Hoe een geavanceerde PET/SPECT-CT-scanner van Siemens toch een veiligheidslek kon vormen

Begin augustus waren enkele berichten te lezen over kwetsbaarheden in gecombineerde PET-CT, SPECT en SPECT-CT scanners van de electronica-gigant Siemens. Dat zijn beeldvormende apparaten die gebruik maken van bij een patiënt ingebrachte radioactieve stoffen(radionucliden). Naast het detecteren van stralingsuitingen kunnen tegelijk Röntgenopnames met de CT-scanner worden gemaakt. De genoemde apparaten blijken gebruik te maken van Windows 7 als operating system en zijn door middel van die software aan ziekenhuisnetwerken gekoppeld. Een viertal voor de veiligheid essentiële updates van Windows 7 uit 2015 bleken niet van fabriekswege of onder begeleiding van Siemens geïnstalleerd te zijn geweest. Dat leverde een grote kwetsbaarheid voor hackers op. Hackers met een geringe kennis van zaken hadden al misbruik kunnen maken van dergelijke zwakheden. Siemens meldde: ”An attacker with a low skill would be able to exploit these vulnerabilities”. Immers, via de zwakheden in de software hadden door het aanbrengen van malware via phishing-mail hele ziekenhuissystemen gecompromitteerd kunnen worden. Kijk maar naar de Wannacry-ransomware-uitbraak in ziekenhuizen in mei van dit jaar.

Siemens
Dit bedrijf kwam op 26 juli 2017 met een waarschuwing waarin dringend geadviseerd werd aan de ziekenhuizen met dergelijke apparatuur van Siemens om enkele maatregelen te nemen. Als eerste werd geadviseerd zo mogelijk de gewraakte systemen los te koppelen van het ziekenhuisnetwerk. Gewezen werd op het daarna uitvoeren van de cruciale updates uit 2015 om vervolgens de apparatuur weer aan de ziekenhuisinfrastructuur te koppelen. Dit is de enige zinnige oplossing voor een dergelijk probleem. Het is zeer de vraag of Siemens eigenstandig tot het inzicht van de hackbaarheid van de apparaten gekomen is of dat intelligente gebruikers uit de ziekenhuiswereld hen inlichtten. Het is zelfs niet uitgesloten dat ethische hackers hetbedrijf ingelicht hebben. Siemens heeft richting de gebruikers van de door haar geleverde apparatuur actie ondernomen om de problemen op te lossen.

CERT
Het Amerikaanse industrial Control Systems Cyber Emergency Response Team (ICS-CERT), kortweg meestal CERT genaamd, deed dezelfde waarschuwing uitgaan op 3 augustus in een tweetal meldingen. (01 en 02). In de eerste wordt nog gesproken van twee kwetsbaarheden, in de tweede gaat het om vier. Men benoemt net als Siemens de mogelijkheden om van buitenaf door code-injectie controle over de software van het apparaat te krijgen EN toegang tot het netwerk waaraan het gekoppeld is.

Waarom?
De grote vraag bij dit naar buiten gekomen probleem is waarom dit heeft kunnen gebeuren. Van een elektronicagigant als Siemens verwacht je dit soort basisfouten, zoals het niet installeren van alle updates van een besturingssysteem, niet. Eén van de mogelijkheden is dat de gewraakte updates interfereerden met de eigen software en daardoor niet geïnstalleerd zijn. Als na het verbeteren van de eigen software vergeten wordt de updates alsnog te installeren is een groot lek geschapen. Zeker als
zowel Siemens als CERT spreken van een kwetsbaarheid waarbij een aanvaller niet al te veel vaardigheden hoefde te hebben.

Waarschuwingen
Al enige tijd wordt gewaarschuwd voor niet volledig ge-update systemen, waarbij veiligheidspatches niet geïnstalleerd zijn. Het gaat niet uitsluitend om de netwerksoftware in een gezondheidszorginstelling, maar om ook om de software van deelsystemen en aan het netwerk gekoppelde onderzoeksapparatuur. De keten is nu eenmaal net zo sterk als de zwakste schakel. Daarnaast moet bedenken dat criminelen tegenwoordig veel meer geld vergaren  met data uit medische bronnen met een targeted attack dan met bijv. creditcardfraude.

W.J. Jongejan

De afbeelding toont geen PET- of SPECT-scanner.