Nieuwe onderzoeksresultaten van het Europese cybersecuritybedrijf Modat tonen een verontrustend beeld: meer dan 1,2 miljoen medische apparaten en systemen met internetverbinding zijn wereldwijd blootgesteld aan ernstige beveiligingsrisico’s. Deze systemen, variërend van MRI-scanners tot ziekenhuisinformatiesystemen, vormen volgens Modat een direct gevaar voor de privacy en veiligheid van miljoenen patiënten.
Medische apparaten
De bevindingen komen voort uit een uitgebreide wereldwijde scan met behulp van Modat Magnify, het geavanceerde internet-scanplatform van het bedrijf. Daarbij werden meer dan 70 typen medische apparaten geanalyseerd, waaronder CT- en röntgenscanners, DICOM-viewers, bloedtestapparatuur en beheersystemen voor ziekenhuizen. Met name Ierland (81.000) en het Verenigd Koninkrijk (77.000) hadden opvallend veel kwetsbare systemen.
Geen wachtwoord, oude software
Veel van de kwetsbaarheden zijn het gevolg van slechte configuratie, zwakke wachtwoorden en verouderde software. Onderzoekers ontdekten dat sommige apparaten nog standaardwachtwoorden als ‘admin’ of ‘123456’ gebruikten, of zelfs helemaal geen authenticatie vereisten. Andere systemen draaiden op onbeveiligde en niet-gepatchte firmware.
Tijdens één van de scans werden zonder beveiliging hersenen en long-MRI’s van patiënten, inclusief naam, geboortedatum en medische voorgeschiedenis, zichtbaar. Ook werden gevoelige medische beelden gevonden zoals tandartsfoto’s, oogonderzoeken en bloedresultaten. Allemaal persoonlijk identificeerbare informatie (PII) en medische gegevens (PHI).
Medische privacy in gevaar
Modat heeft direct contact opgenomen met internationale partners zoals ‘Health-ISAC en Z-CERT’ (de Nederlandse CERT voor zorginstellingen) om het proces van Responsible Disclosure op te starten. Zij zullen betrokken organisaties waarschuwen en begeleiden bij het dichten van de lekken.
Soufian El Yadmani, CEO van Modat, is kritisch: “De vraag die we moeten stellen is: waarom zijn MRI-scanners überhaupt rechtstreeks verbonden met het internet, zonder enige beveiliging?” Hij waarschuwt dat het onnodig blootstellen van deze systemen aan het internet niet alleen een IT-probleem is, maar een direct risico voor patiëntveiligheid.
Veiligheidsaudits
Modat roept zorginstellingen op tot regelmatige veiligheidsaudits, het bijhouden van volledige asset-inventarissen en continue monitoring van netwerkverbonden medische apparatuur. Alleen dan kunnen toekomstige datalekken worden voorkomen.