'Ziekenhuisapparaten op afstand te hacken'

Onderzoekers hebben kwetsbaarheden gevonden in ziekenhuisapparatuur van GE, die het mogelijk maken om op afstand met de apparaten te rommelen.

Het gaat om kwetsbaarheden in de apparaten in de veelgebruikte lijnen GE Aestiva en GE Aespire, die worden gebruikt voor beademing en anesthesie. De kwetsbaarheden werden ontdekt door beveiligingsbedrijf CyberMDX. Als de ziekenhuisapparatuur is aangesloten op het ziekenhuisnetwerk, kunnen commando's worden doorgegeven.

Het gaat om opdracht als het stilhouden van alarmen, het aanpassen van automatische logboeken en zelfs het wijzigen van de samenstelling van verdovende gassen in de apparaten. "Deze apparaten gebruiken een eigen protocol. Het is vrij eenvoudig om de commando's uit te vogelen", zegt hoofdonderzoeker Elad Luz van CyberMDX.

GE: 'Geen risico voor patiënt'

Het Amerikaanse departement voor Binnenlandse Veiligheid stelt dat er weinig kennis nodig is om de kwetsbaarheid te misbruiken. Voor het uitvoeren van commando's is dan ook geen authenticatie nodig, connectie tot het netwerk is genoeg voor potentieel misbruik.

Volgens GE zijn de risico's voor de patiënt echter klein. "Na een formeel risico-onderzoek hebben we vastgesteld dat dit mogelijke implementatiescenario niet voor klinisch risico of direct patiëntrisico zorgt en er geen kwetsbaarheid zit in het anesthesieapparaat zelf", zegt GE tegen TechCrunch.

"Ons onderzoek doet ons niet geloven dat er problemen met de veiligheid van patiënten zijn", aldus GE. Het bedrijf wil niet zeggen hoeveel apparaten kwetsbaar zijn voor misbruik. Wel is het model waarbij de samenstelling van de gassen kan worden aangepast na 2009 niet meer gekocht.