De meeste Nederlandse ziekenhuizen hebben medische apparatuur die nog draait op zwaar verouderde besturingssystemen. Omdat het vervangen van apparaten een dure aangelegenheid is, nemen ziekenhuizen liever aanvullende beveiligingsmaatregelen. Experts zeggen dat het een kwestie van tijd is totdat er patiënten doodgaan.
Dat blijkt uit onderzoek van BNR.
Verouderde software is toegangspunt voor hackers
De redactie benaderde twintig ziekenhuizen met de vraag of ze medische apparatuur gebruiken die op verouderde software draait. Tien daarvan bevestigden zogeheten ‘legacy-systemen’ in huis te hebben. Het gaat dan om besturingssystemen die niet langer door de ontwikkelaar worden ondersteund. Het Diakonessenhuis in Utrecht laat weten ‘een paar’ apparaten te hebben die op Windows XP draaien. Saillant detail: deze versie van Microsofts besturingssysteem wordt al sinds april 2014 niet meer ondersteund.
Medische apparatuur heeft doorgaans een langere levensduur dan de software die ze aanstuurt. Omdat vervangen duur is, nemen ziekenhuizen liever aanvullende beveiligingsmaatregelen. Zo heeft het Radboud UMC in Nijmegen zijn apparaten op een apart netwerk geplaatst. Mochten hackers erin slagen om het bedrijfsnetwerk te infiltreren, dan is het lastiger om ermee te knoeien. Het Isala Ziekenhuis en het Slingeland Ziekenhuis hebben vergelijkbare maatregelen getroffen.
‘Het is afwachten totdat mensen doodgaan’
Securityexperts waarschuwen voor de veiligheidsrisico’s die werken met verouderde software met zich meebrengt. “Als een hacker op het interne netwerk van een ziekenhuis zit, kan hij eigenlijk met een druk op de knop zo’n apparaat overnemen”, zo zegt ethisch hacker Sijmen Ruwhof. Hij vraagt zich af of de aanvullende maatregelen die ziekenhuizen treffen voldoende zijn om hackers buiten de deur te houden.
Ralph Moonen van cybersecuritybureau Secura benadrukt dat verouderde besturingssystemen vatbaar zijn voor ransomware. Als hackers erin slagen om toegang te krijgen tot het interne netwerk van een ziekenhuis, is de kans groot dat medische apparatuur onbruikbaar wordt gemaakt. “En dan zijn de gevolgen niet te overzien”, zegt Moonen. Het kan volgens hem ook in ons land gebeuren. “Het is afwachten totdat mensen doodgaan.”
Moonen vindt dat ziekenhuizen hogere eisen zouden moeten hebben op het gebied van beveiliging. “Als de hartbewaking eruit ligt, is dat wel wat anders dan een accountantsbureau dat een weekje niks kan doen”, zo zegt hij.
Europese ziekenhuizen doelwit van cyberaanvallen
Dat verouderde software in ziekenhuizen een gevaar oplevert voor patiënten, is al eens bewezen. Zo overleed in 2020 in Duitsland een vrouw nadat het universitair ziekenhuis in Düsseldorf het doelwit was van een ransomware-aanval. De ambulance die haar vervoerde moest daardoor noodgedwongen uitwijken naar een ziekenhuis dat een stuk verderop lag. Tijdens de rit naar het andere ziekenhuis overleed ze.
In Frankrijk en België waren in 2021 diverse ziekenhuizen het doelwit van een cyberaanval. Spoedeisende ingrepen konden daardoor tijdelijk niet plaatsvinden. Verder waren patiëntengegevens niet toegankelijk voor artsen. Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorgsector, waarschuwde ziekenhuizen en andere zorginstellingen destijds voor ransomware-aanvallen.
