Wearables kwetsbaar voor het onderscheppen van data door cybercriminelen

Wearables zoals sporthorloges en stappentellers zijn de laatste tijd steeds populairder geworden. Naar schatting meet ruim de helft van de Nederlanders zelf zijn gezondheid. Dit biedt ook mogelijkheden voor cybercriminelen. Zo ontdekten Kaspersky-experts meer dan dertig kwetsbaarheden in het meest gebruikte protocol voor gegevensoverdracht van wearable devices die worden gebruikt voor patiëntmonitoring op afstand. Van de 33 kwetsbaarheden waren er 18 kritiek in 2021.

Het aantal kwetsbaarheden groeit, want dit zijn er 10 meer dan in het jaar ervoor. Veel van deze kwetsbaarheden blijven ongepatcht. Sommige van deze kwetsbaarheden geven cybercriminelen de mogelijkheid om gegevens te onderscheppen die online vanaf het device worden verzonden.

De aanhoudende pandemie heeft geleid tot een snelle digitalisering van de gezondheidszorgsector. Nu ziekenhuizen en zorgpersoneel overbelast zijn en veel mensen thuis in quarantaine zitten, zijn organisaties gedwongen om opnieuw na te denken over de manier waarop patiëntenzorg wordt geleverd. Uit recent onderzoek van Kaspersky blijkt zelfs dat 100 procent van de ondervraagde zorgaanbieders in Nederland e-healthdiensten heeft geïmplementeerd, waarvan 70% betrekking had op wearable devices. Deze snelle digitalisering brengt echter nieuwe beveiligingsrisico's met zich mee, vooral als het gaat om patiëntgegevens.

Onderdeel van e-healthdiensten is het op afstand monitoren van patiënten, wat wordt gedaan met behulp van wearable devices en monitors. Dit zijn gadgets die continu of met tussenpozen de gezondheidsindicatoren van een patiënt kunnen volgen, zoals hartactiviteit.

Het MQTT-protocol is het meest gebruikte protocol voor het verzenden van gegevens van wearable devices en sensoren omdat het gemakkelijk en efficiënt is. Daarom is het niet alleen te vinden in wearables, maar in bijna elke slimme gadget. Helaas is bij het gebruik van MQTT de authenticatie volledig optioneel en wordt er zelden encryptie gebruikt. Dit maakt MQTT zeer gevoelig voor "man in the middle"-aanvallen (waarbij aanvallers zich tussen "twee partijen" kunnen plaatsen terwijl ze communiceren), wat betekent dat alle gegevens die via het internet worden overgedragen, mogelijk gestolen kunnen worden. In het geval van wearables kan die informatie zeer gevoelige medische gegevens, persoonlijke informatie of zelfs de bewegingen van een persoon omvatten. 

Sinds 2014 zijn er 90 kwetsbaarheden in MQTT ontdekt, waaronder kritieke, waarvan er vele tot op de dag van vandaag nog niet gepatcht zijn. Door al deze kwetsbaarheden lopen  patiënten het risico dat hun gegevens worden gestolen.

Bovendien is het zo dat wearables zowel je gezondheidsgegevens als je locatie en bewegingen bijhouden. Dit opent niet alleen de mogelijkheid van het stelen van gegevens, maar ook van potentieel stalken. 
Tim de Groot, Territory Manager, Benelux and Nordics at Kaspersky: "De pandemie heeft geleid tot een sterke groei van de e-healthmarkt, en daarbij gaat het niet alleen om communicatie met je arts via videosoftware. Het gaat om een hele reeks complexe, snel ontwikkelende technologieën en producten, waaronder gespecialiseerde toepassingen, draagbare apparaten, implanteerbare sensoren en cloudgebaseerde databases. Veel ziekenhuizen maken echter nog steeds gebruik van niet-geteste diensten van derden om patiëntgegevens op te slaan, en er zijn nog steeds kwetsbaarheden in wearable devices en sensoren voor de gezondheidszorg. Voordat u dergelijke apparaten implementeert, moet u zoveel mogelijk te weten komen over het beveiligingsniveau ervan om de gegevens van uw bedrijf en uw patiënten veilig te houden".

• Lees het volledige rapport over e-healthsecurity op Securelist.
• Het volledige rapport en details over de huidige stand van zaken in de e-healthsector zijn hier beschikbaar.