IoT-devices zijn niet meer weg te denken in de zorg. Persoonsalarmering, domotica, infuuspompen en activity trackers, allemaal zijn ze verbonden met het internet. Lang niet alle devices kun je voorzien van goede endpoint security.
“Zorgorganisaties hebben een blinde vlek voor beveiliging van IoT”, weet May Wang, oprichtster van ZingBox. “Hackers krijgen steeds beter in de gaten dat ze via IoT bij de data in het EPD en ECD kunnen komen. Laat dat niet gebeuren!”
Intelligente polsbandjes
Aanvankelijk betroffen IoT-devices vooral de apparatuur in het ziekenhuis: radiologiesystemen, hartbewaking, infuuspomen enzovoort. Maar tegenwoordig zit ook de langdurige zorg vol met IoT, zoals camera’s, automatische deuren, intelligente polsbandjes om demente mensen mee te traceren, stappentellers en wat dies meer zij.
De vele en gevarieerde devices maken allemaal gebruik van verschillende software en verschillende operating systems. Ze staan 24×7 aan en werken onderling met elkaar samen. Dat maakt IoT uitermate moeilijk om te beveiligen, volgens Wang.
Zorginstellingen zijn interessante doelwitten voor hackers. Zij kunnen veel geld verdienen aan het doorverkopen van medische informatie. Als zij via een digitale klok of deursensor op het netwerk van een zorgorganisatie kunnen komen en zich zo toegang kunnen verschaffen tot het EPD of ECD, dan hebben ze een goudmijn aangeboord.
Traditionele security werkt niet
Het grootste probleem met de meeste IoT-devices is dat traditionele endpoint security niet werkt. Wang: “Op de meeste devices kun je bijvoorbeeld geen virusscanner zetten en je kunt ze ook geen security key geven of authenticatie toepassen.
En zijn ze wel voorzien van endpoint security, dan werkt dat vaak niet goed samen met de zwaar beveiligde it-omgeving. Dus zetten it-afdelingen het vinkje maar uit om de devices toegang te verstrekken tot het netwerk.
Ook firewalls voldoen niet meer omdat veel aanvallen van binnen het eigen netwerk komen. Netwerksegmentatie zou hiertegen helpen, alleen is het grote voordeel van IoT nu juist dat alles met alles wordt verbonden. Je houdt die segmentatiebenadering niet vol in de wereld die nu aan het ontstaan is.”
Analyseer gedrag
Als de devices zelf niet goed te beveiligen zijn, hoe pak je het dan wel aan? Wang gebruikt een metafoor.
