Onlangs publiceerde het College Bescherming Persoonsgegevens een besluit over de beveiliging van de IT-systemen van het Groene Hart Ziekenhuis. Daarin bespreekt het CBP hoe je moet omgaan met slechte beveiligde legacysystemen waarop bedrijfskritieke processen draaien. En misschien nog wel belangrijker: het CBP laat zien dat ze bereid is tot compromissen.

De zaak over het Groene Hart Ziekenhuis kwam aan het rollen door een nieuwsbericht in 2012 over hun slechte beveiliging. Het CBP heeft vervolgens onderzoek gedaan. Dat onderzoek is nu afgerond: de beveiliging van het ziekenhuis liet inderdaad te wensen over.

Ten eerste draaiden medische systemen die met het netwerk verbonden waren op ‘end-of-life’ besturingssystemen, zoals Windows 2000 en Windows XP. Ten tweede waren alle systemen aan hetzelfde netwerk verbonden: de computer van de receptie kon de MRI-scanner ‘zien’, en veel van die apparaten waren ook weer met het internet verbonden. Van sommige medische systemen wist het ziekenhuis niet op welk besturingssysteem ze draaiden, en uit het rapport blijkt zelfs dat het gebruik van een scanner om kwetsbare software in kaart te brengen, bij sommige systemen tot uitval zou kunnen leiden.

Het CBP is van oordeel dat het gebruik van ‘end-of-life’ systemen een ernstig beveiligingsrisico vormt en in strijd is met de Wbp. Het probleem is dat die systemen niet geüpdate worden, en dat ze ook niet meer door de fabrikant op kwetsbaarheden worden onderzocht, zodat de systemen mogelijk onbekende kwetsbaarheden bevatten.

Ook het gebrek aan netwerksegmentering is in strijd met de Wbp. Als één systeem wordt gehackt heeft een aanvaller direct toegang tot het hele interne netwerk, inclusief alle medische apparaten die aan dat netwerk hangen. Nu veel van die systemen niet meer bijgewerkt worden, is de kans dát een systeem wordt gehackt groot. De plicht tot netwerksegmentering volgt overigens ook uit de sectorspecifieke beveiligingsstandaard NEN 7510 waaruit het CBP citeert.

Het ziekenhuis gaf echter aan dat het ook een risico was om de systemen bij te werken. Sommige systemen werden gebruikt bij langlopende onderzoeken, en een recalibratie van de systemen zou ertoe leiden dat uitslagen niet meer bruikbaar zijn. Sommige systemen zouden kunnen stoppen met werken, wat een risico voor de patiënt is. En sommige systemen kón ze bovendien niet bijwerken, omdat de software door de leverancier is ontwikkeld en door de leverancier werd bijgehouden.

Het CBP gaat akkoord met een oplossing waarbij deze legacy-systemen in een apart netwerksegment worden geplaatst: het quarantaine netwerk. Zolang het ziekenhuis dat niet heeft gedaan, handelt ze in strijd met de beveiligingsplicht uit de Wbp. Daaruit kan je opmaken dat het CBP bereid lijkt tijdelijk een onveilige situatie te accepteren als daar bedrijfskritische processen van afhangen, als wel op korte termijn naar een veiliger situatie wordt toegewerkt.