Vaatwasser Miele blijkt achterdeur ziekenhuis

Het apparaat heeft een webserver waarmee het apparaat op afstand benaderbaar is voor informatie-uitwisseling. Die webserver blijkt echter slecht beveiligd. Hij is gevoelig voor zogeheten 'directory traversal attacks', zegt IT-beveiliger Loran Kloeze in De Volkskrant. Kloeze kwam eerder ook problemen met de Stemwijzer op het spoor.

De zwakke beveiliging maakt het mogelijk voor kwaadwillenden de root van de systeem te benaderen. Vandaar uit is het in principe ook mogelijk andere apparatuur op het ziekenhuisnetwerk te benaderen.

Fysieke en digitale infectie mogelijk

De thermodesinfector, zoals de professionele vaatwasser officieel heet, zal zelf niet veel interessante informatie voor hackers bevatten. Het is wel mogelijk de temperatuurinstellingen te beïnvloeden zodat er ten onrechte van uit gegaan wordt dat de medische instrumenten die er uit komen, steriel zijn. Dat kan tot grote problemen leiden wanneer geopereerde patiënten geïnfecteerd raken.

Een ander probleem waar Kloeze op wijst is dat de hackers de ziekenhuisapparatuur kunnen misbruiken om een botnet op te zetten.

Miele lijkt niet erg onder de indruk, zo blijkt uit een reactie van de woordvoering in de krant. De apparatuur hangt in een bedrijfsnetwerk en de verantwoordelijkheid voor de beveiliging ligt daarom bij de netwerkbeheerders, is het verweer. Kloeze veegt de vloer aan met een dergelijke argumentatie en vindt dat de fabrikant altijd moet zorgen voor veilige apparatuur.