Die aanvaller zal er waarschijnlijk slechtere bedoelingen mee hebben, zegt Stijn Jans van The Security Factory. Het bedrijf krijgt regelmatig de vraag van ziekenhuizen om een penetration test te doen. "Daardoor hebben we zeer specifieke kennis kunnen opbouwen in deze niche." Jans legt uit hoe zijn team te werk is gegaan in az groeninge: "De bedoeling van de hack was om in één dag zoveel mogelijk rechten te verwerven binnen het netwerk. Eens je daar baas over bent, gaat een hele wereld open. Je kan computers overnemen, e-mails sturen, facturen beheren, medische toestellen besturen en ga zo maar door." Binnen az groeninge waren slechts twee personen van IT op de hoogte van deze test.
Eerst probeerde het hackteam binnen te breken via het wifi-netwerk. Omdat dit goed afgeschermd bleek, probeerden de specialisten zich een weg naar binnen te banen via een van de IP-adressen van het ziekenhuis. Om tijd te winnen, stelde het ziekenhuis daarvoor één IP-adres beschikbaar. "Al in een vroeg stadium alarmeerde onze NOC (of Network Operations Center. Externe partij die 24/7 al de beveiligingssystemen bewaakt, nvdr) dat er iets verdachts aan de hand was", zegt IT-manager Infrastructuur & Operaties van az groeninge Kevin Meerschaert. "We negeerden deze waarschuwingen echter, omdat we iets wilden leren uit de hackpoging."
Het NOC was dus bij de pinken, maar "dat is mogelijk te wijten aan onze agressieve aanpak" zeggen de beveiligingsspecialisten. Het team raadt het ziekenhuis daarom aan de alertheid van het NOC nogmaals te testen, maar dan via een 'discrete' aanval (hierbij plaatst een hacker gedurende bepaalde tijd verschillende 'voelsprieten' in doelwitsysteem, maar onderneemt hij pas iets wanneer hij over voldoende informatie beschikt).
Social engineering
'De zwakste schakel in de veiligheidsketen zijn vaak niet technologie of procedures, maar mensen' is te lezen op de website van The Security Factory. "Een computer laten openstaan vormt vaak een groter risico dan een aanval van buitenaf." Daarom stelt Jans tijdens de opdrachtbespreking met az groeninge voor om ook een luik social engineering, ook wel eens 'people hacking' genoemd, aan de hackpoging toe te voegen. Daarbij doet een hacker zich voor als iemand anders en probeert hij mensen te misleiden door in te spelen op hun goedgelovigheid of nieuwsgierigheid. De dag van de hack geraakte The Security Factory via social engineering bijvoorbeeld op het wifi-netwerk door een verpleegster naar haar gebruikersnaam en paswoord te vragen. Een van de teamleden deed zich voor als "een technieker die de wifi komt testen". Ook phishing, malware en identiteitsfraude vallen overigens onder de noemer 'social engineering'.
In totaal lijstte het team acht aandachtspunten op, waarvan twee van kritiek niveau, drie van een hoog niveau en nog eens drie een gemiddeld risico inhielden. Uiteraard waren er ook positieve vaststellingen. Zo stelde The Security Factory vast dat az groeninge een antivirussysteem heeft ingeplant in alle systemen. Ook alle noodzakelijke veiligheidsupdates bleken in orde te zijn (patching). Het patiëntendossier (KWS) lag buiten het opzet. "Het is duidelijk dat az groeninge veel moeite doet om haar belangrijke applicaties en data te beschermen", aldus het beveiligingsbedrijf.
De werkwijze, omvang en tijdstip van de hackpoging werden vooraf afgesproken en in een contract gegoten. Na afloop kreeg het ziekenhuis een rapport met de belangrijkste vaststellingen, positief en negatief, en een reeks aanbevelingen. Het IT- en directieteam van az groeninge weten wat te doen.
'Zwakste schakel in veiligheidssysteem zijn mensen'
Emily Nazionale
Journalist/redacteur
Geen enkel systeem is onfeilbaar. Er kunnen kwetsbaarheden ontstaan, bijvoorbeeld door een vergetelheid van de producent, of omdat een beveiligingssysteem wel bestand is tegen doorsnee aanvallen, maar niet tegen een groot offensief. Voor een ziekenhuis is het veiliger om zelf die mankementen aan te pakken, in plaats van te wachten tot een hacker ze vindt.
Die aanvaller zal er waarschijnlijk slechtere bedoelingen mee hebben, zegt Stijn Jans van The Security Factory. Het bedrijf krijgt regelmatig de vraag van ziekenhuizen om een penetration test te doen. "Daardoor hebben we zeer specifieke kennis kunnen opbouwen in deze niche." Jans legt uit hoe zijn team te werk is gegaan in az groeninge: "De bedoeling van de hack was om in één dag zoveel mogelijk rechten te verwerven binnen het netwerk. Eens je daar baas over bent, gaat een hele wereld open. Je kan computers overnemen, e-mails sturen, facturen beheren, medische toestellen besturen en ga zo maar door." Binnen az groeninge waren slechts twee personen van IT op de hoogte van deze test. Eerst probeerde het hackteam binnen te breken via het wifi-netwerk. Omdat dit goed afgeschermd bleek, probeerden de specialisten zich een weg naar binnen te banen via een van de IP-adressen van het ziekenhuis. Om tijd te winnen, stelde het ziekenhuis daarvoor één IP-adres beschikbaar. "Al in een vroeg stadium alarmeerde onze NOC (of Network Operations Center. Externe partij die 24/7 al de beveiligingssystemen bewaakt, nvdr) dat er iets verdachts aan de hand was", zegt IT-manager Infrastructuur & Operaties van az groeninge Kevin Meerschaert. "We negeerden deze waarschuwingen echter, omdat we iets wilden leren uit de hackpoging." Het NOC was dus bij de pinken, maar "dat is mogelijk te wijten aan onze agressieve aanpak" zeggen de beveiligingsspecialisten. Het team raadt het ziekenhuis daarom aan de alertheid van het NOC nogmaals te testen, maar dan via een 'discrete' aanval (hierbij plaatst een hacker gedurende bepaalde tijd verschillende 'voelsprieten' in doelwitsysteem, maar onderneemt hij pas iets wanneer hij over voldoende informatie beschikt).Social engineering 'De zwakste schakel in de veiligheidsketen zijn vaak niet technologie of procedures, maar mensen' is te lezen op de website van The Security Factory. "Een computer laten openstaan vormt vaak een groter risico dan een aanval van buitenaf." Daarom stelt Jans tijdens de opdrachtbespreking met az groeninge voor om ook een luik social engineering, ook wel eens 'people hacking' genoemd, aan de hackpoging toe te voegen. Daarbij doet een hacker zich voor als iemand anders en probeert hij mensen te misleiden door in te spelen op hun goedgelovigheid of nieuwsgierigheid. De dag van de hack geraakte The Security Factory via social engineering bijvoorbeeld op het wifi-netwerk door een verpleegster naar haar gebruikersnaam en paswoord te vragen. Een van de teamleden deed zich voor als "een technieker die de wifi komt testen". Ook phishing, malware en identiteitsfraude vallen overigens onder de noemer 'social engineering'. In totaal lijstte het team acht aandachtspunten op, waarvan twee van kritiek niveau, drie van een hoog niveau en nog eens drie een gemiddeld risico inhielden. Uiteraard waren er ook positieve vaststellingen. Zo stelde The Security Factory vast dat az groeninge een antivirussysteem heeft ingeplant in alle systemen. Ook alle noodzakelijke veiligheidsupdates bleken in orde te zijn (patching). Het patiëntendossier (KWS) lag buiten het opzet. "Het is duidelijk dat az groeninge veel moeite doet om haar belangrijke applicaties en data te beschermen", aldus het beveiligingsbedrijf. De werkwijze, omvang en tijdstip van de hackpoging werden vooraf afgesproken en in een contract gegoten. Na afloop kreeg het ziekenhuis een rapport met de belangrijkste vaststellingen, positief en negatief, en een reeks aanbevelingen. Het IT- en directieteam van az groeninge weten wat te doen.