich heen kijkt. Op een vergelijkbare manier analyseert ZingBox de IoT-devices op het netwerk. Daarvoor zetten ze AI in. “Het gaat om zulke grote hoeveelheden data, dat je het niet meer met de hand kunt analyseren. Computers zijn daar nu eenmaal veel beter in.”
Zorgorganisaties die met dit type beveiliging aan de slag willen, verkrijgen allereerst inzicht in welke devices allemaal toegang hebben tot het netwerk. Daarbij wordt geen onderscheid gemaakt tussen medische en niet-medische devices, omdat je via beide – direct of indirect – toegang kunt krijgen tot de patiënt/cliënt en zijn gegevens. Wang: “Ons doel is CIO’s een zorg uit handen nemen. We maken inzichtelijk welke IoT-devices toegang hebben tot een netwerk en we identificeren aan de hand van hun gedrag welke mogelijk gehackt zijn.”
GDPR
Wang heeft de meest onvoorstelbare situaties gezien: inbraken in camera’s, digitale klokken, infuuspompen en zelfs in implantaten. Het doel is vaak toegang tot het EPD of ECD, of het innen van losgeld (ransomware). Als een hacker bij de dosering kan komen van high-risk medicatie, kan het zelfs levensbedreigend zijn. Wang: “Je kunt er gewoon geen risico mee nemen. CIO’s weten dit ook wel, maar het is complex en bovendien hebben ze vaak geen weet van wat er op hun netwerk gebeurt en welke data al is weggelekt. Tot nu toe kwamen ze daarmee weg, simpelweg omdat niemand het wist. Maar vandaag of morgen gaat het mis en ben je voorpaginanieuws.”
Zeker met de GDPR op komst kun je dit nog kunt laten liggen. “Dit geldt overigens voor alle organisaties, hoor”, haast Wang zich te zeggen. “De zorg is wat dit betreft niet uniek.” Het is een kwestie van tijd voordat terroristen of andere kwaadwillenden dit terrein ontdekken en toeslaan.
Geïntegreerde aanpak
Omdat IoT deel uitmaakt van een heel it-ecosysteem en dus samenhangt met thema’s als virtualisatie, storage en analytics is ZingBox onderdeel van het Dell ecosysteem. “Dell bestaat uit een familie aan bedrijven die actief zijn op het gebied van IoT en AI. Zij helpen ons bij de geïntegreerde aanpak die dit onderwerp vraagt, en wij helpen hen met specifieke kennis en tools rondom IoT-security. Zie IoT niet als los onderdeel maar bekijk het vanuit je integrale it-landschap en pas de security ook op een integrale manier toe. Want als IoT één kenmerk heeft dan is het wel dat het alles met alles verbindt. Een geïsoleerde aanpak gaat echt niet werken.”
