Een ziekenhuis hacken, hoe gemakkelijk of moeilijk is dat? De Artsenkrant stapte met die vraag naar beveiligingsbedrijf The Security Factory en AZ Groeninge. Beide partijen gingen de uitdaging aan; begin augustus mocht het Kortrijkse ziekenhuis zich aan een hackaanval verwachten. De bedoeling van de hackers was om in een dag zoveel mogelijk rechten te verwerven binnen het interne netwerk.
Omdat binnenbreken via het wifi-netwerk niet lukte, het was goed afgeschermd, probeerden de specialisten binnen te dringen via één van de IP-adressen van het ziekenhuis. Het IT-beveiligingssysteem ontdekte de poging snel, maar liet begaan omdat het een test was.
Social engineering
De ethische hackers lijstten acht aandachtspunten op, waarvan enkele van kritisch niveau. Het paswoordbeleid bleek één van de zwaktes te zijn. Zo slaagde het team erin om een computer in de inkomhal te hacken en een lijst van gebruikersnamen te pakken te krijgen. Via LinkedIn en Facebook probeerden ze zoveel mogelijk informatie over deze gebruiker te bemachtigen… om vervolgens de helpdesk te bellen en zich voor te doen als deze laatste. Na enig aandringen kreeg de hacker een nieuw paswoord; een schoolvoorbeeld van social engineering.
Een ander kritisch aandachtspunt gaat over de toegangsrechten van computers die medische toestellen aansturen. Zo had een leverancier mappen met patiëntengegevens te weinig afgeschermd.
De hackers verschaften zich ook een toegang tot de gebouwen van het ziekenhuis. In hun speurtocht konden ze een badge en een bos sleutels meepikken. Ze geraakten tot in de administratieve gebouwen en merkten daar een openstaande switchkast. Het uittrekken van enkele kabels had verschillende segmenten van het netwerk kunnen platleggen.
Toch zijn er ook positieve vaststellingen. Zo heeft het ziekenhuis een antivirussysteem in alle systemen. Ook alle veiligheidsupdates bleken in orde. Het ziekenhuis doet veel moeite om belangrijke applicaties en data te beschermen. Het patiëntendossier viel buiten het opzet van de hack.
Eindgebruiker
Uit de test bleek dat de eindgebruiker de zwakste schakel is. “In hoofdzaak moeten wij niet investeren in hardware en software, maar in goede procedures en het sensibiliseren van ons personeel”, zegt Tom Coolen, ICT-directeur van AZ Groeninge. Dat laatste was tot nog toe geen groot succes, zo blijkt ook uit de hacktest. “Er is te weinig bewustzijn rond informatieveiligheid en mogelijke beveiligingsrisico’s – technische materie die niet erg sexy is.” De aanzet moet daarom vanuit de overheid komen”, besluit de ICT-directeur. Het ziekenhuis overweegt nu om een dergelijke hacktest jaarlijks te budgetteren.
Bron: Arsenkrant
