Een ziekenhuis hacken, hoe gemakkelijk dan wel moeilijk is dat? Onze zusterkrant Artsenkrant stapte met die vraag naar beveiligingsbedrijf The Security Factory en az groeninge. Beide partijen gingen de uitdaging aan; begin augustus mocht het Kortrijkse ziekenhuis een hackaanval verwachten. "Bedoeling was om in één dag zoveel mogelijk rechten te verwerven binnen het interne netwerk", licht Stijn Jans toe, managing partner bij The Security Factory.

Het team lijstte acht aandachtspunten op, waarvan twee van kritiek niveau. Een van die zwaktes bleek het paswoordbeleid. Zo slaagde het team erin om een computer in de inkomhal te hacken en een lijst van gebruikersnamen te pakken te krijgen. Via LinkedIn en Facebook probeerden ze zoveel mogelijk informatie over deze gebruiker te bemachtigen... om vervolgens de helpdesk te bellen en zich voor te doen als deze laatste. Na enig aandringen kreeg de hacker een nieuw paswoord; een schoolvoorbeeld van social engineering. Ander kritiek aandachtspunt gaat over de toegangsrechten van computers die medische toestellen aansturen. Zo had een leverancier mappen met patiëntengegevens te weinig afgeschermd.

Op een gegeven moment zijn de teamleden ook de gebouwen in getrokken. In hun speurtocht hebben ze een badge meegepikt die voor het grijpen lag en sleutels ontvreemd. De ethische hackers zijn ook tot in de administratieve gebouwen geraakt, waar gevoelige financiële informatie op papier bewaard wordt. Daar merkten ze een openstaande switchkast op; het eenvoudig uittrekken van enkele kabels had verschillende segmenten van het netwerk kunnen platleggen.

Positieve vaststelling was dat az groeninge een antivirussysteem heeft ingeplant in alle systemen. Ook alle noodzakelijke veiligheidsupdates bleken in orde te zijn (patching). Het patiëntendossier (KWS) lag buiten de scope van de hack. "Door de beperkte omvang van de hack mogen we niet besluiten dat er geen andere kwetsbaarheden zijn in hun veiligheidsinfrastructuur", benadrukt Stijn Jans.

az groeninge verleende zijn medewerking aan dit project omdat het ziekenhuis het nut inziet van een ethische hack, zegt ICT-directeur Tom Coolen. "IT en beveiliging zijn een volwaardig thema binnen ons beleid, ook op directieniveau." Het ziekenhuis krijgt naar eigen zeggen minstens één keer per maand af te rekenen met een (vijandige) aanval van buitenaf.

Een ziekenhuis hacken, hoe gemakkelijk dan wel moeilijk is dat? Onze zusterkrant Artsenkrant stapte met die vraag naar beveiligingsbedrijf The Security Factory en az groeninge. Beide partijen gingen de uitdaging aan; begin augustus mocht het Kortrijkse ziekenhuis een hackaanval verwachten. "Bedoeling was om in één dag zoveel mogelijk rechten te verwerven binnen het interne netwerk", licht Stijn Jans toe, managing partner bij The Security Factory. Het team lijstte acht aandachtspunten op, waarvan twee van kritiek niveau. Een van die zwaktes bleek het paswoordbeleid. Zo slaagde het team erin om een computer in de inkomhal te hacken en een lijst van gebruikersnamen te pakken te krijgen. Via LinkedIn en Facebook probeerden ze zoveel mogelijk informatie over deze gebruiker te bemachtigen... om vervolgens de helpdesk te bellen en zich voor te doen als deze laatste. Na enig aandringen kreeg de hacker een nieuw paswoord; een schoolvoorbeeld van social engineering. Ander kritiek aandachtspunt gaat over de toegangsrechten van computers die medische toestellen aansturen. Zo had een leverancier mappen met patiëntengegevens te weinig afgeschermd. Op een gegeven moment zijn de teamleden ook de gebouwen in getrokken. In hun speurtocht hebben ze een badge meegepikt die voor het grijpen lag en sleutels ontvreemd. De ethische hackers zijn ook tot in de administratieve gebouwen geraakt, waar gevoelige financiële informatie op papier bewaard wordt. Daar merkten ze een openstaande switchkast op; het eenvoudig uittrekken van enkele kabels had verschillende segmenten van het netwerk kunnen platleggen. Positieve vaststelling was dat az groeninge een antivirussysteem heeft ingeplant in alle systemen. Ook alle noodzakelijke veiligheidsupdates bleken in orde te zijn (patching). Het patiëntendossier (KWS) lag buiten de scope van de hack. "Door de beperkte omvang van de hack mogen we niet besluiten dat er geen andere kwetsbaarheden zijn in hun veiligheidsinfrastructuur", benadrukt Stijn Jans. az groeninge verleende zijn medewerking aan dit project omdat het ziekenhuis het nut inziet van een ethische hack, zegt ICT-directeur Tom Coolen. "IT en beveiliging zijn een volwaardig thema binnen ons beleid, ook op directieniveau." Het ziekenhuis krijgt naar eigen zeggen minstens één keer per maand af te rekenen met een (vijandige) aanval van buitenaf.