We spraken de hackende zuster over hoe erbarmelijk ziekenhuizen beveiligd zijn

Ziekenhuizen zijn kwetsbare doelwitten voor hackers met kwade bedoelingen. Dat blijkt bijvoorbeeld uit recente aanvallen met ransomware als WannaCry en Petya. De schade bleef in Nederland gelukkig redelijk beperkt. Er werden ongeveer vijftien ziekenhuizen getroffen door WannaCry. Ter vergelijking: in Engelse ziekenhuizen moesten hele afdelingen plat worden gelegd na infectie met ransomware.

In de media kwam er ook eindelijk aandacht voor de kwetsbaarheid van ziekenhuizen. Het begon eindelijk op te vallen dat ziekenhuizen een makkelijk doelwit voor cyberaanvallen zijn. Maar hoe kan dat?

Wat blijkt: veel medische apparatuur draait op ontzettend verouderde software die geen beveiligingsupdates meer krijgt, terwijl alle apparatuur tegenwoordig wel smart moet zijn. Als ziekenhuis maak jij helemaal de blits als al je apparatuur met een OS uit 2001 via internet bestuurd kan worden. Met een paar verkeerde clicks zit dus zo al je software op slot.

Oké, antwoord gevonden. Case closed, we gaan weer over tot de orde van de dag.

Jelena Milosevic niet.

Ze is misschien wel de enige vrouw in Nederland die een carrière als verpleegkundige combineert met een side gig als white hat-hacker. Ze spreekt zich regelmatig uit tegen de digitale onveiligheid van ziekenhuizen, bijvoorbeeld tegen collega's of mensen op de afgelopen editie van SHA. Maar dat wordt haar niet altijd in dank afgenomen.

Ik vroeg haar aan de telefoon hoe het kan dat de cyberveiligheid van ziekenhuizen nog steeds in zo'n erbarmelijke staat verkeert. Ze begon aan een verhaal dat, met een aantal vragen van mij tussendoor, welgeteld een uur en een kwartier duurde.

Milosevic heeft inmiddels al vaak geprobeerd de problemen met zowel privacy als veiligheid bij hogere instanties aan te kaarten, maar ze werd compleet gestonewalled. "Fabrikanten zoals Philips en minister Schippers zeggen eigenlijk dat privacy niet boeit. Lucien Engelen (voormalig hoofd van het REshape Innovation Centre van het Radboudumc) sprak zelfs van een privacymaffia," zegt ze.

Het belang van goed afgestelde apparatuur ligt voor de hand, maar dat maakt je nog geen hacker. Haar interesse in – of beter gezegd: haar bezorgdheid over – de digitale kant van het verhaal werd een paar jaar geleden pas goed aangewakkerd. Milosevic werkte op een plek waar ze nog geen eigen computeraccount had. Ze kreeg de inloggegevens van een collega op een briefje, om zo bij relevante informatie van patiënten te kunnen.

"Ik vroeg of het slim was om die informatie zomaar te geven, maar de collega zei dat het geen kwaad kon. Toen ik ingelogd was, bleek ik ook bij al haar persoonlijke informatie te kunnen, en ik kon met haar gegevens ook vanuit huis inloggen," vertelt ze. "Ik zei dat tegen haar en ze pakte het briefje meteen weer van me af."

Heel tech-savvy waren de collega's van Milosevic dus niet. Nogal zorgwekkend, als je via die computers medische en persoonlijke gegevens in kunt zien en zelfs aanpassen. Maar nog zorgwekkender waren de reacties van veel collega's: onverschilligheid, ontkenning en onbegrip. "Toen ik een collega een keer vertelde dat ze eigenlijk niet op een openbaar netwerk zou moeten zitten met een computer vol medische informatie, zei ze: 'Maar anders kan ik niet facebooken'," verzucht ze.

In mijn hoofd beginnen de puzzelstukjes langzaam op hun plaats te vallen. Een ziekenhuis vol gevoelige medische apparatuur, die op verouderde software draait met onnodige internetverbindingen. Grote openbare netwerken waar het hele ziekenhuis mee verbonden is, met allerlei mensen die de ballen verstand hebben van veilig internetten. Waarom heeft er nog niemand ingegrepen?

Dat komt volgens Milosevic doordat het niet alleen haar naaste collega's – vooral artsen en andere verpleegkundigen – zijn die er geen raad mee weten. De beveiliging ziet het vooral als een IT-probleem, en als er al een afdeling voor cybersecurity is, is dat vaak maar één persoon. Die persoon heeft als individu geen enkele invloed. En pas sinds dit jaar zijn ziekenhuizen begonnen met het maken van een samenhangend cybersecuritybeleid. Veel te laat.

Naast dat veel ziekenhuispersoneel zich dus geen raad weet met de kwetsbaarheid van hun eigen systemen, wordt er ook flink gelobbyd om deze status quo in stand te houden. "Er is veel druk vanuit commerciële hoek om privacy en veiligheid ondergeschikte belangen te maken. Het beschermen van privacy vereist goede veiligheid, en dat kost geld," aldus Milosevic.

Maar die fabrikanten zijn heus niet dom, en zullen naar alle waarschijnlijkheid wel weten dat hun cybersecurity niet bepaald op orde is. Toch mag niemand die niet voor een fabrikant werkt naar de beveiliging van de apparatuur kijken. Vooral dit gebrek aan transparantie is opvallend. Milosevic vraagt zich daarom dan ook af hoe goed die cybersecurity is. "Ziekenhuizen en fabrikanten weten waarschijnlijk wel dat het onveilig is. En zelfs als de apparatuur wel veilig is, valt die veiligheid meteen weg als je de apparatuur met een onveilig openbaar netwerk verbindt. Op die manier kun je dan alsnog misbruik maken van de apparatuur."

De hiërarchie in het ziekenhuis zou ook een rol spelen. Naast dat het medisch personeel volgens Milosevic compleet buiten beschouwing wordt gelaten in de besluiten om nieuwe apparatuur aan te schaffen, krijg je op je lazer als je toch je mening geeft. "Er wordt vaak gezegd dat het niet jouw taak is," zegt Milosevic. "En als je je nek nog meer uitsteekt, krijg je problemen en kun je worden ontslagen."

Ze ging daarom eens, na overlegd te hebben met andere hackers, in haar eentje op pad om in het ziekenhuis te kijken hoe slecht de digitale infrastructuur precies was. Het bleek dramatisch te zijn, maar dat was niet eens haar grootste probleem. Wat ze gedaan had, was in principe legaal – maar om het gebrek aan veiligheid te bewijzen, zou ze illegale dingen hebben moeten doen.

Milosevic legt het dilemma helder uit. "Als je ziekenhuizen wat wil vertellen over hoe onveilig hun netwerk is, vragen ze daar bewijs voor. Als je dat bewijs wil verkrijgen, moet je illegaal hacken. Als je illegaal hackt, beland je in de gevangenis. Ik heb daarom alles wat ik op internet kon vinden over de verbindingen opgezocht om het op die manier duidelijk te maken." Maar ook toen werd er niets met haar bevindingen gedaan. Voor de ziekenhuizen en fabrikanten was het niet genoeg bewijs.

We hebben inmiddels ruim een uur gepraat en mijn oren klapperen. Om de ernst van de situatie goed duidelijk te maken, noemt Milosevic veel voorbeelden van de schade die je kunt aanrichten als je weet waar de zwakke plekken zitten. Nadat ze me heeft laten beloven dat ik de precieze stappen niet openbaar maak, legt ze me stap voor stap uit hoe je iemand die ter controle wordt opgeroepen naar het ziekenhuis binnen twee weken dood kunt krijgen. De eerste schade kun je zelfs al binnen een paar uur aanrichten. Het is een kwestie van de juiste apparatuur op de juiste, simpele manier beïnvloeden. Meer niet.

Ik benadruk dat wat ze me vertelt mij voor een dilemma plaatst: juist datgene wat haar verhaal zo belangrijk maakt, mag ik in mijn artikel niet delen. "Dat weet ik, maar deze informatie mag absoluut niet in verkeerde handen vallen. Criminele hackers zijn slimme mensen, en als je ze de goede kant op wijst, kunnen ze de rest zelf achterhalen," reageert ze vastberaden. Ik mag wel een voorbeeld noemen van I Am The Cavalry, een groep hackers die door middel van een real-life simulatie probeerde aan te tonen wat de risico's van hackbare medische apparatuur zijn.

Bij dezen. Enig zoekwerk wees ook uit dat onze zuiderburen aan de Katholieke Universiteit Leuven medische implantaten van een bekende fabrikant hebben weten te hacken. Pacemakers, insulinepompen: het bleek allemaal hackbaar. Doses insuline konden bijvoorbeeld via een draadloze verbinding worden aangepast. De gehackte pacemaker kon zelfs het hartritme van een patiënt veranderen, of die patiënt hartritmestoornissen bezorgen.

Zelf zou Milosevic ook zo'n simulatie willen opzetten. "Wat ik graag wil, is dat één ziekenhuis meewerkt [door zo'n simulatie op te zetten]. Een paar mensen van verschillende ziekenhuizen in het publiek is genoeg. Op die manier wil ik artsen en verpleegkundigen bewust maken van de gevaren, zodat je beweging van binnenuit krijgt. Een beweging die zich inzet voor veiligheid en privacy."

Uiteindelijk draait het voor Milosevic om zowel de veiligheid van haar patiënten als van haarzelf. "Ik wil weten dat mijn patiënten de juiste diagnose krijgen, want een verkeerde diagnose kan heel erge gevolgen hebben. Daarnaast wil ik voorkomen dat iemand kan rommelen met de rapportages van mijn patiënten. Dan lijkt het alsof ik een fout heb gemaakt – terwijl dat niet zo is – en word ik ontslagen."

En als ze zelf maatregelen zou mogen nemen? Wat zou ze dan doen?

"Zeventig procent van veiligheid is goede organisatie. Haal bijvoorbeeld alle computers met medische informatie van het openbare netwerk af. Dan krijg je waarschijnlijk mensen die gaan klagen dat ze niet op Facebook kunnen, maar daar kun je desnoods één of twee computers voor regelen waarop dat wel kan. Maak die vervolgens veilig, door het onmogelijk te maken medische gegevens in te zien op deze computers."

Zo zijn er nog wel wat voorbeelden. "Er is nog veel meer te doen. Responsible disclosure [ethische hackers digitale infrastructuur laten onderzoeken en veiligheidsrisico's laten aangeven, red.], beleid maken over het gebruik van e-mail en wachtwoorden…" voegt ze in een latere reactie toe. "Alleen computers offline halen is niet voldoende om de cybersecurity te verbeteren. Er moet veel meer gebeuren."

Zoals niet facebooken onder werktijd, om maar wat te noemen.