De beveiliging van Telemis-Medical tegen cyberaanvallen

Louvain-La-Neuve (Belgium), 18. Juni 2020 - In 2019 waren verschillende zorginstellingen het doelwit van ransomware-aanvallen.

Dat was in België bijvoorbeeld het geval voor de Clinique André Renard die het doelwit was van ransomware door het virus Cryptolocker, een kwaadaardig Trojaans paard, met een schade van naar schatting 300.000 EUR.[1]

In het zuidwesten van Frankrijk was een medische beeldvorming groep het slachtoffer van een gelijksoortige aanval, met de encryptie van alle gegevens van alle servers in alle vestigingen van de groep, en een verzoek om duizenden Bitcoins losgeld te betalen (1 Bitcoin = 6.970 EUR).

Na deze aanvallen en na de artikelen die verschenen in de pers, maken ziekenhuizen en andere zorginstellingen zich steeds meer zorgen over de beveiliging van hun computersystemen en rekenen ze op hun partners om hen te helpen deze nieuwe uitdaging het hoofd te bieden. Om de 379 centra die zijn uitgerust met Telemis-oplossingen te informeren, wordt hieronder een overzicht gegeven van de laatste verbeteringen op het gebied van beveiliging.

De Telemis PACS is geïnstalleerd op de interne servers van de instelling. De functies ervan zijn alleen intern toegankelijk en de toegang is beveiligd door een login. Radiologen kunnen ook thuis inloggen met behulp van de TM-Home die wordt beschermd door een beveiligde VPN. Een hacker kan dus van buitenaf via het internet geen toegang krijgen tot de PACS. De PACS zou wel indirect het slachtoffer kunnen worden van ransomware, via een onvoldoende beschermde pc die een crypto virus zou kunnen verspreiden via het computernetwerk van een instelling.

De enige toegang van de Telemis PACS vanaf het internet is de TM-Publisher Web, de portal voor het verspreiden van medische beelden. Die zou het doelwit kunnen zijn van malware-aanvallen. Daarom hebben bepaalde gezondheidscentra aan externe bedrijven gevraagd om veiligheidsaudits van het TM-Publisher Web te doen. Er werden penetratietesten uitgevoerd die een aantal gebreken aan het licht brachten. Om die gebreken te verhelpen en een optimale veiligheid te garanderen, heeft Telemis een aantal belangrijke verbeteringen aangebracht aan de versies 4.90 en 4.95 van zijn PACS. In dit opzicht, en ook om te voldoen aan de vraag van veel gebruikers, heeft Telemis een systeem ingevoerd voor het willekeurig genereren van de URL’s van het TM-Publisher Web, zodat er geen voorspellende code meer wordt weergegeven in de URL’s. Bovendien wordt de toegang tot de TM-Publisher Web voortaan getraceerd in logbestanden dankzij een nieuw auditsysteem dat aan het ATNA-profiel (Audit Trail and Node Authentication) van de IHE (Integrating the Healthcare Enterprise) beantwoordt.

Telemis beveelt systematisch de installatie van een “Reverse Proxy” aan, bij voorkeur gekoppeld aan een DMZ (Demilitarized Zone) voor webapplicaties. Daarnaast is het voortaan niet meer mogelijk om de server technologie te bekijken die door het TM-Publisher Web wordt gebruikt om te proberen misbruik te maken van de kwetsbaarheden ervan. Ten slotte kan de zwakke configuratie van het TLS-protocol (Transport Layer Security), dat versies van vóór TLS1.2 ondersteunt, gemakkelijk worden vermeden door de configuratie van de TM-Publisher Web aan te passen zodat alleen de versie TLS1.2 wordt ondersteund om op die manier de kwetsbaarheid risico's te verminderen. In dat geval hebben oudere browserversies geen toegang meer tot het TM-Publisher Web.

 

Voor meer informatie:

Cyberaanvallen op computersystemen kunnen verschillende vormen aannemen, zoals:

Phishing: Er verschijnt een pop-upvenster en er wordt gevraagd om te klikken om een gewonnen prijs te claimen, of een valse e-mail vraagt om gebruikersnamen in te voeren. Zodra u op een dergelijke link klikt, worden al uw persoonsgegevens zichtbaar die de hacker vervolgens kan stelen.

Ransomware: Een persoon hackt een computer of server en versleutelt alle gegevens met behulp van een crypto virus, malware die de gegevens van servers en werkstations versleutelt, en vraagt daarna losgeld om de versleuteling ongedaan te maken en de gegevens terug te krijgen.

Cross-site scripting (XSS): Een praktijk waarbij kwaadaardige inhoud in een webpagina wordt geïnjecteerd, waardoor de browser van het doelwit wordt aangetast. Hierdoor kan de hacker de pagina naar eigen wens wijzigen, informatie uit cookies stelen en gevoelige gegevens bekijken.

Dit zijn de drie meest voorkomende aanvallen, hoewel er ook nog andere zijn.



[1] De informatie is terug te vinden in het artikel: “Cyber attaque à la Clinique André Renard: une perte de 300.000 euros” van l’Avenir. Het artikel is online beschikbaar: https://www.lavenir.net/cnt/dmf20190405_01318949/cyber-attaque-a-la-clinique-andre-renard-une-perte-de-300-000-euros