Interne netwerken bij open organisaties

Update 13 – De Hack – herfst 2011
Hoe veilig zijn mijn patiëntgegevens bij zorginstellingen? Een vraag die als patiënt weleens door mijn hoofd schiet. Zijn mijn gegevens bij deze instelling in goede handen en hoe wordt ermee omgegaan? Een vervolgvraag is: Hoe veilig is de infrastructuur van deze instelling? In verschillende onderzoeken die door Madison Gurkha worden uitgevoerd, zien we een beeld ontstaan van een computernetwerk dat vaak net zo toegankelijk is als de betreffende instelling.

Organisatie
Wanneer we een zorginstelling zoals een ziekenhuis bekijken, zien we vaak een open en toegankelijke omgeving. Logisch ook, wanneer je kijkt naar de doelstelling van een ziekenhuis: het bieden van medische zorg. Ziekenhuizen worden dan ook gekenmerkt door een goed toegankelijke campus waar weinig tot geen fysieke toegangscontrole plaatsvindt.

Naast de goede toegankelijkheid van de campus, is voor medewerkers, artsen en verpleegkundigen een goede en vaak ook snelle toegang tot benodigde informatie essentieel. Wanneer hier te veel technische beperkingen aan worden opgelegd, zien we vaak dat gebruikers met creatieve oplossingen komen om toch snel bij de juiste informatie te komen. In de rol van arts of verpleegkundige zou je zelfs kunnen stellen dat toegankelijkheid van gegevens in bepaalde gevallen belangrijker is dan de vertrouwelijkheid ervan.

Vanuit beveiligingsoogpunt brengen deze punten natuurlijk een aantal risico’s met zich mee.

Risico’s
De dreigingen waar een ziekenhuis mee te maken krijgt op het gebied van informatiebeveiliging, zijn in essentie niet anders dan bij een commercieel bedrijf. De impact van een aanval kan echter wel groter zijn. Wanneer (patiënt)gegevens worden verloren, gestolen of onbedoeld openbaar worden gemaakt, raakt dit natuurlijk het ziekenhuis. Reputatie- en imagoschade zijn hiervan potentiële gevolgen. Maar wat zijn de potentiële gevolgen voor een patiënt? Dit verschilt van persoon tot persoon. Maar zowel professioneel als privé, kan de openbaring van bepaalde medische gegevens verstrekkende gevolgen hebben. Naast verlies van gegevens, bestaat ook de mogelijkheid dat gegevens door een aanvaller worden gewijzigd. Ook dit kan verstrekkende gevolgen hebben. De mogelijkheid bestaat dat het aanpassen van patiënt- of onderzoeksgegevens kan leiden tot een medische misser, of erger, het verlies van mensenlevens.

Beschikbaarheid van gegevens is nog een cruciaal punt. Wat gebeurt er als röntgenfoto’s, resultaten
van MRI-scans, en laboratoriumuitslagen niet, of niet tijdig beschikbaar zijn? Kunnen artsen en verpleegkundigen hun werk nog wel goed uitvoeren wanneer dit soort systemen kampen met uitval?

Het onderzoek
Een Black Box netwerkonderzoek zoals Madison Gurkha die uitvoert, begint met het maken van een
verbinding met het betreffende netwerk. Vaak zien we dat zorginstellingen geen gebruik maken van toegangscontrole tot het netwerk. Gevolg hiervan is dat iedere computer verbonden kan worden met het netwerk.

Wanneer op een netwerk toegangscontrole plaatsvindt, wordt hier direct een eerste barrière opgeworpen voor een aanvaller. De aanvaller zal aanzienlijk meer moeite moeten doen om een verbinding tot stand te brengen. Wanneer we een IP-adres hebben ontvangen, kunnen we met behulp van diverse scantechnieken zoeken naar benaderbare systemen. Ook onderzoeken we hiermee welke software er op een systeem aanwezig is en welke diensten door het systeem worden aangeboden.

Uit dit soort scans blijkt vaak dat deze netwerken niet of nauwelijks zijn gesegmenteerd. Dit wil zeggen dat cruciale systemen bereikbaar zijn vanuit alle ‘hoeken’ van het netwerk. Er wordt geen beperking opgelegd Ook zien we dat het beheer van deze systemen niet op een apart netwerksegment plaatsvindt. Daarnaast komen we vaak een groot aantal onversleutelde diensten tegen. Diensten als HTTP, (T)FTP en Telnet worden op interne netwerken nog veelvuldig gebruikt.

Deze combinatie van factoren maakt het voor een aanvaller mogelijk om zowel gegevens van artsen en verpleegkundigen als van beheerders en andere medewerkers af te luisteren. Wanneer we kijken naar gebruikte software, zien we vaak dat specifieke systemen zoals controlesystemen voor laboratoriumapparatuur of voor medische scanners vaak niet up to date (kunnen) worden gehouden. Dit zijn vaak gecertificeerde systemen waarbij door de leverancier wordt aangegeven dat de opstelling enkel met bijvoorbeeld Windows 2000 wordt ondersteund. Wanneer hier wijzigingen in worden aangebracht, werkt de opstelling niet, is het systeem niet meer gecertificeerd of wordt er geen ondersteuning meer op verleend.

Dit soort systemen bevatten hierdoor vaak ernstige kwetsbaarheden.

Maatregelen
De vraag is nu, welke maatregelen kunnen worden genomen om het netwerk veiliger te maken, zonder de gebruikers hiermee extra te belasten? Op infrastructureel vlak zijn een aantal stappen te zetten.  
* Richt toegangscontrole in zodat alleen bekende systemen toegang kunnen krijgen tot kritieke delen van het netwerk;
* Bekijk daarnaast of het systeembeheer vanaf een apart netwerksegment kan worden uitgevoerd;
* Zorg ervoor dat zoveel mogelijk veilige (versleutelde) diensten worden gebruikt;
* Zorg voor maatregelen die kwaadaardig verkeer kunnen detecteren en/of blokkeren;
* Identificeer kritieke systemen en bijbehorende communicatiepatronen;
* Segmenteer het netwerk op basis van deze communicatiepatronen en zorg ervoor dat enkel systemen die met elkaar horen te communiceren, dat ook kunnen;
* Weet wat er op je netwerk speelt en geef extra aandacht aan de genoemde legacy systemen;
* Spreek leveranciers aan op de geleverde producten en zorg samen met hen voor een veiligere en robuuste standaarden.

Deze technische maatregelen vereisen een gedegen onderzoek vooraf, maar verhogen de veiligheid van het netwerk aanzienlijk. Ook kunnen deze maatregelen worden ingevoerd zonder de gebruikers teveel te belemmeren in het uitvoeren van hun werk. Want daar gaat het uiteindelijk om. Het bieden van zorg.

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa