Eksperter advarer: 30.000 usikre computere på danske hospitaler

For output fra scanningen skal jo kunne tilgås andre steder...

Der er mange måder at undgå at den kommer på netværket på.

Jeg har for ikke ret lang tid siden lavet service på en 486DX2-66/DOS 6.22 maskine til noget måleudstyr - Set i dét perspektiv, så er Windows XP jo nærmest fremtiden...

Nu er det altså også sådan, at en del hospitalsudstyr ikke bliver understøttet på nyere versioner af Windows.

Fx. besluttede en unavngiven HW leverandør at skifte OS fra Linux til Windows (ved skift af direktør - jo, den slags beslutninger tages) og udviklede drivere til Windows XP. Desværre virkede disse drivere ikke med Windows 7 (aner ikke lige hvorfor), og virksomheden ville heller ikke levere Windows 7 drivere... De "kunne jo bare opdatere deres HW"...

Så hospitalet besluttede sig for at køre videre med Windows XP på scanneren... Så, dér har man en unsupported Windows XP på sit netværk... For output fra scanningen skal jo kunne tilgås andre steder...

Mange steder i det offentlige, lever maskinen vel med det fødte OS indtil sin dødsdag.

Dette er slet ikke utænkeligt, men skyldes i mange situationer leverandørerne af det specialiserede udstyr (scannere, måleapparater og sekventieringsudstyr m.v.), som oftest leverer én version af programmet, certificeret til én version af Windows, som man så efterfølgende levering ikke må pille ved uden at man mister supporten på det ofte milliondyre apparat - også hvis der er tale om hardening af OS...

Dette gør sig gældende på sygehusene og hospitalerne, universiteterne og alt hvad der jf. Helge Sanders 'fra forskning til faktura'-doktrin ligger ind midt imellem af public-private partnerships.

I øvrigt er alle de førnævnte forbehold noget, som også praktiseres i praksis og har været det inden Windows 7 reelt gik EOL, bl.a. for at kunne imødekomme dén dag, hvor sikkerheden reelt ellers ville kunne gøre selve det milliondyre apparat EOL, og ikke kun Windows 7...

Jeg er helt enig med Martin Dahl, der i tilgift undrer sig over den manglende priducentfokus på åbne platforme og dermed i særdeleshed Linux - særligt, når man ser på, hvor relativt ofte der er tale om embeddede løsninger med en slags 2-in-1 hardwareløsning, der på det nærmeste er noget, hvor Linux vil kunne udvise sine største forcer i form af portabilitet og adaptabilitet.

Jeg har eks. oplevet embedded Windows CE på et gensekventienringsapparat til et par millioner eller tre, hvor jeg ikke kunne andet end undre mig helt enormt over hvilket gamle dén slags synes at være med ens kunders investeringer i en sektor, der burde være alt andet end en simpel cash cow!

Man burde forbyde Windows som OS i kritisk infrastruktur.

Nej, men man burde stærkt overveje hvordan man forbinder kritisk infrastruktur indbyrdes og med "omverdenen".

At tro en "havelåge med pigtråd" aka firewall, netværkssegregering og diverse (semi)automatisk overvågning til evig tid vil forhindre læk, hacking, angreb og forstyrrelse/ødelæggelse er det samme som at tro man kan pisse i bukserne uden at blive våd.

Systemer skal adskilles fysisk og systemer der ikke behøver internet skal ikke kommunikere via internet bare fordi det er det nemmeste/billigste. De skal slet ikke være i nærheden af internet rent elektrisk.

Kæden er aldrig stærkere end det svageste led og pt. er der alt for mange svage led.

Man burde forbyde Windows som OS i kritisk infrastruktur.

Hvor er jeg enig med Finn Hansen, det er en usandsynlig dårlig artikel, og tag lige og skyd nogle af de der sikkerhedskonsulenter. Vi har hørt den samme sang, hver gang der kommer en ny Windows version. Jeg kan ikke huske endnu at have hørt noget om, hvor forfærdeligt det gik for de stakler der ikke så lyset i tide, og fik sendt en masse penge til Microsoft. Sikkerheden i diverse IT installationer afhænger næsten i højere grad af den omkringliggende struktur, end af hvilken Windows Version der er på computeren.

Hej - Windows 7 er på vej i graven, men egentlig så synes den ikke at være så gammel i mit univers. Jeg kan godt forstå hvis det halter med opgraderinger på nogle kritiske anvendelser, som f.eks. i hospitalsvæsentet. Forhåbentlig så lærer "de" efterhånden lektien og vælger en helt anden model. Med Windows 10 blev vi vel egentlig lovet en anden model, men lige nu ser det ud til at dette kører af sporet.

Spørgsmål - er det muligt at pakke en Windows 7 OS ind i en form for virtuel maskine, som beskytter? ... bare så man ikke endnu en gang skal til at se på interfaces til diverse udstyr som f.eks. MR-scannere osv.

Venlig hilsen, Claus

Præcis!

Det er min erfaring (og jeg har arbejdet med alle regionerne) at de fleste overhovedet ikke har en segmentering mellem almindelige PC'ere og diagnostiske maskiner, samt mellem PC'erne og databasesystemer, f.eks. med patientdata eller DICOM-data, eller også er segmenteringen hullet som en si.

Det var voldsomt fatalt for engelske NHS da de fik ransomware ind på nettet, og en hacker kan let gøre hvad ransomwaren kunne på nettet - og meget mere til.

Der skal bare en enkelt phishing-mail til...

Det er først i dette århundrende at vi mærker de globale omkostninger ved at binde missionskritiske systemer til proprietære operativsystemer.

Det totale TCO på verdensplan forøges væsentligt når diverse systemer tvinges til at følge med opgraderinger til nyere og ikke-bagudkompatible versioner af operativsystemer.

Disse opgraderingsomkostninger indeholder intet af velfærdsskabende værdi, og som sådan er det et globalt velfærdstab som tages fra andre områder der kunne bringe liv, sundhed, undervisning, pleje osv.

Også nuværende opensource OSer har en end of life, men sagen er at omkostningerne ved at sikkerheds-vedligeholde en kompatibel version af et OS nødvendigvis må være størrelsesordner mindre end de globale omkostninger, ved at blive tvunget til opgraderinger af utallige afhængige systemer.

Hvis alle hospitaler alene tilsidesatte 1% af deres totale Windows opgraderingsomkostninger for disse systemer, så ville man kunne betale for en LTS af samtlige linux mm. versioner frem til år 2999.

Eller sagt på en anden måde. Det er håbløst at en CT scanner i millionklassen skal skrottes eller opgraderes forbi at den nye version af det funklende operativsystem kommer med et ny 3d version af minestryger.

Der er behov for et OS uden udløb, eller som minimum med et udløb der kan financiers direkte af interessenterne.

Det er kun ved consumer udgaven af Windows 10 det er et problem.

I enterprise sammenhænge styrer alt der hedder opdateringer fra centralt sted med enten Windows Server Update Services (ikke så sandsynligt) eller med System Center Configuration Manager (langt mere sandsynligt).

Så der vil du ikke opleve, at opdateringer bare bliver installeret på kritiske systemer - med mindre de folk der sidder med det selvfølgelig ikke tester dem først i et test miljø - men der er det en brugerfejl, ikke en fejl i systemet.

Jeg ville hellere leve med windows 7, hvor man stadig har en vis kontrol over computeren, frem for Windows 10, som med tvingen update, sinkre at skadeligt software til enhvertid kan installeres !

Den dag windows 10 rammer hospitalsverdnen , er sikkerhedet TOTALT sat over styr !

Find andre løsninger og veje !

Tak !

Der kan gøre meget for at minimere risikoen.

Man kan sørge for at alle enheder er på PVLAN, dvs maskiner på samme segment ikke kan nå hinanden, og så i routerne sørge for at der netværksmæssigt er lukket mest muligt ned. Dvs maskinerne vil så ikke kunne nås fra andet af netværket end et management segment, og vil selv kunne nå ret få ressourcer.

De skal selvfølgelig ikke kunne nå Internet, mail etc, udover gennem noget remope desktop (Citrix, RDP etc). Dog skal de typisk kunne uploade data til filservere, som man skal have styr på.

Hvis man fjerner infektionsvektorerne og spredningsvektorerne med stærk styring af netværksadgange, så er det vel begrænset hvor stor en risiko de udgør.

Men lockdown kan godt være et dyrere projekt end en opgradering, og det kræver et andet skillset, som der ikke er et stort overskud af.

Mange steder i det offentlige, lever maskinen vel med det fødte OS indtil sin dødsdag.

Man skal også huske at Windows 10 op til 1703 er ude af support, 1709 og 1803 udløber begge i år. Og selv den nyeste Windows 10 udløber om knapt 2 år. Så man er tvunget til at løbende opgradering hvis man vil have support.

Nu skal man også huske, at en del af det kritiske kontroludstyr i medico branchen kun er certificeret / godkendt med helt specifikke releases af OS. Hvis man opgraderer OS, så forsvinder godkendelsen.

Dette er jo som Corona panikken - det er en medie panik som med År 2000 skiftet fuldstændig galt. Indtil 2000 var det helt enkelt ikke tænkeligt at bruge et Windows eller Microsoft produkt som styresystem, fordi det var uforudsigeligt i real tid og usikkert. Det er i kritiske systemer derfor yderst begrænset hvad der er brugt af W7 etc men i stedet sikre 'gamle' systemer. Til det administrative herunder journalsystemer er situationen anderledes. Men her er der ikke tale om kristiske data og dosering som påstået men om risiko a la det nyopfundne GDPR, og det har jo som vist her ikke den store betydning for den offentlige sektor.

Så hold nu hestene og tænk lidt fornuftigt. I øvrigt må en masse kunne klare sig med effetkive firewalls og proxy systemer - det er da netop sådan et sted det kan gøre nytte. Og skyen?? Ja jeg må sige jeg er noget rystet over hvor åbne samtlige std opsætninger af hjemmeside hosts er - det er rystende. Alle de gode sikekrheder som linux tilsidesættes helt - det er nok for svært?

Altså har man også her valgt at skovle skatte penge ud af vinduet fordi man ikke har udvist retidig omhu!
Penge man vel at mærke intet får for, andet end at købe sig lidt tid...

Okay det er så kun knap 2 millioner kroner for region sjællands 12.000 maskiner ($25 / stk). Ikke så dyrt som jeg regnede med, men dog stadig ærgelige penge.

citat: "er dårligt sikret mod hackere, fordi regionernes it-afdelinger stadig holder fast i at bruge det mere end ti år gamle styresystem Windows 7." citat:"Med et klik kan man skrue op for dosen og slå patienterne ihjel – uden at det kan ses på udstyrets skærm,« siger Itzik Feiglevitch." citat: "Man bliver ramt af noget grimt på et eller andet tidspunkt,« siger han og fortsætter:"

Behøver jeg at sige, disse udtalelser er klikbait og kun tjener et formål at skærmme og tjene penge...

Uanset, så kan man sige præcis det samme om Windows 10 - det er lige så usikket om end endnu mere, da Microsoft har snaplen nede i hver eneste ene maskine på verdensplan der er koblet på internettet (tjek deres tvungen windows update funktion), denne snapel har de endnu ikke trukket til sig - "opsamling af data" under påskud af, at de bruges til at forbedrer systemet. Denne opsamling kan de ikke på Win7 og nedaf, og hvis de forsøger, så kan man netop forhindre det via blokade. Mht. sikkerhed, så fatter min lille ubrugte hjerne ikke, at man synker så lavt som at skrive sådan en artikel, uden samtidig at sige, i går Microsofts ærinde. Om systemet kører win7, win8 eller win10 så er de sådan ca. lige usikre, hvis man ikke som ejer gør noget fornuftigt og sikre sin maskine (det tror jeg på regionerne gør) - at læne sig op af Microsoft defender og anitivrus program er som at pee i modvind, man rammes af alskens ulykker, dog kan de gode usaér kikke med og have adgang, det kan de kun med noget større besvær, hvis man som ejer selv gør en aktiv indsats for at sikre maskinen/maskinerne både med antivirus, malwareagent og firewall etc. og ikke kobler kritisk infrastruktur på internettet, men har det kørende på et seperat net som er adskildt af en stærk firewall eller helt simpelt slet ikke har kontakt med omverden uden for sit eget netvæk. Her tænker jeg på røntgen og doserins maskiner etc. på hospitaler - jeg fatter i min lille hjerne ikke hvorfor man ukritisk bringer sådan en i mine øjne dum artikel som kun har til formål at lave "indtjening", det er lavt gået. Mod de aller stærkeste hackere, kan vi kæmpe forgæves, de skal nok finde vejen ind også hvis man skifter til den ufattelige gode Windows 10 som er guds gave (gratis/tvunget gratis) på jord. Blot mit opstød over noget jeg lige faldt over og naturligvis aner jeg ikke hvad jeg snakker om selv om jeg er uddannet på området.

Det lyder meget plausibelt at fordi IT-budgettet er så ekstremt overskredet pga. sundhedsplatformen er der ikke råd til andet end livsnødvendige IT-udgifter...

Ja det kunne det være hvis der ikke også i samme artikkel står: "...købt den såkaldte ‘udvidede support’ fra Windows 7-producenten, Microsoft..."

Altså har man også her valgt at skovle skatte penge ud af vinduet fordi man ikke har udvist retidig omhu! Penge man vel at mærke intet får for, andet end at købe sig lidt tid...

Jeg kunne til nød gå med til at der var enkelte maskiner man ikke kunne opdatere pga. af speciel software, men der står at halvdelen af alle computere i region sjælland kører windows 7. Det er der altså ikke nogen undskyldning for!

Og hvordan det så står til med patching tør jeg da slet ikke tænke på så ?

Det lyder meget plausibelt at fordi IT-budgettet er så ekstremt overskredet pga. sundhedsplatformen er der ikke råd til andet end livsnødvendige IT-udgifter...

Jeg tror også, man kan kalde det prioritering.

I Region H skal man vælge iblandt følgende:

A) Skal vi bruge en mindre sum på opdatering af usikre og forældede styresystemer? B) Eller kaste pengene i grams efter udenlandsk IT-konsulentbistand og skyhøje meromkostninger, det kræver at drifte den elektroniske patientjournal, Sundhedsplatformen?

De har valgt...

27.06.19, Lønomkostninger til Sundhedsplatformen nærmer sig fordobling:https://itwatch.dk/secure/ITNyt/Politik/article11467135.ecehttps://www.regionh.dk/politik/spoergsmaal-fra-regionsraadet-til-administrationen/Documents/2019/Svar-paa-spml-051-19-vedr-udgifter-relateret-til-Sundhedsplatformen-stillet-af-Jacob-Rosenberg.pdf10.07.19: https://itwatch.dk/secure/ITNyt/Brancher/branchesoftware/article11484221.ece31.07.19: https://politiken.dk/indland/art7315500/Danmark-delt-i-to-%E2%80%93-med-en-dyr-og-en-billig-patientjournalhttps://politiken.dk/indland/art7315507/Jysk-fynske-regioner-v%C3%A6lger-dansk-og-sparer-millioner

Det koster 370 millioner kroner om året at holde Sundhedsplatformen kørende. Det er 5 gange så meget, som de betaler for deres elektroniske patientjournal i Region Midtjylland. 04.08.19: https://politiken.dk/forbrugogliv/sundhedogmotion/art7319019/Sundhedsplatform-er-langt-dyrere-i-drift-end-jysk-model04.08.19, Sundhedsplatformen er en god forretning for Epic:https://politiken.dk/indland/art7319322/Men-Sundhedsplatformen-en-god-forretning-for-USA-firma07.08.19, Region Sjælland: https://www.dr.dk/nyheder/regionale/sjaelland/amerikanske-konsulenter-faar-millioner-drive-sundhedsplatformen06.10.19: https://politiken.dk/indland/art7425291/Sundhedsplatformen-koster-770-sygeplejersker-i-Region-Hovedstaden

En Sundhedsplatform, der – som alle ved – er et utroligt arbejdsredskab for klinikere og sundhedspersonale
07.11.19: https://www.dr.dk/nyheder/regionale/sjaelland/ud-af-tre-laeger-er-utilfredse-med-sundhedsplatformen-det-er-en

Og gør Region H og Sjælland til ”fremtidens sundhedsvæsen i verdensklasse”!

40 maskiner resten af året (uden ferier og weekender) lander iflg. min hovedregner kun omkring halvgået. Eller måske er "enkelte undtagelser" management-speak for ca. halvdelen af de 12.000?

Hvis man kun læser denne artikel ser det jo helt uansvarligt ud.

Men hvis man læser den relaterede artikel kan man se at Regionen faktisk har taget nogle sikkerhedstiltag:

...forskellige sikkerhedsmetoder for at sikre de mange tusinde Windows 7-maskiner.</p>
<p>Nogle har helt lukket ned for internetadgangen til og fra enhederne. Andre har lavet såkaldte whitelists, der gør, at de kun kan tilgå godkendte forbindelser.</p>
<p>Alt sammen er lappeløsninger for at kompensere for det usikre styresystem. Lappeløsninger, der alle koster tid og penge, påpeger den selvstændige it-sikkerhedskonsulent Jens Roed Andersen

https://www.version2.dk/artikel/derfor-boer-windows-7-lade-livet-1090168

Som det påpeges er det ikke en langsigtet løsning, men jeg synes det ville være fair at inkludere det i denne artikel i stedet for at hænge Regionen helt ud...

Fra artiklen:

12.000 af de forældede enheder står i Region Sjælland, ...

og

»Det er planen, at alle Windows 7, med enkelte undtagelser, er skiftet til Windows 10 inden udgangen af 2020«.</p>
<p>Hans medarbejdere skal således opdatere 40 Windows-maskiner om dagen resten af året, også i weekenden.

40 maskiner resten af året (uden ferier og weekender) lander iflg. min hovedregner kun omkring halvgået. Eller måske er "enkelte undtagelser" management-speak for ca. halvdelen af de 12.000?

Et godt bud er vel at starte med at se på nødvendigheden af netværksopkobling, segmentering, og CIS Benchmarking?

Udfordringen med at opgradere kan jo være reel ift. legacy-systemer, som der ikke er (flere) alternative leverandører på?

Måske nogle der kører Windows 7 kan supplere artiklen med deres tricks til at humpe videre på W7 så sikkert som muligt?