Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

Medische gegevens van duizenden Brabanders zouden eenvoudig opvraagbaar zijn geweest via de website van medisch onderzoekscentrum 'Diagnostiek Voor U'. De informatie was beveiligd met een eenvoudig te raden wachtwoord.

Diagnostiek voor U

Dat meldt Omroep Brabant, dat een tip kreeg van Henk Krol, lijsttrekker van de partij 50Plus. Medisch onderzoekscentrum 'Diagnostiek Voor U' doet bloedonderzoek voor onder andere ziekenhuizen en huisartsen, waarbij medici via de webapplicatie Cyberlab laboratoriumuitslagen konden invoeren en inzien. Volgens Krol ontdekte een partijlid dat met een eenvoudig te raden wachtwoord toegang tot het systeem verkregen kon worden en duizenden medische dossiers van Brabanders opgevraagd konden worden.

Uit de medische gegevens zou onder andere opgemaakt kunnen worden of patiënten drugs of alcohol hebben gebruikt, terwijl ook het medicijngebruik inzichtelijk was. De Cyberlab-website is inmiddels 'wegens een beveiligingsincident' uit de lucht gehaald. Diagnostiek voor U stelt dat het alle belanghebbenden zal inlichten over de problemen.

Update 18:50: Diagnostiek voor U meldt in een persbericht dat de inloggegevens van een bestaand artsenaccount door een 'individu' zijn gebruikt. Het onderzoekscentrum stelt dat 'voor zover bekend' er geen aanwijzingen zijn dat patiëntgegevens zijn gekopieerd. Daarbij zou navraag gedaan zijn bij Krol en zijn partijgenoot. Het is onduidelijk hoe de inloggegevens in verkeerde handen zijn gekomen.

Reacties (64)

Reactiefilter:-164063+146+28+30
Moderatie-faq Wijzig weergave
Precies een van de redenen waarom zoveel mensen tegen centraal patiŽnten database zijn.
Er hoeft ergens maar een domme fout te zitten en al je gegevens liggen op straat.
Dat is nog tot daar aan toe, maar het wordt inderdaad pas echt link als men ook die gegevens kan bewerken.

Zonder dat je het weet heb je dadelijk ineens de meest vreselijke ziekten.
Buiten dat wordt dat qua verzekeringen en dergelijke ook ineens een groot drama en ben je nog veel verder van huis.

Het is toch wel bijzonder kwalijk dat persoon die hier verantwoordelijk voor is hier zo gemakkelijk mee om is gegaan.

[Reactie gewijzigd door B_FORCE op 19 april 2012 15:37]

Echt bizar inderdaad hoe iemand die met dit soort vertrouwelijke gegevens om moet gaan kiest voor zo'n simpel wachtwoord dat het te raden is (klinkt als: we hebben het niet eens hoeven brute forcen). Hoe lui kun je zijn als je je eigen moeite om een paar tekens in te toetsen bij het inloggen boven de beveiliging van dit soort gegevens stelt? :X

Maar zoals altijd loopt dit met een sisser (lees: kamervragen door de oppositie, verder geen serieuze actie) af. Zo'n instantie moet een flinke boete krijgen en onder een soort van ICT curatele geplaatst worden.

En ja, de discussie of je dit soort zaken nu wel centraal moet opslaan is een heel terechte. Ik heb eerlijk gezegd meer vertrouwen in het kaartenbakje van mijn huisarts dan in de ICT-skills van een halve overheidsorganisatie.

Als het ook nog eens zo is dat (zoals hierboven door iemand beweerd wordt, maar niet met zoveel woorden in het artikel staat) met het gehackte account ook gegevens gewijzigd konden worden, is het niet alleen privacy schending, maar potentieel nog heel gevaarlijk ook!

[Reactie gewijzigd door Grrrrrene op 19 april 2012 15:46]

Echt bizar inderdaad hoe iemand die met dit soort vertrouwelijke gegevens om moet gaan kiest voor zo'n simpel wachtwoord dat het te raden is (klinkt als: we hebben het niet eens hoeven brute forcen). Hoe lui kun je zijn als je je eigen moeite om een paar tekens in te toetsen bij het inloggen boven de beveiliging van dit soort gegevens stelt? :X
Het is bizar dat iemand een simpel wachtwoord KAN maken. Password rules anyone?
centraal patiŽnten database
En daarom bestaan die dingen ook niet ;)
Maar is het 'het' EPD een schakelpunt waar via een met UZI-passen beveiligde verbinding data wordt verstuurd en waar de data alleen in het bronsysteem blijft opgeslagen (bijv. bij je eigen huisarts)
Het is al link als de gegevens uberhaupt zichtbaar zijn. Niet voor gezonde mensen, maar als je een chronische ziekte hebt of je bent bijvoorbeeld depressief geweest, en dat lekt uit, dan kun je grote problemen krijgen als je bijvoorbeeld een nieuwe baan zoekt. Officieel mogen werkgevers hier niet naar vragen, maar als ze op de achtergrond zo'n bestand hebben gekocht en je daar ff in checken...

Wordt nog gevaarlijker omdat de afkomst van dit soort bestanden op een gegeven moment onduidelijk wordt. En daarmee de betrouwbaarheid. Straks kun je geen baan meer krijgen omdat degene onder jou op de lijst HIV had en de aandoeningen een positie verschoven zijn t.o.v. de namen...
"Volgens Krol ontdekte een partijlid dat met een eenvoudig te raden wachtwoord toegang tot het systeem verkregen kon worden en duizenden medische dossiers van Brabanders opgevraagd konden worden."

Komt niet echt overeen met wat er op de site van oproepbrababant en Diagostiek voor U staat.
Er zou gebruik zijn gemaakt van een account van een arts (wellicht met als wachtwoord de naam van de arts). Het lijkt hier niet om een admin wachtwoord te gaan, tenzij deze arts toevallig Dr. Admin zou heten.

Informatie van Diagnostiek voor U:
"Wij zijn nu aan het inventariseren wat er exact aan de hand is en hebben contact gezocht met de leverancier. Zoals het er nu naar uitziet heeft een individu zich toegang verschaft tot het systeem door de bestaande inlognaam en wachtwoord van een arts die toegang had tot de gegevens van zijn patiŽnten te misbruiken. Voor zover bekend zijn er geen gegevens gekopieerd en buiten het systeem geplaatst. Er zijn dus geen aanwijzingen dat er gegevens op straat liggen."
Dit klopt toch? Toegang tot het systeem wil niet zeggen dat men admin rechten krijgt. Toegang tot de dossiers / uitslagen is al erg genoeg.
Het ging er eigenlijk om dat het erop leek dat je met een algemen naam en wachtwoord in kon loggen.

Op de site van Omroep Brabant staat inmiddels inderdaad het verhaal dat dokter x zijn gebruikersnaam deelt met zijn wachtwoord. Username: Dr.Kiswum = ww: Dr.Kiswum

"De vijfcijferige inlognaam voor gebruikers bleek hetzelfde als het wachtwoord. Een lid van de partij van Henk Krol, 50Plus, ontdekte het lek."
En daar hebben we het grootste gevaar van het EPD of soortgelijke initiatieven. De beveiliging zal nooit zodanig zijn dat er niet van tijd tot tijd gegevens op straat komen te liggen.
Ik zeg dus niet dat de beveiliging niet ijzersterk KAN zijn. Ik geloof best dat dat theoretisch goed mogelijk is als zelfs praktisch kan ALS men er het op een juiste manier implementeert en onderhoud ect.
Maar dat is het 'em; van die ALS mag je niet uitgaan. Je moet in je eigen handelen altijd rekening houden met de incompetentie van organisaties (zeker als het om overheid of semi-overheid gaat). Dus is voor mij als individu een EPD of iets soortgelijks volstrekt niet acceptabel omdat ik simpelweg geen invloed heb op de securitypolicy van de organisatie.
Dan heb ik trouwens nog niet eens over het misbruik dat binnen een goedbeveiligd systeem kan worden gepleegt. Denk daarbij aan de apothekersassistente die zo af en toe wat gegevens opzoekt van mensen die klant willen worden bij een verzekeraar omdat ze daar een kleine vergoeding voor krijgt. En mensen die dat ver gezocht vinden: hahaha en ha voor uw naiviteit. Die dingen gebeuren. Nu al.
Integendeel!
Dit voorbeeld laat juist het gevaar zien, van het ontbreken van een centraal EPD. Want dan gaan de medische instellingen op kleine schaal, met kleine projectes aan de slag, bij instellingen die te weinig kennis hebben, en wordt de beveiliging een ondergeschoven kindje.

Bij het landelijke centrale EPD zou beveiliging juist een hoofdthema zijn, en zou daar enorm veel werk aan besteed worden, door professionals op dat gebied. Verder zou het ook ťťn te controleren systeem zijn, waardoor externen heel snel eventuele problemen aan de kaak zouden kunnen stellen. Daardoor heb je ook ťťn te controleren security policy.
Met een versnippering van verschillende systemen kan dat niet, en heb je dus veel meer kans op slechte security, zoals in dit voorbeeld.
O ja, natuurlijk. Security zou ongetwijfeld hoog op de agenda komen, er zullen miljoenen aan besteed worden en uiteindelijk blijkt de sufste hacker er met drie muisklikken toch in te kunnen. Want we weten allemaal hoe het gaat met grote IT-projecten in dit land...
O ja, ik had even over het hoofd gezien dat beveiliging bij het EPD een hoofdthema zou zijn. En aangezien het een hoofdthema is dat dan vanuit een ministerie strak en professioneel gemanaged gaat worden, komt het helemaal goed. Hoe komt het dat ik niet geloof dat dit inderdaad zal verlopen zoals de bedoeling is? O wacht even, omdat ik al teveel berichten heb gezien van een enorme IT-fail bij de overheid. Maar deze keer.....misschien....ja....lukt het...wel......wellicht....
Come on. Get real. Als je 5 keer faalt op iets is de les niet dat je het een zesde keer moet doen, maar dat je dat iets met rust moet laten. Dat snapt iedereen, behalve 1 bepaalde kaste. Laat dat nou net de kaste der politicie zijn.
Denk daarbij aan de apothekersassistente die zo af en toe wat gegevens opzoekt van mensen die klant willen worden bij een verzekeraar omdat ze daar een kleine vergoeding voor krijgt. En mensen die dat ver gezocht vinden: hahaha en ha voor uw naiviteit. Die dingen gebeuren. Nu al.
/sarcasm on
Serieus?! Welke verzekeraar doet dat? Ik heb nog 5000 patiŽntendossiers te koop!
/sarcasm off
Laat me niet lachen, dat is niet alleen ver gezocht, maar gewoonweg niet waar. Ik mocht serieus willen dat de verzekeraars daarvoor betalen, maar dat doen ze niet. Waarom zouden ze iets onwettelijks doen als ze ook gewoon een iPad weg kunnen geven online Šls je ten minste even een vragenlijstje invult (vergis je niet hoeveel mensen dat doen. De Thuisapotheek had 100000 inschrijvingen die ze voor een groot deel op deze manier binnenhaalden).
Bovendien (nog veel belangrijker), ze hebben alle informatie al lang gekregen van je huisarts en de apotheek omdat iedereen zo stom is een naturapolis te nemen. (Bij restitutie heb je dat ook, maar heb je de mogelijkheid zelf bepaalde declaraties niet in te sturen)
Prima dat je kritisch bent op beveiliging van EPD's e.d., maar laten we het wel de feiten houden.

En iedereen loopt overigens leuk af te geven op de overheid en hun prioriteit bij beveiliging, maar laten we niet vergeten dat dit nu gebeurd is bij een private organisatie, die ongetwijfeld uit budgetoverwegingen (vaak nog meer dan de overheid) een of andere kneus dit heeft laten implementeren.

[Reactie gewijzigd door Oorlam op 19 april 2012 22:43]

Kwalijke zaak. Dat je website bijvoorbeeld gehackt wordt is tot daar aan toe, maar om een simpel te raden wachtwoord te gebruiken voor iets dat absoluut niet "op straat" hoor te komen, is zťťr onprofessioneel en bezwaarlijk.
En we hebben mogen kennisnemen van een ander misstand: Men heeft toegang tot alle dossiers.

En dan bedoel ik niet hackers, lekken oid, maar gewoon mensen die volgens de normale gang van zaken toegang hebben tot het systeem.

Dus niet alleen mijn behandelend arts heeft toegang tot mijn gegevens, maar anderen ook. Vast wel de beheerders van het systeem, want ondanks dat ze zouden moeten zorgen dat mijn dossier ook niet voor hen in te zien is, gebeurt dat zelden. Een admin is vaak God op zijn systemen.
En misschien heeft wel elke arts, of apotheken, de receptioniste, of misschien zelfs wel iedereen die toegang tot het systeem de mogelijkheid mijn dossier in te zien en wordt er op goed fatsoen vertrouwd dat niemand even voor 'de lol' het dossier van de koningin, of zijn buurman opent.

Dat is potentieel een grove schending van privacy, medisch beroepsgeheim, vertrouwen, etc. Een systeem dat dit toestaat zou niet mogen bestaan, maar we hebben zojuist geleerd dat het wel bestaat.

Mijn medisch dossier zou door mij en mijn artsen ingezien/aangepast moeten kunnen worden, verder door niemand zonder mijn toestemming, zelfs niet de beheerder van het systeem. Maar behalve dat ik er zelf niet eens toegang toe heb, hebben anderen dat blijkbaar wel.
Ik ben bang dat door je commentaar mensen bang gaan worden voor gezondheidsdossiers in de bredere zin van het woord en niet alleen voor dit soort on-line dossiers.
Als je dit namelijk vindt van alle zorgdossiers, wat ik toch wel proef, loop je door je stricte houding zeer veel gezondheidsrisico's. Zorgverleners (en ja, daar vallen apotheken ook onder, en nee secretaresses niet) mogen nu al alleen met een zorgvraag je dossier inzien. Wel vreemd dat je alleen je behandelend arts toestemming wilt geven. In noodgevallen kom je in het ziekenhuis. Daar lopen andere artsen, die vast ook graag je medicijngegevens inzien, dan bellen ze je apotheek. Wel lastig als die je dossier niet in mag zien. Er zal dus voor zorgverleners altijd een mogelijkheid moeten zijn om bij een zorgvraag je dossier in te kunnen zien. En we hebben allen inderdaad beroepsgeheim en ik mag toch graag denken dat we ons daar allen aan houden. Daarnaast gaan we niet uit van goed fatsoen, maar is er wel degelijk een toezichthouder.
Prima dat je wilt dat alles goed geregeld is, maar je moet wel heel erg oppassen dat je privacy ergens niet ten koste gaat van je gezondheid. Amerikaanse taferelen lijken mij niet gewenst.

Overigens ben ik wťl van mening dat het onverstandig is dit soort dossiers online te zetten. Momenteel gebeurt dit in een goed beveiligde omgeving waarbij elke opvraging gelogd wordt etc.
Kwalijke zaak. Dat je website bijvoorbeeld gehackt wordt is tot daar aan toe, maar om een simpel te raden wachtwoord te gebruiken voor iets dat absoluut niet "op straat" hoor te komen, is zťťr onprofessioneel en bezwaarlijk.
En "dit soort" ziekenhuizen gaat straks een Electronisch Patienten Dossier beheren ...
Ben blij dat ik me afgemeld heb voor het EPD.
Het EPD zal best "beter" beveiligd worden, maar mijn vertrouwen blijft weg.
Bijna alle ziekenhuizen slaan alle of bijna alle patiŽntengegevens digitaal op in een centraal systeem. Het voordeel van een landelijk EPD is dat er ook strengere eisen aan de beveiliging zullen zijn, waarbij de patiŽnt natuurlijk gebaat is.

Het is absoluut een illusie om te denken dat als er geen landelijk EPD komt jouw gegevens beter beschermd zijn. Dan ben je afhankelijk van allerlei lokale ICT afdelingen van ziekenhuizen.
Mooi voorbeeld van hoe ze in ziekenhuizen omgaan met wachtwoorden. De EO heeft zo'n real live ziekenhuis programma, waar vorige week vol in beeld een monitor te zien was met daarop username/password combinatie. Keurige witte goedleesbare sticker op de rechter bovenhoek van het display.....
Dat is het beveiligingsniveau wat ziekenhuis personeel normaal vind. Dat je een sticker op een monitorplakt met deze gegevens. Zelfs zo normaal dat ze er niet eens bij stil staan dat er een cameraploeg langskomt en dat je dan dat soort gegevens moet verbergen.
Vaak zijn dat de inloggevens voor de computer zelf, niet voor het EPD. Je kunt dan dus niet bij patiŽntengegevens.
Zou aan de andere kant ook lullige zijn als de medewerker het zo moeilijk wachtwoord is vergeten, vanwege de beveiliging met special tekens , letters ,getallen en hoofdletters. En dat jij dan ligt dood te gaan op het bed omdat ze de eerst wachtende is bij de ict helpdesk om het wachtwoord te resetten.
Het nadeel is dat het landelijke EPD een verzameling wordt van alle losse systemen en dat een fout in een van de vele schakels de beveiliging van alle dossiers van Nederland compromitteert.

Ja, beter richtlijnen, maar een veel groter risico (meer dossiers) en veel meer plaatsen waar het fout kan gaan.

Als elke arts nog gewoon zijn eigen kaartenbak op zijn kantoor heeft staan is van beveiliging nauwelijks sprake, maar lekken er ook nooit duizenden dossiers uit.
password, wachtwoord, ziekenhuis, patient, ziek, geheim...

Ben toch benieuwd wat dat wachtwoord dan wel niet was. Het is echter schandalig hoe sommige systeembeheerders omgaan met de veiligheid binnen hun bedrijf. Die mensen zouden per direct een cursus internetveligheid moeten gaan volgen. Een enorm aantal bedrijven in nederland worden dagelijks gehackt omdat de beveiliging gewoon niet in orde is, terwijl het in princiepe niet zo´n hele moeilijke taak is voor iemand die er een beetje verstand van heeft.
mwa. als je wil kom je er altijd wel in mits je genoeg skills hebt. niks is waterdicht ;-)
en beveiliging == geld
en voor de programeurs onder ons:
Zorg =! geld...
Hack jij dan maar eens AES256 versleutelde bestanden, succes. ;)

Of probeer maar betalingsverkeer van sns te hacken, zul je zien dat het toch wel zo lastig gemaakt kan worden dat je kan stellen dat het komende 10 jaar of langer niet gehack kan worden. Je hebt gelijk alles is te hacken, maar niet alles is ook te hacken in redelijk tijd dat het aantrekkelijk is. Als je 20 jaar moet wachten voordat je de sleutel heb geraden dan is het dus hackbaar maar geen hacker die het voor elkaar krijgt op dit moment en tegen die tijd zijn we lang weer over op AES 2048 of zo. Je blijft dus wachten en wachten en zal nooit voor elkaar krijgen om erbij te komen voordat ze weer overgestapt zijn naar sterker beveiliging.
Dan loopt de hacker even bij een huisarts naar binnen, deelt een paar tikken uit en loopt vervolgens met wachtwoorden op zak naar buiten.. Zie bijvoorbeeld deze strip: http://xkcd.com/538/

Daarbij als de website de gegevens in de database kan zetten, is de kans ook ontzettend groot dat deze de gegevens weer uit de database kan halen. Dat maakt de encryptie in de database niet meer dan een wassen neus.

Je kan natuurlijk elk record afzonderlijk gaan encrypten, maar dan kun je weer niet gebruik maken van de aggregate functies van je database. En reken maar men vaak cijfers uit die database wil hebben.

Het grootste probleem is en blijft is dat dergelijke database gebruikt worden door mensen en die houden niet van lastige wachtwoorden. En daar zit dus de zwakste schakel.

Een beter instrument is autorisatie welke bepaald welke user bij welke gegevens mag. Is vele malen eenvoudiger te implementeren en vaak ook effectiever. Zo hoeft een huisarts alleen bij de gegevens van zijn eigen patienten te kunnen. Dus zelfs als dan de login gegevens achterhaald worden, dan nog is het aantal gegevens dat ingezien kan worden beperkt..
Klopt volledig.
Echter dan ben je op vakantie in de Veluwe, wordt je daar ziek en heb je daar medische hulp nodig en wilt de huisarts daar je gegevens in kijken. Om die reden moet het dus mogelijk zijn een ruimere toegang te krijgen.

…ťn mogelijke oplossing zou zijn met een smartcard die je dan als patiŽnt bij je moet hebben. Helaas licht die dan toevallig thuis of had je die niet mee naar het zwembad/strand/... toen je die beroerte kreeg.

De RIFD-chip die in je hand of voorhoofd gezet wordt (maart 2013 in de USA) is om weer andere redenen heel eng. Daar heb je immers als houder geen enkele controle meer over.
In dit specifieke geval is je voorbeeld niet van toepassing.
De onderzoeksresultaten in die database zijn bedoeld voor de arts die het onderzoek heeft aangevraagd.
(Ookal betwijfel ik dat die arts op de Veluwe een account heeft bij een bedrijf dat voor Brabantse artsen en ziekenhuizen werkt.)

In de praktijk zal die arts in de Veluwe contact opnemen met jou huisarts, of wanneer dit niet lukt en het dringend is mag je naar het ziekenhuis waar het nodige onderzoek met spoed uitgevoerd wordt. Zo nodig gewoon opnieuw.

Het is ook helemaal niet de bedoeling dat iedere arts zomaar bij ieders gegevens kan. Zie de hele discussie over het EPD.


Mijn mening
In dit geval zou dit instituut inderdaad geen toegang tot de gegevens van andere patiŽnten moeten geven. Juist de verspreiding van die informatie zorgt voor een verlaging van het risico.

Maar wat die hacker betreft die de arts slaat. Wat dacht je van de pc van de arts? Je wil niet weten wat daar soms in staat ....
Of als je toch een hacker bent:
Hoeveel artsen zouden verstandig genoeg zijn om hun werk pc / netwerk los te houden van het internet?

Ja, een aparte pc voor het internet is zeker de moeite waart.

[Reactie gewijzigd door R-J_W op 20 april 2012 21:30]

De enige spelden die tussen dit verhaal zijn te krijgen zijn exploits.
Dat klopt niet wat je zegt. Encryptie werkt namelijk op een manier waarmee je zonder het juiste wachtwoord niets kunt. Alle bits, bytes en blocks (gewoon stukken van het totaal geencrypte bestand) worden op een manier door elkaar gehusseld en omgekeerd die alleen af te leiden is van het correcte antwoord. Het is waterdicht op bruteforce na, maar als je je wachtwoord lang genoeg maakt ben je een miljoen jaar bezig totdat je alle wachtwoorden hebt uitgeprobeerd.

Exploits zouden misschien te gebruiken zijn in het bankverhaal maar ik denk niet dat je die kunt toepassen op de bank. Wel zou het misschien kunnen op de gebruiker, maar een beetje antivirus prikt daar wel doorheen. Overigens word daar gebruik gemaakt van public key encryptie om de verbinding op te zetten.

Edit:
Mocht zich nog een zaak voordoen als bij Diginotar is het natuurlijk een ander verhaal.

[Reactie gewijzigd door M.l. op 19 april 2012 16:42]

Nou, ik kan je vertellen: ik werk in de zorg in de IT (niet onderdeel van zorgorganisatie) en we hebben het verschrikkelijk druk. Geld genoeg, zolang het op de langere termijn maar tot besparingen leidt.

[Reactie gewijzigd door CJ_Latitude op 19 april 2012 15:52]

Als ik van de zijlijn zie hoe de IT ingevuld wordt bij een zekere grote GGD, dan zou ik me bijna gaan schamen om het feit dat ik ook IT-er ben. Mijn handen jeuken om daar grote schoonmaak te houden en de zaak goed op poten te zetten. Zoals het nu is opgezet kost het enorm veel geld, vooral omdat gebruikers niet kunnen werken zoals ze moeten werken en stomweg heel veel niet kunnen doordat "IT heeft besloten dat...".

Ik krijg soms de indruk dat ze daar BOFH af en toe letterlijk toepassen.
Betekend dat niet gewoon dat jullie een mannetje tekort hebben? omdat daar geen geld voor is? Of meen je het echt dat jullie geen geld hebben
Wij maken software voor de zorg en zijn niet onderdeel van een zorgorganisatie.
Van de IT afdeling van een ziekenhuis mag je toch verwachten dat ze er alles aan doen om de beveiliging goed te regelen. Of is dat verkeerd gedacht?
Los van het simpele wachtwoord vraag ik me af waarom zo'n applicatie uberhaupt zomaar voor hele internet bereikbaar is. Het lijkt mij dat je zoiets alleen in je interne netwerk beschikbaar maakt en eventuele extra locaties via iets als een VPN koppelt.
De reden waarom de applicatie vanop het internet toegankelijk is, is omdat gewone huisdokters ook bloedresultaten willen kunnen consulteren. Die kunnen dan inloggen met hun account en enkel de resultaten van hun patiŽnten bekijken.
Als ťťn van die dokters (of enig welke gebruiker) een gemakkelijk paswoord instelt, kan je natuurlijk de applicatie gemakkelijk "kraken". Er is een optie in CyberLab die alle gebruikers forceert om een moeilijk paswoord in te stellen, maar de meeste ziekenhuizen zetten die optie af (zodat alle dokters stoppen met zeuren en terug 12345 als paswoord kunnen gebruiken...). Dat is het grootste probleem voor de developers van Cyberlab: er zitten zodanig veel opties in om vanalles en nog wat aan te passen maar die worden door de administrators niet altijd even goed ingesteld, ondanks goede begeleiding bij het installeren...
Cyberlab wordt ook in veel Belgische labo's (privť als in ziekenhuizen) gebruikt dus ik hoop dat dit nu geen plaag word...

[Reactie gewijzigd door Turbots op 19 april 2012 18:14]

Ik snap dat het makkelijk is om het gewoon vanaf internet bereikbaar te maken maar dat mag bij demate gevoelige gegevens NOOIT een argument zijn om concessies te doen aan de beveiliging.
Het is de klant (het ziekenhuis in kwestie dus) die ervoor koos om gemakkelijke paswoorden toe te laten... Ook al was er de optie om moeilijkere paswoorden af te dwingen.. De users (dokters) in kwestie wilden in dit geval die optie gewoon niet activeren.. Hun eigen schuld dus, en geen schuld bij de makers van het product!
Wat mij betreft krijgt het CBP het recht om aan dit soort partijen een miljoenen-boete op te leggen; dat lijkt de enige manier om security hoger op de agenda te krijgen
En, wat die boete uiteindelijk zou moeten doen; einde bedrijf
Handig, als het enige ziekenhuis in een streek opeens moet sluiten door een ICT fout. 8)7
Dit is natuurlijk wel echt levensgevaarlijk. Als er gegevens veranderd zouden kunnen worden, kan er natuurlijk cruciale informatie bewerkt worden, wat je natuurlijk niet moet willen.

Volgens mij hebben de meeste bedrijven nog niet door hoe gevaarlijk dit soort dingen kunnen zijn. Laatst ook de gateway van school eruit gegooit, omdat ze dit beveiligt hadden met...... gebruikersnaam:admin wachtwoord:password
Je kunt je ook afvragen waarom Cyberlabs de naam van een patient nodig heeft. SOA testen die via de GGD worden afgenomen worden alleen van een code voorzien. Het testlab heeft dan geen inzicht in wie er precies chlamydia heeft opgelopen.

Overigens moet ik daarbij opmerken dat de SOA EPDs van GGD ook online staan en bepaalde gevens bevatten die gebruikt kunnen worden voor identificatie. De maker is OrangeHill, dus dan weet je het wel...

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True