Cyber security van netwerk verbonden Medische Apparatuur in Nederland 2015



Vergelijkbare documenten
Ctrl Ketenoptimalisatie Slimme automatisering en kostenreductie

Tax Directors Forum. Na de hoogtij van Horizontaal Toezicht nu een klimaat waarin boetes veel dichterbij gekomen zijn? Rotterdam, 12 februari 2015

Nadere uiteenzetting prijsaanbieding gemeente Tiel 2014

IFRS 15 Disaggregatie van opbrengsten

TaxLab 26 maart We maken het leuker. Fiscale faciliteiten voor het familiebedrijf

Voorkom pijnlijke verrassingen Nieuwe Controleaanpak Belastingdienst. Presentator: Remko Geveke

(Big) Data in het sociaal domein

IT risk management voor Pensioenfondsen

My Benefits My Choice applicatie. Registratie & inlogprocedure

Een rol van (publiek) belang. Thema-sessie 5: Het perspectief vanuit de overheid - kosten. Doorn, 6 november 2014

IIA Congres Prof. Dr. Sylvie C. Bleker-van Eyk & Roel van Rijsewijk. Zeist, 10 juni 2016

De impact van automatisering op het Nederlandse onderwijs

4 JULI 2018 Een eerste kennismaking met gemeentefinanciën en verbonden partijen voor raadsleden - vragen

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

Update IFRS 15 - Alloceren van de transactieprijs

IFRS 15 Alloceren van de transactieprijs

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Update IASB publiceert Improvements to IFRSs

Ralph ter Hoeven Partner Professional Practice Department +31 (0) (0)

My Benefits My Choice applicatie. Registratie & inlogprocedure

Individueel vermogensbeheer Update btw aspecten. 18 september 2012 Martijn Jaegers / Elwin Makkus

IFRS 15 Optreden als principaal of als agent?

Wereldwijde trends en de implicaties op onderwijs, onderzoek en bedrijfsvoering. Grenzen verleggen in een veranderend speelveld LEZING

GES Alert: Wet aanpak schijnconstructies (WAS) A.van Beerendonk. Deel 3: Uitstel verbod inhoudingen en verrekeningen op het wettelijk minimumloon

Number 12, May Update IFRS 15 - Identificeren van prestatieverplichtingen

Optional client logo (Smaller than Deloitte logo) State of the State

IFRS 15 Identificeren van prestatieverplichtingen

Nederland GES April GES LMB Alert Aanpassingen in het arbeidsrecht aangekondigd!

IFRS 15 Balanspresentatie

Reglement voor de Commissie Publiek Belang van de Raad van Commissarissen Deloitte Holding B.V.

Italian desk Chi? Lokaal aanspreekpunt is Melissa Allegrezza For information, contact Deloitte Fiduciaire

De beleidsrobot. Realiteit of illusie?

IFRS 15 Terugkoopovereenkomsten

Wijzigingen Richtlijnen voor de jaarverslaggeving voor micro- en kleine rechtspersonen Wijzigingen in jaareditie 2018

Rapport analyse afschrijvingskosten Gemeente Oostzaan. Oostzaan, 22 april 2013

Themabijeenkomst Verbonden Partijen. Emmen, 18 februari 2013 Mr. Frank A.H.M. van Attekum Deloitte Consulting B.V.

Verantwoording en controle in het Sociaal Domein. Drs. A.B. (Toby) Bergshoeff RA 17 november 2016

Stand van Zaken Computer Forensics. Johan ten Houten, Senior Manager Deloitte Risk Services. IB Opleidingsmarkt 2015, Fontys Hogeschool Eindhoven

Bevindingen interimcontrole 2015 Metropoolregio Eindhoven. Eindhoven, 11 Januari 2016

Nummer 8, december Update IASB publiceert IFRS 15 Revenue from Contracts with Customers

De impact van automatisering op onderwijs en arbeidsmarkt in Rotterdam. Rotterdam, Oktober 2016

IFRS 15 Nieuwe regels verwerken opbrengsten

FW: HERINNERING UITNODIGING Masterclass: Update Wet Normering Topinkomens

Elektronisch handtekenen in een handomdraai! Het proces in enkele stappen 2017, Deloitte Accountancy

Ranking Verloningsoptimalisaties. Februari 2015

Themabijeenkomst - De commissaris 3.0 als opdrachtgever van de accountant

Accountantscontrole 2015 gemeente Westvoorne Plan van aanpak en de relevante ontwikkelingen. Commissie Bestuurlijke Zaken en Middelen 5 oktober 2015

Zicht op beleid Provincie Zeeland. Controle jaarrekening 2015

Update Wijzigingen Richtlijnen voor de jaarverslaggeving voor kleine rechtspersonen Wijzigingen in jaareditie 2014

Wijzigingen Richtlijnen voor de jaarverslaggeving voor micro- en kleine rechtspersonen Wijzigingen in jaareditie 2017

Kantoortransformatie, Waarom! Haal meer uit je data. Amsterdam, 8 maart 2017

Big Data in opsporing

Accountantsvoortgangsverslag Avalex jaarrekeningen 2010 en 2011 Presentatie Algemeen bestuur

GES Alert Wooncorporaties

Recente ontwikkelingen in de vastgoedsectoer inzake BTW. Ivan Massin Senior Director

M Wolfs. Voor de digitale leeszaal. Verzonden vanaf mijn mobiele telefoon

Van: Hoogendoorn, Ilona (NL Rotterdam) Namens Wiersma, Reinder (NL Rotterdam)

Taxlab Four Faces of Tax

Model berekening frictiekosten SVHW

Professional Practice Department Nummer 5, oktober Update Afscheiden van embedded derivaten

Gemeenteraad Gemeente Ridderkerk Behouden of afbouwen aandelen Eneco Groep. Ridderkerk 30 augustus 2017 Rein-Aart van Vugt Reinier Moet

Novelle herzieningswet: gevolgen voor financiering. Drs. Jeroen Dungelmann

My Benefits My Choice applicatie. Registratie- & inlogprocedure

Code voor Accountantsorganisaties Implementatie door Deloitte

Rolf Driesen, 15de Overheidscongres, 21 Oktober 2014

Wat als we vrouwelijk talent optimaal inzetten voor de nieuwe cyber wereld?

Nummer 2, oktober Update Waardering voorziening pensioenregeling DGA in eigen beheer

Supermarkten Omzet, het fundament. Paul Op Heij

Number 10, April Update De verplichtstelling door de bedrijfstakpensioenfondsen

Taxlab Alles over het BEPS Multilateraal Instrument. Hans Mooij & Bert van der Klok, 28 maart 2017

IFRS 15 Rechten op retour

Modelovereenkomsten zzp ers Verankering van de modellen in uw AO/IC; de belastingcontrole. Remko Geveke Houten, 15 september 2015

Workshop Mondzorg in kaart 2013 Cobijt- managersbijeenkomst

Notitie riolering (Commissie BBV, november 2014)

Vennootschapsbelastingplicht voor overheidsondernemingen

Jaarstukken 2015 Commissie BZM gemeente Brielle

Financial Crime Analytics Zoeken naar het onbekende IBO 39. Johan ten Houten, 10 September 2014

FAS/REA Utrecht. Governance en risicomanagement bij corporaties. Actieve rol van de RvC vereist!

Hooggespannen verwachtingen over de inzet van sociale robots in verpleeghuizen

Drive for Excellence De weg naar een professionele bedrijfsvoering van woningcorporaties

De accountant: Wat kunt u ermee?

Auditcommissie gemeente Mill en St. Hubert. Kennis maken, kennis delen Ambities realiseren

Welkom bij het webinar Responsible Tax deel 1

Private Client Services Uw vermogen onze aandacht

Decentralisatie extramurale begeleiding Samenhang met 3D s en innovatie

Workshop Fiets & Fiscaliteit Korte uitleg van de spelregels binnen de WKR

Raadsleden centraal Goede raad voor een sterke gemeenteraad. Gemeente Albrandswaard 7 april 2014 Erik Wijnstok

Algemene Vergadering van Aandeelhouders

Een financieel beeld. Gemeente Albrandswaard. Portugaal 7 april 2014 Rein-Aart van Vugt

My Benefits My Choice applicatie. Registratie- & inlogprocedure

IFRS 15 Variabele vergoedingen

Taxlab Fiscaliteit en bouw in de publieke sector. Taxlab Four Faces of Tax. 28 maart 2017

2de editie - Oktober Vergelijkende studie van het aangifteproces in de personenbelasting In Nederland en andere landen

Deloitte MKB Accountancy & Advies Tax Advisory & Compliance Belastingadvies op maat voor ondernemers

PERSOONLIJKE AANPAK. MKB Accountancy & Advies De Supermarktcoach

Marktwaarde WOCO 2016 Vanuit het perspectief van de externe controle

Proeftuin gerichte preventie Gemeenten en maatschappelijke organisaties werken samen. Marly Kiewik

Indirect Tax Alert Hoge Raad: geen misbruik van recht bij exploitatie sportcomplex door een stichting

GES LMB Alert Wet normalisering rechtspositie ambtenaren aangenomen door Eerste Kamer

Een les in Campus Recruitment Tips & Tricks

Transcriptie:

Cyber security van netwerk verbonden Medische Apparatuur in Nederland 2015 Risico's en good practices voor een weerbare zorgsector Ir. Jeroen Slobbe Tel: +31 88 288 27 53 E-mail: jslobbe@deloitte.nl

Contents 1 Inleiding 2 Aanpak 3 Gebeurtenissen in 2014 rondom de beveiliging van medische apparatuur 4 Resultaten interviews 8 Good practices en tips 9 Conclusie 10 Dankwoord 11 Geraadpleegde literatuur

Inleiding Sinds het rapport van de Amerikaanse Government Accountability Office (GAO) over het hacken van medische apparatuur is verschenen, neemt de aandacht voor dit onderwerp toe. Omdat dit rapport veelal Amerikaans onderzoek betreft, heeft Deloitte het initiatief genomen om in Nederland de staat van de beveiliging van medische apparatuur in ziekenhuizen te peilen. Tussen eind 2013 en begin 2015 spraken we met 17 van de 82 Nederlandse ziekenhuizen over de cyber security van medische apparatuur. We interviewden Hoofden Medische Technologie, Hoofden IT, (Chief) Information Security Officers, Privacy Officers, specialisten en artsen die binnen de ziekenhuizen verantwoordelijk zijn of werken met medische apparatuur. De trendobservatie dat steeds meer medische apparatuur een netwerkaansluiting heeft, wordt breed gedragen door de ziekenhuizen. Te denken valt hierbij aan hartmonitoren, infusie-apparatuur en MRI-scanners. Door de toegenomen connectiviteit ontstaan dreigingsscenario s die de patiëntveiligheid direct kunnen raken. Voorbeelden hiervan zijn: Een patiënt ontvangt geen therapie doordat een signaal van een apparaat wordt geblokkeerd terwijl hij wel therapie nodig heeft; Een patiënt ontvangt therapie doordat een hacker hiertoe opdracht heeft gegeven, terwijl hij deze therapie niet nodig heeft; Een patiënt ontvangt therapie van een apparaat waarbij een hacker de instellingen heeft aangepast. Hierdoor ontvangt de patiënt andere therapie dan hij nodig heeft; Een alarm gaat af doordat een hacker hiertoe opdracht geeft terwijl het alarm niet af moet gaan. Hierdoor kan alarmmoeheid optreden en kan de verpleegkundige tijdelijk geen echte alarmen beantwoorden; Een alarm gaat niet af doordat een hacker dit actief blokkeert terwijl het alarm wel af moet gaan (beschikbaarheid). In dit rapport bespreken we de resultaten van de interviews en presenteren we de lessons learned en good practices die we in het afgelopen jaar hebben opgedaan. Wij hopen dat u hiermee tot nieuwe inzichten komt en met ons de volgende stappen neemt in het beveiligen van medische apparatuur tegen cyberdreigingen. 1

Aanpak Onder de belofte van strikte anonimiteit hebben we 17 interviews afgenomen bij verschillende ziekenhuizen in Nederland. Deze ziekenhuizen verschillen van elkaar in omvang, locatie en type (algemeen/academisch). We zijn in een tijdspanne van anderhalf jaar het gesprek aangegaan met diverse professionals uit het ziekenhuis die veel met medische apparatuur en/of IT te maken hebben. Voordat het vraaggesprek plaatsvond, kregen de professionals een presentatie over de risico s die beschreven staan in de literatuur en de onderzoeken die in Amerika hebben plaatsgevonden. Daarna volgde een uitgebreid vraaggesprek met het ziekenhuis. Na een zorgvuldige controle door het Deloitteteam, om te waarborgen dat de antwoorden juist geformuleerd waren, zijn de gegevens tot statistieken verwerkt. Cybersecurity van netwerk verbonden Medische Apparatuur in Nederland 2015 2

Gebeurtenissen in 2014 rondom de beveiliging van medische apparatuur Waar in 2013 veel apparatuur werd gehackt, was 2014 het jaar dat overheidsinstanties Medical Device Security in het vizier kregen. Zo stortten de Office Inspector General (de Amerikaanse Inspectie Gezondheidszorg), Homeland Security, de FBI en de FDA zich op deze nieuwe technologie en bijbehorende risico s. In Nederland werd cyber security van medische apparatuur als dreiging aangemerkt in het cyber security beeld van het Nationaal Cyber Security Center. Ook het College Bescherming Persoonsgegevens gaf aan dat medische apparatuur die is aangesloten op het netwerk over adequate beveiliging dient te beschikken. Daarnaast maakte Hollywood gretig gebruik van scenario s. In onder andere de series Homeland en Person of interest werden personages gehackt en beschadigd. OIG stort zich op MDS Scot Erven hackt veel apparatuur Oktober 2014 CBP over MDS 2015 OIG continueert MDS 2014... Augustus NCSC beeld Oktober Homeland security onderzoekt insulinepompen Oktober 2014 FDA CBP agendeert privacy apparatuur Alle geïnterviewde ziekenhuizen gaven aan een duidelijke trend te zien in de netwerkmogelijkheden van medische apparatuur. De overige vragen zijn niet unaniem beantwoord en behandelen we hieronder. 3

Resultaten interviews Beleid, fysieke beveiliging en het afvoeren van medische apparatuur Beleid Vier van de geïnterviewde ziekenhuizen gaven aan dat ze expliciet informatiebeveiligingsbeleid voor medische apparatuur voeren. Bij de overige dertien ziekenhuizen bleek dit beleid te ontbreken. Legenda Ja Nee Het is belangrijk om een duidelijk beleid te hebben ten aanzien van de cyber security van medische apparatuur. Het viel ons op dat Medische Technologie en IT soms twee compleet verschillende afdelingen zijn. Hierdoor zijn de verantwoordelijkheden met betrekking tot cyber security van medische apparatuur niet duidelijk. Goed beleid kan hierin duidelijkheid bieden. Cybersecurity van netwerk verbonden Medische Apparatuur in Nederland 2015 4

Privacy bij afvoeren Acht van de geïnterviewde ziekenhuizen gaven aan een procedure te hebben voor het afvoeren van medische apparatuur (als deze verouderd is of niet meer werkt). In één geval wordt de meeste apparatuur opgehaald door de leverancier en bij een ander ziekenhuis wordt de apparatuur ingeleverd bij een professionele afvalverwerker. In twee gevallen wordt de apparatuur vernietigd door een gecertificeerde partij. De ziekenhuizen zonder interne datavernietigingsprocedure doen de aanname dat de leveranciers, gecertificeerde verwerkers zelf op een adequate manier de data verwijderen. Het werd duidelijk dat we deze vraag in onze standaardvragenlijst misten. We hebben de vraag later aan de set vragen toegevoegd waardoor de uitspraak op dit deelgebied minder significant is dan op de andere deelgebieden. Legenda De leverancier haalt oude apparaten op We hebben procedures om alle persoonsgegevens van de apparatuur te verwijderen alvorens ze bij een verwerker in te leveren Ze gaan mee in het reguliere afvalverwerkingsproces Onbekend Het risico van het niet of niet goed genoeg verwijderen van data van medische apparatuur is dat privacygevoelige informatie ongewenst op een verkeerde plek kan belanden. Fysieke beveiliging Zeven van de geïnterviewde ziekenhuizen gaven aan dat ze grotere medische apparatuur in een afgesloten ruimte bewaren. Voor zes huizen geldt dit deels en in vier gevallen zijn de ruimtes waar de medische apparatuur staan voor al het ziekenhuispersoneel toegankelijk. Legenda Ja Deels Nee 5

In sommige gevallen is het logisch dat medische apparatuur toegankelijk is voor iedereen die zich in het ziekenhuis bevindt. Een voorbeeld is de hartmonitoringsapparatuur die is gekoppeld aan een patiënt die bezoek kan ontvangen. Het zou echter voorkomen moeten worden dat patiënten, bezoekers en anderen ongeautoriseerde apparatuur (zoals smartphones en USB-sticks) kunnen aansluiten op medische apparatuur. Daarnaast zouden ziekenhuizen moeten bepalen welke ruimtes niet toegankelijk hoeven te zijn voor andere bezoekers, buiten de patiënten om. Zo zou je bij bijvoorbeeld MRI-scanners fysieke toegangsbeveiliging kunnen implementeren. Data protectie Communicatie versleuteling Twee van de geïnterviewde ziekenhuizen gaven aan dat medische apparatuur in het algemeen communiceert over het netwerk met een versleutelde verbinding. Zes ziekenhuizen gaven aan dat dit in het algemeen niet het geval is, zeven ziekenhuizen gaven aan daar geen zicht op te hebben en 2 ziekenhuizen konden de vraag op dat moment niet beantwoorden. Legenda Ja Nee Onbekend Het risico van het ontbreken van communicatie kan per netwerkarchitectuur verschillen, bijvoorbeeld door netwerksegregatie of network access controls toe te passen. Als deze maatregelen ontbreken, bestaat het risico van netwerkverkeer op een niet-versleuteld netwerk van medische apparatuur waardoor de vertrouwelijkheid van de gegevens niet kan worden geborgd. Daarnaast kan (mits geen additionele maatregelen) de integriteit van de verstuurde informatie in het geding komen. Dit kan uiteindelijk leiden tot een patiëntveiligheidsrisico of inbreuk op de privacy van de patiënt. Versleuteling USB-stick Van de geïnterviewde ziekenhuizen gaven acht ziekenhuizen aan dat het meestal niet mogelijk is om gegevens op een USB-stick te versleutelen. Vier ziekenhuizen gaven aan dat dit bij hun organisatie helemaal niet mogelijk is. Legenda Nee Meestal niet Onbekend Cybersecurity van netwerk verbonden Medische Apparatuur in Nederland 2015 6

Gegevens kunnen onversleuteld op USB-sticks belanden, waardoor een verhoogd risico bestaat op het lekken van data. Daarnaast is het lastig om de integriteit van de data te garanderen als deze vanaf een USB-stick worden teruggezet op het medische systeem. Ziekenhuizen kunnen overwegen om de USB-aansluitingen (waar mogelijk) volledig fysiek dicht te maken. Als de aansluiting nodig is voor de werking van het systeem of om de communicatie met andere apparatuur mogelijk te maken, kan worden gewerkt met een losstaand systeem dat een USB-stick eerst op virussen controleert voordat deze wordt gebruikt. Een veilige oplossing voor het meegeven van afbeeldingen of gegevens aan de patiënt, is deze aan te bieden op een nieuwe USB-stick die het ziekenhuis zelf verstrekt. Computervirussen Van de geïnterviewde ziekenhuizen gaven tien aan dat zij weleens te maken hebben gehad met een computervirusbesmetting op hun medische apparatuur. Zeven gaven aan hiervan nooit last te hebben gehad. Legenda Ja Nee Het risico van computervirussen is groot. Aan de ene kant kan de integriteit en de werking van het medische apparaat niet meer worden gegarandeerd als het besmet is met een computervirus. Daarnaast zorgen sommige virussen voor performanceproblemen. Hierdoor komt de beschikbaarheid van het apparaat in gevaar. Als operationele processen binnen het ziekenhuis op dit apparaat steunen, kunnen deze processen en daarmee behandelingen in gevaar komen. Een virusscanner op een medisch apparaat is niet altijd de oplossing, omdat niet alle apparatuur dit ondersteunt en ziekenhuizen niet altijd bevoegd zijn om software te installeren op door hen aangeschafte apparatuur. Naast netwerksegmentatie zouden Intrusion Detection Systemen (IDS) en Security Information and Event Management (SIEM) systemen een oplossing kunnen bieden. Hiermee kan apparatuur op dezelfde manier worden gebruikt als nu, maar is deze wel weerbaarder tegen besmettingen door malware.

Good practices en tips Tijdens de interviews zijn we een aantal good practices tegengekomen: beleid, netwerksegregatie, één verantwoordelijke voor ICT en Medische Technologie (MT), Awareness en het inventariseren van apparatuur met bijbehorende risico assessments. Hieronder worden de gevonden good practices beschreven. Eén verantwoordelijke voor ICT en MT Eén verantwoordelijke voor ICT en MT zorgt voor een betere en snellere schakeling tussen ICT en MT. Daarnaast zijn de taken en verantwoordelijkheden duidelijk. Netwerksegregatie Het administratieve netwerk moet van het medische netwerk gescheiden zijn. Daarnaast kunt u apparaten in subnetwerkgroepen indelen om intern extra beveiliging tegen massabesmettingen te borgen. Beleid Een beleid voor de informatiebeveiliging van medische apparatuur zorgt ervoor dat de taken en verantwoordelijkheden duidelijk zijn. Daarnaast moet beleid borgen dat tijdens het inkoopproces de juiste informatie wordt verkregen. Awareness Hoe meer medisch technici en IT ers op de hoogte zijn van de cyberrisico s van netwerk verbonden medische apparatuur, des te eerder worden potentiële dreigingen gesignaleerd en volgt er adequate actie. Inventariseer apparatuur, connectiviteit en risico s Het is belangrijk een volledige en up-to-date inventaris van netwerk verbonden medische apparatuur te hebben, inclusief de eigenschappen en het cyberrisicoprofiel van het apparaat. Cybersecurity van netwerk verbonden Medische Apparatuur in Nederland 2015 8

Conclusie Toen we begonnen aan dit onderzoek, viel het op dat het onderwerp nieuw was bij ziekenhuizen. Naarmate het interviewtraject vorderde, merkten we dat steeds meer professionals op de hoogte waren van de laatste ontwikkelingen op het gebied van het beveiligen van medische apparatuur. Het niet gebruiken van medische apparatuur is vooralsnog een groter risico voor de gezondheid van de patiënt dan het gebruiken van kwetsbare medische apparatuur. Maar kwetsbaarheden zijn in sommige gevallen eenvoudig te mitigeren en daarom is het aan te bevelen hiermee aan de slag te gaan. Als algemene conclusie stellen wij dat steeds meer medische apparatuur met een netwerk verbonden is en dat daarmee het cyberrisico van medische apparatuur is toegenomen. Het risico op verstoring door computervirussen werd hier het meeste genoemd. Daarnaast constateerden we de volgende aandachtspunten: Bijna een kwart van de ziekenhuizen geeft aan expliciet beleid te hebben voor de informatiebeveiliging van medische apparatuur; Meer dan de helft van de ziekenhuizen geeft aan weleens te maken te hebben gehad met een computervirusbesmetting van hun medische apparatuur; Minder dan een kwart van de ziekenhuizen geeft aan zeker te weten dat medische apparatuur op een netwerk versleuteling gebruikt; Meer dan driekwart van de ziekenhuizen geeft aan het (meestal) niet mogelijk is om gegevens van een medisch apparaat direct versleuteld op een USB-stick op te slaan; Iets minder dan driekwart van de ziekenhuizen heeft een adequate procedure om gegevens van medische apparatuur te verwijderen voordat deze wordt afgevoerd. Het is van groot belang incidenten (zowel als gevolg van gerichte als ongerichte aanvallen) te voorkomen. Dit doen we echter niet door de vele innovatieve oplossingen die Healthcare technologie biedt niet meer te gebruiken. Voor bestaande medische apparatuur kunnen we met netwerksegmentatie, NAC, SOC en SIEM oplossingen de dreigingen mitigeren. Voor nieuwe medische apparatuur nemen we privacy en security vanaf het begin af aan mee. Op deze manier kunnen we op een veilige manier gebruik maken van de vele mogelijkheden die de nieuwe technologie ons te bieden heeft. 9

Dankwoord Dit onderzoek had niet kunnen plaatsvinden zonder de hulp van de ziekenhuizen die we mochten interviewen. We willen iedereen hiervoor hartelijk danken. Daarnaast had het rapport niet tot stand kunnen komen zonder de inspanningen van Floris Schoenmakers, Tom-Martijn Roelof, Salo van Berg, Derk Wieringa, Marrit Plat en Marko van Zwam. Cybersecurity van netwerk verbonden Medische Apparatuur in Nederland 2015 10

Geraadpleegde literatuur 1. United States Government Accountabillity Office, Medical Devices FDA Should Expand Its Consideration of Information Security for Certain Types of Devices, 2012, http://www.gao.gov/assets/650/647767.pdf, geraadpleegd op: 20-01-2015. 2. Nederlandse Zorg Autoriteit, Medische specialistische Zorg weergave van de markt 2009-2013, 01-12-2013, http://www.nza.nl/104107/105773/742312/marktscan_medisch_specialistische_zorg_2013.pdf 3. U.S. Department of Health and Human Services/Office of Inspector General, Work plan for Fiscal Year 2014, http://docs.ismgcorp.com/files/external/oig-work-plan-2014.pdf 4. Nationaal Cyber Security Centrum, Cybersecuritybeeld Nederland 4, 10-07-2014, https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/trendrapporten/ cybersecuritybeeld-nederland-4.html 5. Wired/Kim Zetter, It's Insanely Easy to Hack Hospital Equipment, 04-25-2014, http://www.wired.com/2014/04/hospital-equipment-vulnerable/ 6. U.S. Food and Drug Administration, Content of Premarket Submission for Management of Cybersecurity in Medical Devices, 02-10-2014, http://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/ GuidanceDocuments/UCM356190.pdf 7. College Bescherming Persoonsgegevens, Onderzoek naar de beveiliging van het netwerk van het Groene Hart Ziekenhuis, 06-10-2014, https://cbpweb.nl/sites/default/files/atoms/files/rap_2014_netwerkbeveiliging-groene-hart-ziekenhuis.pdf 8. Reuters/Jim Finkle, U.S. Government probes medical devices for possible cyber flaws, 22-10-2014, http://www.reuters.com/article/2014/10/22/us-cybersecurity-medicaldevices-insight-iduskcn0ib0dq20141022 9. U.S. Department of Health and Human Serices/Office of Inspector General, Work plan for Fiscal Year 2015, 2015, http://oig.hhs.gov/reports-and-publications/archives/workplan/2015/fy15-work-plan.pdf 10. Collge Bescherming Persoonsgegevens, CBP Agenda 2015, 28-01-2015, https://cbpweb.nl/nl/nieuws/cbp-presenteert-toezichtagenda-voor-2015 11. De IT Auditor, 'Beheersen en controleren Cybersecurityrisico s medische apparatuur', 31-03-2015, http://www.deitauditor.nl/business-en-it/cybersecurityrisicos-medische-apparatuur/ 11

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ( DTTL ), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as Deloitte Global ) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries and territories, Deloitte brings worldclass capabilities and high-quality service to clients, delivering the insights they need to address their most complex business challenges. Deloitte s more than 210,000 professionals are committed to becoming the standard of excellence. This communication is for internal distribution and use only among personnel of Deloitte Touche Tohmatsu Limited, its member firms, and their related entities (collectively, the Deloitte network ). None of the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 2015 Deloitte The Netherlands

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback