Se arkivet med udgivelser af Medicoteknik her
TechMedias mange andre fagblade kan læses her
n DMTS landsmøde 2017 »Lukkede« systemer er nemme at hacke Selv om alle danske regioner har procedurer for IT-sikkerhed, er det alligevel skræmmende nemt at få adgang til såkaldt »lukkede« systemer, fortalte chefkonsulent Henrik Johansen, Regional IT ved Region Syddanmark. Af journalist Naia Bang/Texthuset Fotos: Henrik Olsen/Haslefoto.dk - Alle regioner har procedurer for IT-sikkerhed - eller; de bør have det. Her i Region Syd har vi brugt to et halvt år på at rydde op i egen biks, men vi kommer aldrig 100 procent i mål. Sagen er jo, at der hele tiden kommer nyt udstyr til - men så Den stigende mængde medicoteknisk udstyr udgør en stor sikkerhedsrisiko, fordi såkaldt »lukkede« systemer er relativt nemme at hacke. Det fortalte chefkonsulent for Regional IT i Region Syddanmark Henrik Johansen og gav eksempler på systemer og informationer, det var nemt at få adgang til. længe vi i det mindste gør noget, bliver det en lille smule bedre for hver dag, der går. Chefkonsulent for Regional IT i Region Syddanmark Henrik Johansen tegnede et dystert billede af den reelle IT-sikkerhed - på sygehusene og andre steder. Blandt andet viste han, ved at slå op på søgemaskinen Shodan, hvor nemt det er at finde internetbaserede devices. - Eksempelvis PACS-informationer - der ligger hundredtusindvis af røntgenbilleder, der er offentligt tilgængelige, forklarede Henrik Johansen og viste, hvordan man - med passwordet »guestguest«, kan logge ind på en portal og få adgang til terabytes af data. - Og medicoselskaberne slipper heller ikke fri: Ved hjælp af almindeligt brugte passwords kan jeg i en del tilfælde logge mig ind på medicoteknisk udstyr og - hvis jeg ville - kode vigtig information om. Det sker, fordi folk glemmer at lave standardpasswordet om, påpegede han. - Vi kunne kompromittere patientsikkerheden Region Syddanmark har kørt en sårbarhedsanalyse på samtlige »dimser« på regionens hospitaler. Man fandt frem til mere end 75.000 devices. - Så begyndte vi at pille i medicotekniske netværk - samme billede, slog Henrik Johansen fast. Han viste en skanning og forklarede, hvordan han - hvis han ville - kan rette i strålingsstyrken, mens patienten ligger i skanneren. - Vi har fundet ting, der kan kompromittere patientsikkerheden. Eksempelvis er det ikke så vanskeligt at slukke for en respirator - og en hacker kan påvirke hele facilitetsydelser. Eksempelvis kan han slukke for strømmen til et hospital - forestil jer, konsekvensen! Der er også relativt nem adgang til moxabokse. Vi kunne slukke de fleste og dermed påvirke vigtigt udstyr på hospitalerne, påpegede Henrik Johansen. Eksempelvis fik hans gruppe adgang til et rørpostsystem, der ellers skulle være »lukket«. Adgang til udstyr over hele kloden - Problemet med meget medicoteknisk udstyr er, at det er bygget med egen firewall. Eksempelvis er man stødt på et system med en billig firewall med en port åben til MySQL. Det 16 Medicoteknik | nr. 6 | November 2017
DMTS landsmøde 2017 n gav adgang til 172.000 patienter og dermed til udstyr world wide, forklarede Henrik Johansen, der fortalte, at en anden udfordring er mangelfuld life cycle management. - Vi fandt en server, der burde være udgået i 2010 - men den kører stadig. Og med forældet sikkerhed. - Lige så snart vi har et webinterface, er det ofte muligt at gætte sig til - eller google - passwords. Det er ikke de medicotekniske afdelinger, der smøler med sikkerheden - det er leverandørerne, sagde Henrik Johansen, der havde følgende opfordring til leverandørerne af medicoteknisk udstyr: - Husk at vurdere sikkerhedsrisikoen på alt udstyr, I leverer - og til andre medicotekniske afdelinger: Husk at stille krav til sikkerheden stil kritiske spørgsmål. - Hvad skal vi gøre - altså ud over at stille krav til leverandørerne, spurgte en tilhører. - Først og fremmest skal vi italesætte problematikken og anerkende, at der er et problem. Mange IT-afdelinger er optaget af andre vigtige problemer. Så - I kan starte med at købe en skanner til 2.500 dollars. Den skanner alt og laver en rapport, fortalte Henrik Johansen og fortsatte: - Hos os har Medico IT adgang til skannere og kan eksempelvis skanne en ny operationsstue. Finder man noget, kontakter man leverandøren og siger: »Det her er altså ikke godt nok«. På spørgsmålet fra salen: »Hvorfor har vi ikke set det komme«, svarede Henrik Johansen - Det har vi skam. Tænk bare på, hvordan engelske CT-skannere blev ramt af ransomware. Altså - min søn på 11 år kan det her, og det er ikke noget, jeg har lært ham. Han har YouTube’t sig til sin viden - så det kræver ikke vanvittigt avancerede evner at bryde ind i vores systemer. November 2017 | nr. 6 | Medicoteknik 100 95 75 25 5 0 17