Ziekenhuis hacken is kinderspel
Met een test heeft het programma Koppen aangetoond dat het erg weinig moeite kost om een - universitair - ziekenhuis te hacken. Duizenden medische dossiers zijn in een handomdraai op te vissen uit de databanken.
Hoe makkelijk is het om de databank van een groot Vlaams ziekenhuis binnen te dringen? Heel makkelijk, zo blijkt vanavond in het reportagemagazine Koppen. Een hacker had binnen het halfuur duizenden patiëntengegevens te pakken, zo toont de test van de reportagemakers. Het ging onder meer om informatie over ziektes, operaties, bloedgroepen en medicatie. Sommige gegevens zijn zelfs van die aard dat ze verplicht geanonimiseerd moeten blijven, maar dat bleek dus niet het geval.
"Alsof je op straat zomaar een fichebak vol persoonlijke informatie vindt", zegt reportagemaker Tim Verheyden. "Het blijkt erg makkelijk om via gespecialiseerde programma's paswoorden te vinden. En je wil echt niet dat dit soort informatie over jezelf of over familieleden in handen van derden komt. Sommige gegevens moeten in principe verplicht anoniem gemaakt worden, maar de test laat zien dat dat niet gebeurde.
"Het is hoe dan ook belangrijk dat ziekenhuizen en artsen dit beseffen, want hackers kunnen direct in de dossiers en bijvoorbeeld gegevens zoals de bloedgroep wijzigen. En je kunt je ook voorstellen dat pakweg het medische dossier van de vrouw van een rijke CEO perfect chantagemateriaal is. "
Verheyden en co. noemen geen namen, maar volgens insiders is er sprake van een artsenvereniging, een klein ziekenhuis en een groot, universitair ziekenhuis. Peter De Waele, woordvoerder van de federale politie en voorheen verbonden aan de federale computer crime unit heeft weet van "een groter ziekenhuis" dat in de test betrokken is. In totaal zouden zo'n 26.000 gegevens uit de database van dat grote ziekenhuis zijn opgesnord. Volgens insiders zou het instituut in kwestie erg verveeld zitten met de zaak. Er komt vooralsnog geen reactie.
De Waele: "Ik ben gecontacteerd door een medewerker van dat ziekenhuis en kreeg de uitleg dat er een soort portaalsysteem is waarin de gevoelige gegevens eerst terechtkomen, waarna iemand ze in de digitale kluis stopt. Het zou kunnen dat in die eerste fase de database makkelijker te kraken is, maar dat de gegevens wel veilig zijn eens ze in die kluis zitten."
Imagoschade
Davina Luyten van het federale cyber emergency team CERT, dat bedrijven die slachtoffer worden van hacken adviseert, bevestigt dat medische gegevens gevoelig liggen. "Naast financiële informatie zijn zeker ook medische persoonsgegevens gegeerd op zwarte markten. Dat is de belangrijkste reden waarom hackers er achteraan zouden gaan. Het gaat simpelweg over grof geld verdienen.
"De laatste jaren zien wij steeds meer incidenten waarbij persoonsgegevens gehackt worden. Wij helpen bedrijven dan de brand te blussen en betere beveiliging te voorzien voor de verdere toekomst. Maar eenmaal gegevens gestolen zijn, kun je dat feit op zich niet ongedaan maken."
Volgens De Waele zijn er vooralsnog weinig zaken in ons land bekend van medische gegevens die zijn gehackt en doorverkocht. "Maar het is ook niet altijd evident om er zicht op te krijgen, omdat bedrijven en instellingen uit angst voor imagoschade volgens ons ook niet altijd aangeven dat ze gehackt zijn."
De twijfelachtige digitale bescherming van persoonlijke gegevens bij bedrijven en openbare instellingen leidde eerder deze maand tot waarschuwingen van het Verbond van Belgische Ondernemers (VBO) en Europol. Meer zelfs, het belangrijkste Europese misdaadagentschap verwacht nog dit jaar de eerste 'onlinemoord'.
Dit omdat ook steeds meer medische toestellen op het net zijn aangesloten. Hackers kunnen daardoor almaar makkelijker knoeien met ziekenhuisapparaten of zelfs vanop afstand pacemakers uitzetten, zo meldt Europol. Dat laatste is een scène uit de populaire serie Homeland en lijkt alleen maar sciencefiction.
Niet voorbereid
Vandaag is zo'n onlinemoord in feite al mogelijk en om die reden heeft voormalig Amerikaans vicepresident Dick Cheney in 2007 de afstandsbediening van zijn pacemaker laten uitschakelen omdat hij zo'n scenario toen al vreesde.
Dat steeds meer apparaten - zoals ook koelkasten en thermostaten - via het net bediend worden, leidt volgens Europol tot een 'Internet of Everything' waarbij allerlei voorwerpen waar we dagelijks mee in de weer zijn ook meer en meer via het net beheerd worden. Mensen hebben minder de neiging dat soort apparaten of medische digitale toepassingen goed te beveiligen, terwijl het hackers wel toegang kan geven tot je meest private gegevens.
Op dat soort van dreiging zijn onze veiligheidsdiensten en bedrijven niet voorbereid, zo melden Europol en het VBO. En in een wereld van 'slimme' auto's, huizen en zelfs hele steden valt te verwachten dat miljarden toestellen online en vanop afstand bediend en dus ook gehackt en gesaboteerd kunnen worden.
Koppen, vanavond om 20.40 uur op Eén