Kwetsbaarheden wearables raken ook de PGO’s en de HIS-sen

kwetsbaarhedenEen keten is zo sterk als de zwakste schakel. Dat geldt met name in de zorg-ICT. Recent, op 1 februari 2022 maakte het cyberbeveiligingsbedrijf Kaspersky bekend dat in de software die de communicatie tussen wearables(bijv. smartwatches, fitness-trackers en gezondheidsgadgets) en andere systemen verzorgt forse kwetsbaarheden bestaan. Het gaat daarbij om problemen met het Message Queuing Telemetry Transport (MQTT) protocol. Kaspersky ontdekte alleen al in 2021 33 kwetsbaarheden in die software, waarvan 18 kritische. Gebruikers van wearables doen er zelfmetingen mee. Die metingen kan men in een aantal gevallen in een Persoonlijke GezondsheidsOmgevingen(PGO) laden. PGO’s zijn apps of programma’s op smartphone of tablet waarin patiënten hun zorgdata kunnen opslaan. Die data downloaden ze via softwarematige voorzieningen vanuit huisartsinformatiesystemen(HIS-sen). De kwetsbaarheden in de communicatieprotocollen van de wearables raakt dus de PGO’s en de HIS-sen.

Gevaar van toegenomen eHealth-toepassingen

Kaspersky maakt in haar bericht duidelijk dat door de COVID-19-pandemie een forse toename ontstond van (tel)eHealth-toepassingen. Het bedrijf constateert dat daarmee ook de kwetsbaarheid van zorg-ICT-systemen toeneemt. In haar Healthcare Report 2021 maakt men dat duidelijk. Wearables maken, zoals gezegd, gebruik van het MQTT-protocol. Dit is zo’n beetje de standaard in de uitwisseling van data tussen Internet-of-Things(IoT) toepassingen. In de wearables gebruikt men het omdat het makkelijk en handig is. Echter bij MQTT-gebruik is authenticatie vaak een keuze(optioneel) en bieden MQTT-toepassingen zelden versleuteling van data. Dat maakt dit protocol zo kwetsbaar voor hack-pogingen. Het is vooral vatbaar voor een man-in-the-middle-aanval, maar ook voor andere typen aanvallen.. Bij een man-in-the-middle-aanval wurmt de aanvaller zich tussen de verzendende partij(wearable) en de ontvangende(PGO) en kan de verzonden data onderscheppen. Toegang tot het systeem van de ontvangende partij is geenszins uitgesloten.

PGO

Van de thans in Nederland beschikbare en aan de MedMij-standaarden voldoende PGO’s staat bij zes vermeld dat deze zelfmetingen kunnen ontvangen en toevoegen aan het PGO. Het gaat daarbij om Ivido, Zodos, Quli, Selfcare, Gezondheidsmeter, en MijnPGO. Het is ook de bedoeling dat gebruikers zelfmetingen vanuit het PGO in bijv. huisartsinformatiesystemen kunnen inladen. Die keten maakt dat het gebruik van wearables en andere gezondheidsgadgets eventueel een hele keten kan compromitteren.

Aanbevelingen Kaspersky

Om de data van de patiënt veilig te houden doet Kaspersky enkele aanbevelingen aan zorgaanbieders:

  • Check the security of the application or device suggested by the hospital or medical organization
  • Minimize the data transferred by telehealth apps if possible (e.g. don’t let the device send the location data if it’s not needed)
  • Change passwords from default ones and use encryption if the device offers this

Zoveelste nagel aan kist PGO

De vermelde kwetsbaarheden in de MQTT-protocol gebruikende apparaten is de meest recente nagel aan de doodskist van de PGO’s. Ik schreef al vele malen over de PGO’s. Het is een met name door het ministerie van VWS gepusht en met veel euro’s doorgedrukt systeem voor patiënten. De patiënten-portalen van zorgverleners hebben de PGO’s inmiddels al lang ingehaald. De landelijk live-gang heeft inmiddels een vertraging van meer dan anderhalf jaar. En bovenal: er bestaat geen verdienmodel voor de PGO’s. Daarom betaalt VWS vooralsnog het gebruik van de PGO’s na ook de ontwikkeling gefinancierd te hebben. Het is te hopen dat men op de gevaren van het huidige gebruik van het MQTT-protocol op een verstandige manier anticipeert.

W.J. Jongejan, 21 februari 2022

Afbeelding van Gerd Altmann via Pixabay