n DMTS landsmøde 2017 »Lukkede« systemer er nemme at hacke Selv om alle danske regioner har procedurer for IT-sikkerhed, er det alligevel skræmmende nemt at få adgang til såkaldt »lukkede« systemer, fortalte chefkonsulent Henrik Johansen, Regional IT ved Region Syddanmark. Af journalist Naia Bang/Texthuset Fotos: Henrik Olsen/Haslefoto.dk - Alle regioner har procedurer for IT-sikkerhed - eller; de bør have det. Her i Region Syd har vi brugt to et halvt år på at rydde op i egen biks, men vi kommer aldrig 100 procent i mål. Sagen er jo, at der hele tiden kommer nyt udstyr til - men så Den stigende mængde medicoteknisk udstyr udgør en stor sikkerhedsrisiko, fordi såkaldt »lukkede« systemer er relativt nemme at hacke. Det fortalte chefkonsulent for Regional IT i Region Syddanmark Henrik Johansen og gav eksempler på systemer og informationer, det var nemt at få adgang til. længe vi i det mindste gør noget, bliver det en lille smule bedre for hver dag, der går. Chefkonsulent for Regional IT i Region Syddanmark Henrik Johansen tegnede et dystert billede af den reelle IT-sikkerhed - på sygehusene og andre steder. Blandt andet viste han, ved at slå op på søgemaskinen Shodan, hvor nemt det er at finde internetbaserede devices. - Eksempelvis PACS-informationer - der ligger hundredtusindvis af røntgenbilleder, der er offentligt tilgængelige, forklarede Henrik Johansen og viste, hvordan man - med passwordet »guestguest«, kan logge ind på en portal og få adgang til terabytes af data. - Og medicoselskaberne slipper heller ikke fri: Ved hjælp af almindeligt brugte passwords kan jeg i en del tilfælde logge mig ind på medicoteknisk udstyr og - hvis jeg ville - kode vigtig information om. Det sker, fordi folk glemmer at lave standardpasswordet om, påpegede han. - Vi kunne kompromittere patientsikkerheden Region Syddanmark har kørt en sårbarhedsanalyse på samtlige »dimser« på regionens hospitaler. Man fandt frem til mere end 75.000 devices. - Så begyndte vi at pille i medicotekniske netværk - samme billede, slog Henrik Johansen fast. Han viste en skanning og forklarede, hvordan han - hvis han ville - kan rette i strålingsstyrken, mens patienten ligger i skanneren. - Vi har fundet ting, der kan kompromittere patientsikkerheden. Eksempelvis er det ikke så vanskeligt at slukke for en respirator - og en hacker kan påvirke hele facilitetsydelser. Eksempelvis kan han slukke for strømmen til et hospital - forestil jer, konsekvensen! Der er også relativt nem adgang til moxabokse. Vi kunne slukke de fleste og dermed påvirke vigtigt udstyr på hospitalerne, påpegede Henrik Johansen. Eksempelvis fik hans gruppe adgang til et rørpostsystem, der ellers skulle være »lukket«. Adgang til udstyr over hele kloden - Problemet med meget medicoteknisk udstyr er, at det er bygget med egen firewall. Eksempelvis er man stødt på et system med en billig firewall med en port åben til MySQL. Det 16 Medicoteknik | nr. 6 | November 2017
Download PDF fil
Se arkivet med udgivelser af Medicoteknik her
TechMedias mange andre fagblade kan læses her