Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties

Databases met patiŽnteninformatie van ziekenhuizen kunnen alsnog toegankelijk zijn voor derden, ook als ze zijn versleuteld. Dat toont onderzoek van Microsoft aan. Medewerkers van het bedrijf analyseerden de databases van tweehonderd Amerikaanse ziekenhuizen.

Medisch dokter elektronisch patiëntendossier EPDDe onderzoekers wisten een 'alarmerende hoeveelheid' data, zoals het geslacht, het ras, de leeftijd en andere informatie, te achterhalen door de beveiliging van de versleutelde databases te verzwakken. Het ging daadwerkelijk om persoonsgegevens die door ziekenhuizen werden gebruikt. Van alle ziekenhuizen bleek 95 procent gevoelige informatie te 'lekken'.

De databases maakten veelal gebruik van CryptDB, dat opensource is en organisaties in staat stelt versleutelde gegevens op te slaan in een ietwat verouderde database-infrastructuur. De wetenschappers wisten de encryptie van de tde- en ope-versleutelde kolommen te verzwakken, waardoor ze uiteindelijk de gegevens als platte tekst konden inzien.

Voor het verzwakken van de beveiliging gebruikten de onderzoekers in totaal vier aanvallen, waarvan er twee bekend waren en twee nieuw. Alle aanvallen, die iets verschilden en nader zijn omschreven in een paper, waren er in ieder geval op gericht om de kolommen te ontsleutelen. Met succes, zo blijkt.

De onderzoekers stellen dat hun onderzoek aantoont dat veel tde- en ope-versleutelde kolommen niet veilig zijn. Ze keken weliswaar alleen naar de kolommen in de elektronische patiëntendossiers van de ziekenhuizen, maar denken ook dat de kwetsbaarheden voor andere systemen gelden. Volgende maand presenteren ze hun bevindingen tijdens de ACM Conference on Computer and Communications Security.

Moderatie-faq Wijzig weergave

Reacties (78)

Ik denk dat ik hier ook wel een klein beetje ervaring mee heb, in Nederland.

Ik heb niet al te gek lang geleden in een ziekenhuis in Nederland een project mogen draaien en daar zijn voor mij een aantal oogkleppen open gegaan.

Ik kreeg daar een simpel user account zonder toegang tot enige medische informatie en of patienten info omdat ik daar zat als IT'r. Ik heb ook helemaal geen medische achtergrond en het project wat ik deed had ook niks met patienten gegevens of ziekenhuis inhoudelijke zaken te maken.

Toch kreeg ik het zonder enkele moeite voor elkaar binnen 15 minuten de gehele administratie incl dossiers voor me te krijgen. Ik stond helemaal perplex en heb letterlijk enkele minuten stil op mijn stoel gezeten omdat ik moest gaan beredeneren wat er nu precies voor me stond.

De beveiliging van dit ziekenhuis was letterlijk om te huilen. Preceis wat of hoe is niet interessant, maar je kunt simpel denken aan netwerkshares die niet gemount zijn... maar die ik wel kon mounten. De beveiliging was dus "niet mounten" .... Er zat geen Beveilingsgroep of wat dan ook overheen.

Hier heb ik indertijd toch echt wel een nacht of wat van wakker gelegen. Wat moest ik hier mee aan. Maar uiteindelijk besloten om eerst maar eens met de IT afdeling te gaan kletsen en dan kom je er al heel snel achter dat ze helemaal gaan keus hebben. Het betreffende ziekenhuis was commercieel, en IT stond met de rug tegen de muur. Ze stonden me letterlijk met een verslagen gezicht aan te kijken en knikkend dat ze wisten wat ik bedoeld. Ik hoefde het gesprek niet een af te maken, want na een paar steek woorden wisten we precies wat er speelde.

Dit is werkelijk te bizar voor woorden. Ik kon letterlijk ALLES inzien op een stuk van de psychologische afdeling na. Na verdere inspectie begon ik ook wat gaten te vinden richting "meet en regel techniek." Laat me daarbij vermelden dat ik helemaal geen kaas heb gegeten van hacken of wat dan ook op het gebied van backdoors en Trojans.. Ik herhaal dan ook het voorbeeld van simpel het wel mounten van een drive.

Ik heb geen flauw idee of dit overal zo is, en hoe het nu ruwweg 5 jaar later er aan toe is.. maar indertijd was het echt een mega groot probleem in mijn ogen. Er hoeft maar een minder integere persoon of afperser hetzelfde te ontdekken en het was serieus een big issue geweest.

Ik heb verder nooit meer iets met ziekenhuizen gedaan, en ben er ook helemaal niet mee bezig maar ook in Nederland zitten we denk ik nog met wat problemen.
haha, ja, erg bekend. Paar jaar geleden ook databases voor specifieke software moeten koppelen in ziekenhuizen. ALLES stond gewoon open.

En laatst moest ik even voor een onderzoekje in de onderzoekskamer van een ziekenhuis wachten. Geen verpleger, toch even kijken op touch Screen met Windows 7 EN USB. Even stickje erin gestopt dat ik toevallig bij mij had, pop-up, mocht meteen alles! Waanzin!

[Reactie gewijzigd door SeL4 op 6 september 2015 13:55]

Dit soort zaken moeten bij de inspectie voor de volksgezondheid gemeld te worden. Een medische instelling heeft niet alleen de plicht om patientgegevens goed af te schermen, maar het moet misstanden onverwijld melden. Tevens gaat per 1 januari 2016 ook nog de meldplicht datalekken in, al zijn medische instellingen ook voor die tijd al verplicht om dit soort onvolkomenheden te melden.

Ik vraag me werkelijk af waarom je het niet zelf gemeld hebt bij de toezichthouder terwijl je ziet dat het ziekenhuis zijn schouders op haalt. Er is geen enkel houdbaar excuus te vinden om patienten achter te stellen op de bedrijfsvoering. Geheimhoudingsverklaringen tussen opdrachtgever en opdrachtnemer staan daarbij ook niet boven die verplichting.

Het is behoorlijk schokkend te noemen als werkelijk niemand zich geroepen voelt om dit soort zaken bij de inspectie te melden. Je kan er dan wel wakker van liggen, maar daar schieten die patienten geen ene fluit mee op. Het is zelfs schofferend richting duizenden patienten als je zo met hun rechten om gaat en je eigen hachje tracht te redden door het te negeren.
Sorry hoor. Ik heb een aantal keer diverse officiele overheidsinstanties opgebeld om ellende te melden. Weliswaar niet de inspectie voor volksgezondheid / irt. ziekenhuizen, maar wel serieuze dingen, waarvan je wilt dat er serieus mee omgegaan wordt. In beide gevallen heb ik meerdere instanties opgebeld.

De reacties liepen ongeveer als volgt uiteen:

- Sorry, dat weet ik niet. U kunt een brief schrijven, dan behandelen we het binnen 120 dagen. (Serieus?)
- Sorry, hoe doe ik dat? Kunt u het nog een keer stap-voor-stap uitleggen? (Open een browser, typ de volgende URL in ... *zucht*)
- Wat wilt u dan dat wij er aan doen? (Ja maar, u gaat hier toch over?)
- etc.

Ik kan nog even doorgaan. Ik sympathiseer met onze @WorldCitizen; het is irritant om te zien dat iets niet door de beugel kan, te proberen naar eer en geweten te handelen en er vervolgens achter komen dat het geen pepernoot oplevert. Want ja, ondanks dat het goed is om je best te doen om de wereld te verbeteren door melden en mensen aanspreken - denk ik niet dat je suggestie (die zeker niet verplicht is) dan ook maar 1 pepernoot zou opleveren. Het zou me niet eens verbazen als de IT afdeling het heeft gemeld.

Bottom line blijft: Als onze inspectie zijn werk goed zou doen zouden ze inspecteren en is dit allemaal helemaal niet nodig. Dit is echt geen rocket science.
Compleet herkenbaar, zo ook met sites van (de) rijksroverheid.nl (en vooral in het begin van Digi-D wat ook zat rare info terug spuugte bij het ingeven van foute logingegevens.) of net-zogoed de sites van werk.nl die om de haverklap allerlei fouten vertonen...
Dat probeer je dan telefonisch te melden om er allereerst achter te komen dat er geen ťnkel technisch ontvankelijk persoon is, waarna je besluit een e-mail op te stellen waar je inderdaad de automatische bevestiging die binnen 120 dagen reactie belooft krijgt en als je na een maandje besluit te bellen om maar even te controleren kan niemand dat stuk correspondentie nog vinden...

Met het oog op (digitale) beveiligingsissues vind ik 48uur een maximaal aanvaardbare periode, en eigenlijk is die al te lang, voor dit soort diensten/instanties.
Ehhh, ik denk dat ik de memo even gemist heb?
Hoezo moet dit gemeld worden?
Ik heb geen reclamecampagne gezien of iets gehoord over een gratis telefoonnummer of zo.

Als dat echt zo is dan ben ik zelf blijkbaar ook in overtreding.
De dependance van het ziekenhuis die bij onze huisartsenpost in zit heeft een goed beveiligde 2.4 ghz wifi kanaal maar ik kon op het 5 ghz kanaal gewoon inloggen zonder wachtwoord en de aangesloten apparaten zien. Dat leek mij niet de bedoeling maar waar dit dan te melden?
www.medischelekken.nl?
0800-medifail?
Bij het ziekenhuis zelf melden heb ik geen vertrouwen in.
Receptie -> IT afdeling, "nee dat besteden we uit" -> WiFi mannetje "dan moet ik eerst een werkorder" -> IT manager "wie bent u eigenlijk" -> Politie "dag meneer de hacker".
No thanks.
verstandige keuze van u, want helaas is uw laatste reactie nog altijd de waarheid, ook in BelgiŽ dus.
Een beetje fatsoenlijke organisatie heeft een helder ingangspunt voor responsible disclosure. Zo niet dan mag aan de CI(S)O getwijfeld worden.
Allemaal leuke en aardig maar als je er net komt en je meldt het bij de inspectie dienst dan is het makkelijk nagaan wie wat gemeld heeft (de laatste die erbij kwam) en voor je het weet ben je jouw baan kwijt met een negatieve kant tekening erbij dat je bedrijfs-geheimen niet voor je houdt.
Kan dan erg lastig worden om een nieuwe baan te krijgen. Zal niet onmogelijk zijn maar veel kansen zullen als sneeuw voor de zon verdwijnen.
Iedereen denkt dat klokkenluider spelen allemaal maar zo makkelijk is en niks anders is als een kwestie van een morele keuze maar niks is minder waar.

Daar tegen over wat voor nut heeft een "inspectie voor de volksgezondheid" als ze niet eens zelf een keer komen kijken en ook daadwerkelijk hun naam waar maken met een echte inspectie. Als het beveiliging echt zo slecht was zoals World Citizen aangeeft dan waren ze na 10 min inspectie al klaar geweest.
Je bent werknemer om geld te verdienen niet om het werk van ambtenaren uit te voeren zodat ze de hele dag uit hun neus kunnen gaan staan vreten.
Het probleem is echter zo, het wordt verplicht om datalekken te vermelden.

Maar als de ziekenhuis toch dagelijks een export maakt van de complete database op een shared folder die zelfs bij de schoonmaker account op de Z schijf wordt gemount. Waar ben je dan mee bezig ? Is hier spraken van een data lek of een structurele fout ?
[...]
Ik vraag me werkelijk af waarom je het niet zelf gemeld hebt bij de toezichthouder terwijl je ziet dat het ziekenhuis zijn schouders op haalt. [...]
Het is behoorlijk schokkend te noemen als werkelijk niemand zich geroepen voelt om dit soort zaken bij de inspectie te melden. [...]
Wordt wakker. De Nederlandse staat vervolgt klokkenluiders (Bos: bouwfraude: de man zijn leven is volledig gesloopt) en ook hackers die slechts wilden aantonen dat iets lek is, zijn al aangehouden. Dan krijg je dit.
Ik ben al lang klaar met het elektronisch patiŽntendossier. Eigenlijk wil ik niet meer naar een Nederlands ziekenhuis. De data beveiliging zal niet op orde zijn, maar (hier off-topic) in BelgiŽ genezen ze inmiddels patiŽnten die hier ongeneeslijk verklaart worden.
nieuws: Hacker zegt presentatie af om bedreiging door banken
Dit soort zaken moeten bij de inspectie voor de volksgezondheid gemeld te worden.
Je brengt het erg stellig, maar mijn ervaring met de inspectie en privacy is dat ze zich voornamelijk bij veiligheid houden en privacy aan CBP laten.
Dit is niet alleen bij ziekenhuizen. Ik heb een tijdje op de unix-beheerafdeling van een grote bank gezeten en de beveiliging van hun aftandse windows xp werkstations (serieus? xp voor *nix beheerders? |:() tegen het mounten van usb sticks was het verstoppen van de D: of E: drive. Als je dit vervolgens intikte in de bestandsmanager kreeg je gewoon je hele drive voor je neus waar je programma's van op kon starten. Ik gebruikte het voornamelijk voor firefox (IE6 kon in die tijd allang al niet meer, verwachten ze echt dat we daar mee werken?), maar een kwaadwillende kan gewoon bestanden kopieren en malware opstarten. Ik hoop echt dat ze xp ondertussen vervangen hebben want het is pas een jaar of 4 geleden...
volgens mij wordt ie6 nog steeds op veel plaatsen gebruikt, maar vind je het gek als je ziet hoeveel moet worden omgezet om het naar een modernere versie van ie te brengen? citrix omgevingen in bedrijven zijn er een perfect voorbeeld van. Maar dat alles staat wel los van gebrekkige beveiligen zoals gebruikersgroepen en eigenlijk gewoon luiheid, besparingen en onbegrip van de managers. Want die laatste drie zijn volgens mij veel grotere problemen voor het beveiligen van een it infrastructuur dan een oude versie van ie.

@kozue

er is een verschil tussen browsen en werken (afhankelijk van wat je als werk doet natuurlijk) ;-), je had het over werken en veel te veel bedrijfsspecifieke zaken lopen nu eenmaal via werkomgevingen die via IE6 gaan, browsen kan je idd beter niet met ie6 doen.

[Reactie gewijzigd door white modder op 6 september 2015 11:34]

Volgens mij onderschat jij de gevaren van het webbrowsen met IE6. Er staan zoveel exploits op het web dat je binnen no-time malware te pakken hebt. Het lijkt me een stuk meer werk om iedere dag geinfecteerde computers op te moeten ruimen dan gewoon een extra browser op het systeem te zetten.
Ik heb ooit een website gemaakt waarmee medewerkers van diverse ziekenhuizen onderzoeksinformatie konden invoeren. Daar bleek dat men het liefst zowel de login als het wachtwoord gelijk wilde hebben aan de naam van het ziekenhuis, want er moesten meerdere mensen mee werken, en anders was het zo lastig om elke keer een wachtwoord op te zoeken.

Gelukkig zaten daar geen direct herleidbare persoonsgegevens bij, maar het geeft wel de cultuur aan - dat zal niet alleen bij deze website het geval zijn geweest.

Ik wil ook niet zeggen dat ik het niet snap (ik heb zelf ook met honderden werk- en privelogins te maken, en je kunt onmogelijk alles onthouden) maar je kunt aan de achterkant beveiligen wat je wilt - als aan de voorkant de deur wagenwijd openstaat maakt het niet uit.
Naja dat is gewoon een gebrek van beveilingsgroepen en rechten en dat is niet goed te praten. Ook niet door de IT afdeling. Maar breder genomen komt het bijna altijd voor dat iemand meer leesrechten heeft dan hij strikt nodig heeft. Wat ook grappig is, is dat op de IT afdeling regelmatig gedetacheerden zitten die belachelijk veel rechten hebben (admin) terwijl niemand binnen het bedrijf zelf die persoon kent. En de detacheerder zelf zet voor simpele saaie klusjes daar een goedkoop iemand neer. Ook bij verzekeraars bijvoorbeeld. Incl. pasje voor fysieke toegang tot serverruimte. Leuk op papier een pasje.. Maar niet als je er zo mee omgaat in de praktijk.
Ik heb gelukkig in een ziekenhuis gewerkt waar alles wel geregeld was, maar dit was dan ook geen bv maar een stichting en dus mocht het geen winst maken. IT was daar ook best sterk en netwerk was goed beveiligd en dit wordt eens in de zoveel tijd gescreend door een externe partij
" geen winst maken. IT was daar ook best sterk "
Daar gaat het best vaak mis.
Je hebt jou bevindingen wel doorgespeeld? Ik had eenzelfde situatie maar dan in een ouderen zorg groep. Dit is toen aangepast. (ik was stagiair lol, de IT "specialist" was >50)
Ik kan je vertellen; het is overal zo...

Zowel bij private bedrijven als overheids instellingen; of het nou in de zorg of in een willekeurige andere branche is, overal waar ik kom zie ik hetzelfde: De gebruikers kant zit goed dicht, keurige rollenscheiding en ga zo maar door, maar zodra je op de backend gaat speuren, dan kom je de meest bizarre dingen tegen.

Van shares met everybody rechten waarin backups staan tot complete beheer documentatie met logins, service accounts en passwords, alles erop en eraan.

Echter kan ik je ook vertellen dat het gross van de databases helemaal niet encrypted zijn, maar gewoon een simpele oracle of mssql database zijn. Eenieder die aan een backup kan komen (wat steeds vaker een 3rd party "cloud dienst" is) kan in principe zonder enige probleem bij alle data.

Wat overigens ook voorkomt zijn vergeten USB sticks van externe consultants met daarop allerlei informatie van hun klanten, of zelfs een netwerkbeheerder die langskwam met zn laptop, waarop een share open stond met allerlei netwerkdocumentatie (incl VPN en passwords) van alle klanten die z'n toko bediende... Moet je bedenken wat die voor een schade kan veroorzaken als hij even bij de McD gaat zitten met zn laptop...

Altijd melding van maken bij de security officer is het devies; alle beetjes helpen..
Onze data is nooit veilig bij bedrijven. Met een uitzondering: bedrijven die hun geld verdienen met de gegevens over hun gebruikers (Google, Facebook etc). Die beveiligen de gegevens wel goed, maar verkopen ze natuurlijk ook gewoon door.
Nou, dat is een beetje kort door de bocht. Heel zwart wit gesteld zijn ze nergens veilig. Waar ze niet veilig zijn, is bij instellingen (bedrijven/overheden) die beveiliging niet serieus nemen. Je kunt ervan uitgaan dat bv een bank of een credit card organisatie heel erg voorzichtig is met data en de beveiliging heel erg serieus neemt.
Helaas zijn er nog zat bedrijven die denken dat een goede firewall de zaak voldoende beschermd. Daarachter zit dus niet heel veel beveiliging en gaat men ervan uit dat men van binnenuit niet veel zal ondernemen.

Wat ook helaas heel veel voorkomt is dat bepaalde afdelingen/functionarissen lokale kopiŽn weten te maken van (delen van) de data. Dat doen ze door rapporten te draaien via Excel oid van een bepaalde selectie en voilŗ...een eigen database. Je ziet dat bv bij lokale overheden waar bv de afdeling voor de parkeervergunningen (ik noem maar wat) graag een eigen database heeft van de parkeervergunninghouders. Absoluut verboden, maar niemand ziet het. Erger wordt het als die mensen in de gelegenheid zijn om die data naar een USB stick te schrijven zodat ze lekker thuis op de laptop (die aangesloten is op hun slecht beveiligde wifi netwerk) kunnen doorwerken.

Gelukkig komen er steeds meer eisen en worden bedrijven actief gecontroleerd. Echter, bepaalde achterdeurtjes komen ze niet zo snel achter als je ze niet laat zien en als je de boel een klein beetje bedekt. Want een auditor gaat niet als een ethical hacker zelf rondsnuffelen op het systeem, maar stelt vragen en controleert zo nodig je antwoorden. Je kunt ze dus nog altijd in de maling nemen.
Helemaal veilig wordt het nooit denk ik. Op zich is dat geen verslechtering van de oude situatie. Een papieren archief is ook niet 100% te beveiligen.
Even offtopic, maar gegevens worden door zowel Google als Facebook NIET doorverkocht.
Dat is maar net hoe je het bekijkt. Ik zie ads met daarin fotos of likes oid van mijn vrienden op facebook and via google plus. Ze geven dus anderen de mogelijkheid om gebruik te maken van die data. Misschien is verkopen dan niet het goede woord. Misschien moet het verhuren zijn.
Voor beiden geldt: de adverteerders of 'anderen' zien geen bit van jouw data. Zowel Google als Facebook gebruikt jouw data zelf. (Overigens zie je via Google+ geen ads, enkel +1's van personen die je in je kringen hebt, of al dan niet 'whats hots').

Als er sprake was van 'verhuur' of 'delen' kon ik als bedrijf de data inzien en zelf kiezen of ik er een advertentie zet. Dat is expliciet nooit het geval. Die keuze maakt het platform die die data beschermt voor mij. En natuurlijk voor hunzelf, want ze verkopen de dienst om je bedrijfsboodschap bij de doelgroep te brengen.

[Reactie gewijzigd door RielN op 5 september 2015 16:22]

Ze geven toegang tot datasets - targeted marketing.
bijv: een adverteerder wil een advertentie plaatsen, die kan aangeven:
doelgroep: 18-24, man, landen, interesses etc

De persoonlijke gegevens van iedere gebruiker beveiligd Google/Facebook uiteraard heel goed want adverteren is hun business model, daarom moeten ze steeds meer van je te weten komen, om die dataset uitbreiden voor de adverteerder. Google Fiber/Loon doen ze echt niet voor de lol.
Zullen we die activiteit dan maar 'delen' noemen?
Dat is puur omdat ze een eigen advertentieplatform hebben.
Zou een beetje raar zijn als ze het wel doorverkochten.
Waarom hij een -1 krijgt weet ik niet. Maar hij spreekt wel de waarheid.

En gegevens gebruiken voor ads is iets heel anders ook verkopen.
Waarom? Dat je een bedrijf hebt dat alleen Google diensten gebruikt en zo graag wil aangeven dat Google dat niet doet, kan ik me voorstellen.
Maar je werkt niet bij Google (of Facebook) en dus doe je een aanname. En daar hebben we niets aan. Als het anders is horen we het graag, maar ik vrees dat het stil blijft.
Huh? Sinds wanneer ben je schuldig tot anders bewezen? Google verkoopt geen gegevens, punt, totdat er anders bewijs boven tafel komt. Als je logisch nadenkt zou dat een hele slechte zaak zijn voor Google's business model, daarmee verliezen ze hun goede naam.
Wellicht heb ik een redelijk goede kennis van de zaken die Google doet omdat ik er nauw meer samenwerk. Zou ook aardig staan naar mijn klanten.

Maar wat ik schrijf klopt. Of je me gelooft, dat mag je zelf uitmaken :)
Schaamteloos rechtstreeks verkopen misschien niet. Echter door ze 'alleen maar' te exploiteren zijn er in het verleden wel gewoon gegevens van gebruikers uitgelekt richting klanten. Verder zou ik er niet al te veel om durven te verwedden dat dat niet vaker voor zal komen of dat er niet alsnog eens wat in een andere vorm doorverkocht zal worden.

[Reactie gewijzigd door mae-t.net op 6 september 2015 04:34]

Het onderzoek gaat er vanuit dat je als hacker al de juiste rechten hebt om de versleutelde databasebestanden te lezen en heeft specifiek niets te maken met enkel medische databases. Maar dat 'vergeten' de onderzoekers te melden. Als een hacker dergelijke rechten heeft is deze al veel en veel te veel beveiligingslagen voorbij. Natuurlijk bestaat een goede beveiliging uit diverse lagen, maar bij het ontwerp is het zeker van belang om de juiste vorm van beveiliging toe te passen. De onderzoekers tonen aan wat de gevolgen kunnen zijn indien men dat niet doet, maar geven niet de juiste context aan. Ik vind het onderzoek zeker wat waard om een deel van de praktijk aan te tonen, maar het is niet nieuw, hackers kunnen niet meteen bij de data en het is niet specifiek een situatie van alleen medische gegevens. De vraag is wel waarom bij het ontwerp niet al rekening is gehouden met een sterkere vorm van encryptie.
Veel goede punten waar ik me bij aan kan sluiten.

De onderzoekers willen de stand van techniek vooruit brengen maar moeten 'relevantie' inbrengen om hun werk te verkopen en uberhaupt op een site als Tweakers te komen.

Dan krijg je dus een misleidend verhaal over ziekenhuizen. Want hoewel er ongetwijfeld een applicatie is waar deze aanval voor een significant risico zorgt is het in de meeste situaties slechts een iets minder effectieve beschermingsmaatregel uit een flinke set waardoor het concrete risico nauwelijks stijgt.

Het suffe is dat ziekenhuizen die in beginsel goed hiermee bezig zijn komende week hier veel tijd mee kwijt zijn, terwijl men weinig meer kan doen dan de security risk analysis updaten met de nieuwe inzichten en wachten tot betere oplossingen beschikbaar zijn.

Ondertussen zijn er andere organisaties die niets doen en alles plain in matig beveiligde en beheerde databases opslaat en misschien zelfs wel opportunistisch naar dit soort nieuws wijst als argumentatie om vooral niets te doen.

Dit is toch wel een beetje de tragiek van wetenschappelijk onderzoek.
Nou dat onderzoek is wel mooi maar een gemiddelde IT'er kan nog steeds bij heulveul dingen. Laat ze dat eens onderzoeken.
U heeft gelijk, context en verklaring moet.
Ik heb ongeveer 5 jaar geleden een groot lek gevonden in de website van een ziekenhuis in NL. Daardoor kreeg ik toegang tot alle vragen die via web gesteld werden. Ook vragen die rechtstreeks aan een behandelend arts werden gesteld. Van die groep personen die vragen stelde kreeg ik ook toegang tot alle persoonsgegevens. Er was een kleine medische historie aanwezig en ik kon alle gegevens, tot en met relatienummer bij de zorgverzekeraar, inzien.
Ik heb het lek gemeld (het was diep in de nacht). Twee dagen later werd het gedicht (door de site gedeeltelijk offline te zetten). Ik heb drie keer gebeld voordat er echt actie werd ondernomen. Er was in eerste instantie geen duidelijkheid wie dit probleem op kon lossen.
Een week of twee later ben ik gebeld door het ziekenhuis en wilden ze mijn gegevens hebben. Ik ontving een grote bos bloemen met een kaartje als dank.

Achteraf gezien had ik beter naar de pers kunnen stappen. Waarschijnlijk niet zo netjes naar de instantie toe, maar dat brengt wel zoveel gewicht op de zaak dat ze wel moeten verbeteren in security. Overigens was dit in een periode dat er verschillende lekken over ziekenhuizen werden gemeld. Ik weet zeker dat het zo werd opgepikt.

Het ging om ongeveer 10.000 verschillende personen. Het was een soort admin/communicatie-panel waarvan de loginpagina ontbrak..
Toch vind ik het ethisch erg goed dat je het bedrijf eerst in staat hebt gesteld er iets aan te doen. Als een hacker direct naar de pers stapt, dan heb je het niet helemaal begrepen vind ik.
Altijd eerst gelegenheid geven om het op te lossen. Kan best zijn dat ze eerst een externe softwareleverancier moeten inlichten die aan de slag moeten, een oplossing moeten testen, een release maken een vervolgens moet het ziekenhuis het nog weer installeren. Pers inlichten gaat het proces waarschijnlijk niet echt veel versnellen.
Het is ook wel een ontzettend lastig probleem.
Grotere ziekenhuizen bestaan vaak uit heel veel afdelingen en specialismen en gebruikers die heel vaak, maar ook nog veel vaker niet, in een overkoepelend systeem passen.
Dus zijn er tig verschillende systemen die allemaal iets doen met patientinformatie. Dat is al een hel om het allemaal netjes volgens een goede standaard dicht te krijgen met encrypties.
Dan moet er nog informatie uitgewisseld worden om de systemen in sync te houden qua patientinformatie (NAW, afspraken etc). Daar wordt in dit stuk ook niet op ingegaan, maar ik kan je vertellen dat dat soort berichten, zeker intern, in z'n geheel niet versleuteld zijn. Dat zou in principe niet hoeven aangezien je er van uit gaat dat niemand je netwerk op komt, maar bij zo'n redenatie is encryptie van databases ook niet nodig natuurlijk.
Dat niet beveiligde, interne, uitwisselen van berichten maakt een eventuele deftige ziekenhuisbrede encryptie van databases al een farce.
En last but not least: je kunt het allemaal mooi versleutelen maar als je de toegang niet goed regelt heeft het alsnog geen zin en kunnen veel te veel mensen bij veel te veel data waar ze helemaal niet bij zouden mogen.
En dan kun je zeggen: "een ziekenhuis moet dat op orde hebben!"
Klopt, maar dan kom je wederom op de hoeveelheid afdelingen, specialismen en gebruikers uit. Het is allemaal bijna, maar toch net niet, in standaard rollen te gieten waardoor uitzonderingen gemaakt moeten worden. Dat levert veel beheer en zo ontstaan er door al die kleine systemen, bevoegdheden, wachtwoorden en rechten, ook gewoon blinde vlekken. Verder ontstaat er, om maar te voorkomen dat je alles moet bijhouden, een soort "gemakzucht" (soms bewust en/of overwogen, soms onbewust).
Bij kleinere ziekenhuizen is het vaak een kwestie van mankracht. Die hebben de resources niet om het goed en wel te regelen.

En onthou verder dat als je alles dichttimmert (dus zowel toegang als gebruik van de data) volgens de letter van de wet, dat je een normaal werkproces en alles wat er om heen zit vrij onmogelijk wordt. Dan mag niemand nergens meer bij. Daarmee praat ik uiteraard misstanden niet goed, maar het is een illusie om te denken dat je het volgens de huidige stand van zaken (qua systemen en werkwijze) mooi waterdicht krijgt..
Een optie is uiteraard dat een patient alles zelf in beheer heeft m.b.v. bijvoorbeeld Healthvault van Microsoft. Oh hee...dat is toevallig :)

[Reactie gewijzigd door YellowCube op 6 september 2015 08:55]

Werk dus in die wereld, maar de tijd van tig verschillende deelsystemen is echt wel een beetje voorbij hoor. Een modern ZIS kan met gemak de taak van tientallen deelsystemen overnemen.
Tegenwoordig is alles (goed) gekoppeld. Het is niet meer zoals jaren geleden.
Die databases zijn tenminste nog geencrypt. Het zis (ziekenhuis informatie systeem) van Chipsoft wat in veel nederlandse ziekenhuizen wordt gebruikt heeft geen enkele vorm van encryptie. De toegang is wel goed afgedekt met stored procedures maar dat is dan ook het enige. Wachtwoorden in de gebruikerstabel zijn iets van rot13 ofzo "versleuteld", ik had daar toch echt minstens sha1 met salt verwacht. Het zal bij de andere pakketten denk ik niet veel beter zijn.

IT is gewoon geen prio en beveiliging al helemaal niet bij ziekenhuizen. Al merk ik wel dat bij elk lek wat in de media komt er meer ruimte komt voor it beveiliging. Dus zet even die witte hoed op en zorg voor een betere maatschappij :)
Gelukkig hebben grotere ziekenhuizen gewoon SAP, en dat is naar mijn weten al wat veiliger out of the box. Staat wel tegenover dat als je maar genoeg maatwerk maakt zonder te letten op beveiliging of autorisaties (want: het mag niets kosten) je alsnog met dezelfde issues te maken krijgt.
Ik weet niet waar je dat vandaan haalt maar de grote universitaire centra hebben chipsoft, eigen aan elkaar geknoopt maatwerk en binnenkort epic (groots marktleider uit de vs). SAP voor de zorg is wat betreft functionaliteit echt om te huilen...
EPD/zis gebruik Nederland:http://www.zorgvisie.nl/I...t-epdZIS-in-ziekenhuizen/

[Reactie gewijzigd door casparz op 5 september 2015 19:16]

Bron: Ikzelf? Op een automatiserings afdeling gewerkt in een ziekenhuis en later bij een ander bedrijf in SAP technisch beheer gerold. Derhalve ook veel contact met consultants van andere bedrijven, detachering e.d. die ook klanten hebben die sap draaien waaronder dus ook een hoop ziekenhuizen. En standaard fictionaliteit zal vast beperkter zijn dan bij een specialistisch product als zis/ezis/hoe het tegenwoordig ook mag heten van Chipsoft, naar aangezien SAP modulair is zullen er vast aparte addons zijn e.d. En anders; maatwerk! :D
Misschien als datawarehouse dan, het lijstje van zorgvisie is vrij accuraat namelijk.
Dat in de meeste gevallen zorginstellingen niet echt goed met ICT en het beveiligen van informatie omgaan was me bekend, en dat ligt vaak niet aan de software, maar aan het beheer van de software en de belachelijke wensen van de zorginstellingen (wachtwoorden, rechten, etc).

Wat me in dit stukje het meest opvalt: Microsoft doet onderzoek en komt tot de conclusie dat het slecht gesteld is waarbij gewezen wordt naar een stuk opensource software. Microsoft heeft hier alle belang bij, en het is jammer dat de vinger niet op de (in mijn ogen echte) zere plek wordt gelegd, want ook met Microsoft applicaties gaan veel zorginstellingen er dusdanig mee om dat een soortgelijke conclusie kan worden getrokken.
"tweehonderd Amerikaanse ziekenhuizen"

De berichtgeving is wel een beetje tť gericht op de algemene Nederlandse ziekenhuizen.
Alsof het draait om NL ziekenhuizen, een aanpassing in de titel zou al een boel verklaren en ophelderen.
van kodak:
Tevens gaat per 1 januari 2016 ook nog de meldplicht datalekken in, al zijn medische instellingen ook voor die tijd al verplicht om dit soort onvolkomenheden te melden.
Dit geld trouwens voor alles waar persoonsgegevens over de lijn gaan, dus niet alleen een web verbinding maar ook mail server verbindingen etc.

Ik ben zelf al bezig om "derde" op de hoogte te stellen want als ik nu al zie dat ze zelf de boel niet op orde hebben, dan is communicatie met ons bedrijf dus niet mogelijk.

Dit geld dus niet niet alleen voor SSL, maar ook voor het waarborgen van identiteit..
Om een voorbeeldje te noemen, ik dwing dus mail RFC af, (uitgezonderd hostname), maar wel helo hostnaam. mx en dns. klopt het niet, dan helaas, krijgen ze netjes een melding dat de instellingen niet kloppen, en bij vragen dat ze me mogen bellen en schrikbarend hoeveel .. "IT'" bedrijven de boel niet goed instellen hoor, echt belachelijk, maar goed, zo wordt het kaft van het koren gescheiden..

Ik heb er al zo'n 50-60 verzamelt die niet willen aanpassen en dus 1 jan gemeld gaan worden.
Privacy in de zorg heeft natuurlijk nooit bestaan.
Loop met een witte jas in een ziekenhuis, en je kunt zo bij de openlijk toegankelijke kasten met papieren dossiers komen.
Op een patientenkamer wordt jou medische toestand besproken in het bijzijn van 3 tot 6 andere patiŽnten en hun bezoek, afgescheiden door een gordijn.

De it van ziekenhuizen is meestal ontstaan vanuit de boekhouding. Mijn ervaring met zo'n afdeling is dat boekhouders geen geld willen uitgeven aan zelfs de meest basale zaken.
Even er van uitgaande dat het ook echt zo makkelijk is wat je nu stelt:
het gaat om de hoeveelheid data die je kunt bemachtigen.
De toegankelijke kast met papieren dossiers is over het algemeen slechts een fractie van de patiŽnten die in zo'n ziekenhuis komen.
Idem voor dat gesprek met enkel een gordijntje er tussen (ik ben benieuwd hoeveel ziekenhuizen dat echt nog hebben). Dan weten 3 tot 6 andere patienten dat een voor hun onbekend iemand aan de andere kant van dat gordijntje het aan z'n knie of nek heeft.

Inbreken in een slecht beveiligd EPD kan je toegang geven tot 100% van de patientpopulatie van een ziekenhuis.

En IT afdelingen zijn misschien ooit als boekhouding ontstaan, maar dan hebben we het over 30 jaar geleden. In de tussentijd is die mentaliteit wel anders.
Ik denk dat het traditioneel open karakter van een ziekenhuis mede de oorzaak is van het gebrek aan IT-beveiliging.
Het verzwakken van encryptie middels een aanval was mij tot aan het lezen van dit artikel vrij onbekend. Interessante materie om over na te denken. Want is het dan mogelijk om ook andere vormen van encryptie via soortgelijke manieren te verzwakken en daarna de informatie in te zien?
de sterkte van encryptie hangt af van de sterkte van de sleutel (en seed), het algoritme en de versleutelde data zelf. Zo is het veel gemakkelijker een statisch oordeel te vellen over een kolom met enkel man/vrouw dan ongestructureerde tekst.
Het gebruikte algoritme is zeker van belang, en er is best wat info te vinden over statische aanvallen voor verschillende vormen (met inbegrip van best practices).
Als de onderzoeker er werekelijk in geslaagd zijn de data volledig te ontsleutelen, kunnen we wel zeggen dat err wellicht inherente problemen zitten in het algoritme, of althans in courante implementaties.
Voor Microsoft is dit natuurlijk ook een mooie promo voor SQL...
Er zijn zelf ziekenhuizen die whatsapp gebruiken en onbedoeld foto's of documentatie verspreiden, waar whatsapp rechten op heeft. Dat de beveiliging onvoldoende is had ik al eens gelezen inclusief het delen van informatie van huisarts naar ziekenhuis etc.

Er komt een wet en bedrijven moeten en zullen dit dicht moeten gooien, want de boete's zijn niet mild.

[Reactie gewijzigd door nlb op 5 september 2015 15:43]

whatsapp, daar heb ik toch wat moeite mee, de gemiddelde dokter maakt toch geen kiekjes met zijn gsm? noch maakt ie documenten ermee op, en hoe je er dan nog onbedoeld dingen mee moet verspreiden is me ook al een raadsel, dan lijkt het me eerder opzettelijk.
Als er geen patiŽntgegevens op staan, wat is dan het probleem?
wel als er foto's worden verzonden van patient X en je gegevens verstuurt of patient X. Het gebeurt en het zal echt niet gaan over de mooie.... of geweldig en knappe .... . mischien ben ik ouderwets om alles te delen :)

Het is ook niet belangrijk. Al, waar maak ik me druk om, wellicht bang voor 1984. Op dit moment: 40% van de wereld deelt alles al met elkaar. Bij FB hebben ze al meer dan een miljard profielen die ze verkopen van elk persoon het ontbreekt alleen nog DNA en Vingerprints van elke van deze miljard profielen. Vergeet niet dat Whatsapp,Instagram ook gelinkt worden aan je FB profiel.

Ik ben zelf nergens te vinden en daarom mag ik ook voor een visum een 36 minuten uittrekken voor een interview ,omdat ze niks over mij kunnen vinden en terwijl een kennis die alles via FB,Whatsapp en Instagram deelt binnen 8 minuten interview weg mag bij dezelfde ambassade. Ik ben niet de enige die dat overkomt en nee ik heb geen strafblad en bewijs van goedgedrag.

[Reactie gewijzigd door nlb op 6 september 2015 13:11]

Echt? Ik werk zelf in de zorg en bij ons worden prive gegevens complete beschermd. Wij mogen ze zelf niet naar een andere branch emailen, het moet via de post. Eerst uitprinten, dat moet iemand anders het weer intikken 8)7

[Reactie gewijzigd door jerkitout op 5 september 2015 16:38]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True