Onlangs publiceerde het College Bescherming Persoonsgegevens een besluit over de beveiliging van de IT-systemen van het Groene Hart Ziekenhuis. Daarin bespreekt het CBP hoe je moet omgaan met slechte beveiligde legacysystemen waarop bedrijfskritieke processen draaien. De zaak over het Groene Hart Ziekenhuis kwam aan het rollen door een nieuwsbericht in 2012 over hun slechte beveiliging. Het CBP heeft vervolgens onderzoek gedaan. Dat onderzoek is nu afgerond (pdf): de beveiliging van het ziekenhuis liet inderdaad te wensen over.

Ten eerste draaiden medische systemen die met het netwerk verbonden waren op 'end-of-life' besturingssystemen, zoals Windows 2000 en Windows XP. Ten tweede waren alle systemen aan hetzelfde netwerk verbonden: de computer van de receptie kon de MRI-scanner 'zien', en veel van die apparaten waren ook weer met het internet verbonden. Van sommige medische systemen wist het ziekenhuis niet op welk besturingssysteem ze draaiden, en uit het rapport blijkt zelfs dat het gebruik van een scanner om kwetsbare software in kaart te brengen, bij sommige systemen tot uitval zou kunnen leiden.

Het CBP is van oordeel dat het gebruik van ‘end-of-life’ systemen een ernstig beveiligingsrisico vormt en in strijd is met de Wbp. Het probleem is dat die systemen niet geüpdatet worden, en dat ze ook niet meer door de fabrikant op kwetsbaarheden worden onderzocht, zodat de systemen mogelijk onbekende kwetsbaarheden bevatten...

...Het CBP gaat akkoord met een oplossing waarbij deze legacy-systemen in een apart netwerksegment worden geplaatst: het quarantaine netwerk. Zolang het ziekenhuis dat niet heeft gedaan, handelt ze in strijd met de beveiligingsplicht uit de Wbp. Daaruit kan je opmaken dat het CBP bereid lijkt tijdelijk een onveilige situatie te accepteren als daar bedrijfskritische processen van afhangen, als wel op korte termijn naar een veiliger situatie wordt toegewerkt. Het CBP laat daarmee zien dat ze bereid is tot compromissen.

Alles bij de bron; Security