Medische apparatuur moet veiliger

Volgens de FDA bevat veel apparatuur in de zorgsector configureerbare embeded software die kwetsbaar is voor cyberaanvallen. Doordat medische apparaten steeds meer onderling met elkaar communiceren via internet, ook met andere apparatuur zoals smartphones, neemt hun kwetsbaarheid nog toe.

Apparatuur besmet of onklaar gemaakt

De FDA zegt op medische apparaten te zijn gestuit die door malware waren besmet of zelfs onklaar waren gemaakt. Ook bleek kwaadaardige software aanwezig op ziekenhuiscomputers, tablets en smartphones die draadloos toegang hebben tot patiëntgegevens, monitoringsystemen en implantaten. Ook wordt slordig omgesprongen met wachtwoorden en het tijdig updaten en patchen van medische systemen. Er zijn overigens geen aanwijzingen dat kritieke systemen bewust tot doelwit zijn gemaakt van cyberaanvallen.

De toezichthouder werkt nu aan nieuwe richtlijnen. Fabrikanten krijgen het advies om hun beleid voor distributie van updates en patches aan de FDA voor te leggen. Na het van kracht worden van deze richtlijnen kan de toezichthouder medische toestellen die beveiligingsrisico's lopen zo nodig niet toelaten tot de Amerikaanse markt.

Recente incidenten met medische apparatuur

De oekaze van de FDA is mede ingegeven door recente incidenten met medische apparaten. In januari kwam aan het licht dat onbevoegden toegang hadden tot gegevens van analyseapparatuur van leverancier Roche Davis. Dat zou te wijten zijn aan lekken in de beveiliging van Oracle-software.

In oktober vorig jaar meldde een ziekenhuis in Boston dat scanapparatuur van Philips was besmet met kwaadaardige software. Scans van foetussen met een hoog risico voor de moeder liepen daardoor vertraging op.