Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Een kwart van de ziekenhuissites ondersteunt geen https'

Door , 145 reacties, submitter: Erasmo

Van 97 onderzochte ziekenhuissites, ondersteunden er 25 geen https. Dat blijkt uit onderzoek van Women in Cyber Security. De Nederlandse Vereniging van Ziekenhuizen erkent dat er verbetering nodig is bij de beveiliging en belooft beterschap.

Van nog eens 11 van de 97 onderzochte ziekenhuissites bleken er andere problemen met de beveiliging, hoewel die sites wel een https-verbinding ondersteunden. De organisatie Women in Cybersecurity, die het onderzoek uitvoerde, heeft het gebrek aan versleutelde verbindingen aangekaart bij de Autoriteit Persoonsgegevens, schrijft Trouw.

Volgens de organisatie verwerken ziekenhuizen al gauw bijzondere persoonsgegevens met hun sites, via bijvoorbeeld webformulieren. Het aanbieden van versleutelde verbindingen zou daarom verplicht zijn. De Vereniging van Ziekenhuizen erkent het probleem en stelt verbetering van de algehele beveiliging bij ziekenhuissystemen in het vooruitzicht.

"Het gaat om een ziekenhuisbreed project waar de minister vorig jaar 100 miljoen euro voor heeft uitgetrokken. Het moet leiden tot een waterdicht systeem waarmee patiënten hun gegevens kunnen inzien en online afspraken kunnen maken en waarmee tegelijk de cybersecurity op orde wordt gebracht", zegt een woordvoerster tegen de Volkskrant.

Reacties (145)

Wijzig sortering
Van nog eens 11 van de 97 onderzochte ziekenhuissites bleken er andere problemen met de beveiliging, hoewel die sites wel een https-verbinding ondersteunden.
Waar moet ik hierbij dan aan denken, bijv. wel een SSL certificaat maar nog op basis van SHA-1? Of ernstigere zaken als mogelijkheid tot SQL injectie?

[Reactie gewijzigd door s1h4d0w op 6 januari 2017 11:37]

Denk gewoon aan een systeem dat minstens tien jaar niet meer bijgewerkt is, en alle kwetsbaarheden die daarbij horen.

Veel software (en hardware ook overigens) in ziekenhuizen is stokoud. Van wat ik zo her en der heb gezien, draait volgens mij het gros van de IT infrastructuur achter de schermen nog op Visual Basic applicaties en spreadsheet macros.

Ziekenhuizen hebben geen geld voor IT personeel, dus de stagiaire urologie die toevallig een broertje had die bijklust op een helpdesk onderhoudt doorgaans ook even het serverpark van de afdeling.
Ik weet van minimaal 2 ziekenhuizen dat er nog NT4 servers draaien.

Mijn zwager heeft bij een ICT bedrijf gewerkt dat een interface moest maken tussen die oude meuk en een modern systeem. (Nou ja "modern"... Server 2008, zonder R2.)

Was nogal lastig omdat die NT4 machines Netbeui en IPX draaiden en de W2K8 box uiteraard TCP only was. Uitendelijk hebben ze de W2k8 machines van IPX moeten voorzien om een gezamelijk file-share protocol te hebben. (Was minder risico dan proberen TCP op de NT4 machines te krijgen.)
Uiteindelijk hebben ze NT4 dozen (25 year oude hardware) gevirtualiseerd op Hyper-V en als VM laten lopen op de W2K8 boxen. Werden ze 10x sneller van en het gevaar van instorten van de hardware was ook weg.

Kwamen er tijdens het project ook achter dat de meeste NT4 machines al jaren geen fatsoenlijke backup meer hadden gemaakt omdat de backup-software licenties in 2009 waren verlopen...

Voor zover mijn zwager weet zijn die NT4 installaties nog steeds niet echt vervangen omdat de software leverancier al jaren failliet is en migratie een nieuwe license key vereist.
Nieuwe software kost millioenen (maatwerk) en moet Europees aanbesteed worden. Gaat nog wel een paar jaar duren...
"Ik weet van minimaal 2 ziekenhuizen dat er nog NT4 servers draaien." Dat ze nog draaien maak op zich niet zo heel veel uit, het gaat er vooral om hoe / waar / waarmee verbonden.

Voor het bedienen van de MRI met enkel een seriŽle kabel naar de MRI en verder alleen KVM en stroom is het vooral een bedrijfsrisico of ze het nog kunnen repareren als het omvalt. Is het je webmailserver dan is dat een compleet ander verhaal.

Zeker bij ziekenhuizen is het vaak heel, HEEL lastig om sommige dingen te vervangen. Daar zitten zo veel niche zaken tussen dat je al blij bent dat je ťťn leverancier gevonden krijgt die een bepaalde functionaliteit biedt, laat staan dat je kunt gaan kiezen. Of je kiest iets nieuws en halverwege de implementatie gaat je nieuwe leverancier failliet... Of het wordt overgenomen door je oude leverancier en op de plank gelegd want concurrentie...

En de wat grotere dingen kosten letterlijk miljoenen, terwijl je steeds minder geld krijgt van de verzekeraars. Nou, stel dan het vervangen door een nieuwe versie nog maar een jaar uit, de versie die we nu hebben doet het nog...
Niche valt wel mee, maar ze hebben in ziekenhuizen te maken met levensondersteunende apparatuur die alleen gecertificeerd is in exact configuratie X. Als jij daar X + een update of X + virusscanner van maakt: niet meer ondersteund. En als dan de patient die daar aan hangt het leven laat ben je de sjaak.
NT4 heeft standaard tcp/ip aan boord.

Een potentieel risico is de vatbaarheid voor protocol aanvallen.
Klopt. In de MCSE 4.0 was er zelfs een heel boek en examen puur over TCP/IP. Had het boek nog jaren in de kast staan :)

http://windowsitpro.com/w...-tcpip-windows-nt-40-exam
Weet ik. Ik heb dat MCSE examen ook gehaald, ooit...

Maar hier was het dus niet geinstalleerd en bij-installeren was eng omdat 2 andere applicaties IPX gebruikten (voor communicatie met een 3e systeem) en het niet duidelijk was of die al dan niet zouden omvallen als je aan de netwerk-setup ging rommelen.

Dat het in theorie kan, wil niet zeggen dat je het risico wilt nemen een werkende configuratie om zeep te helpen.
Ziekenhuizen hebben geen geld voor IT personeel, dus de stagiaire urologie die toevallig een broertje had die bijklust op een helpdesk onderhoudt doorgaans ook even het serverpark van de afdeling.
Meestal wordt de IT gewoon geoutsourced en blijven ziekenhuizen een gedeelte beheer zelf doen. Er zal best op beknibbeld worden om de (te) dure huisvesting te kunnen betalen, maar over het algemeen lopen er wel kundige IT-ers rond hoor.
Ziekenhuizen hebben geen geld voor IT personeel, dus de stagiaire urologie die toevallig een broertje had die bijklust op een helpdesk onderhoudt doorgaans ook even het serverpark van de afdeling.
Dat is echt onzin. Dat was misschien in de jaren 80 en 90 zo. Uit eigen ervaring kan ik zeggen dat er wel degelijk IT-professionals van een goed tot zeer goed niveau werkzaam zijn. Echter, de financiŽle middelen die ze krijgen maakt het vaak onmogelijk om degelijke systemen op te zetten. Ben zelf werkzaam in een ziekenhuis (niet bij de IT-afdeling) maar kan garanderen dat het niveau van de beveiliging ver boven die van menig techbedrijf uitschiet. In menig ander ziekenhuis heb ik soortgelijke beveiliging gezien.
Mwah, als de apparatuur niet met internet is verbonden hoeven Windows 98, VB6 en spreadsheet macros geen probleem te zijn.
Bijvoorbeeld;

- SHA1
- Geen HSTS
- Onveilige Ciphers zoals RC4
- SSLv2
- Nog kwetsbaar voor POODLE,BEAST,Heartbeat etc
Dit is helaas nog steeds schering en inslag.

Zelfs bij een grote Belgische krant is dit het geval voor hun abonnee zone, heb het al meermaals laten weten aan de krant in kwestie dat hun beveiliging zo lek is als een zeef. En er ook bij vermeld dat ik al lange tijd gratis al de "abonnee only" artikels lees met mijn account.

Nooit zelfs maar enige reactie op gekregen.

Dit om maar te illustreren hoeveel belang grote bedrijven hechten aan privacy en veiligheid, geen dus. Zolang het concept geld opbrengt is voor het de meesten al lang goed.

Er moet een wettelijk kader komen omtrent de beveiliging van sites waar persoonlijke informatie wordt uitgewisseld, dat lijkt me de enige manier om de consument te beschermen tegen deze mentaliteit.
Toevallig heb ik gisteren ook een test gedaan met Wireshark bij de Vlaamse media. De volgende websites hebben een login zonder https waardoor het e-mailadres en wachtwoord in plain text wordt verzonden:

Een site van de Medialaan:
- koken.vtm.be

Zowat alle sites van het mediahuis:
- hebbes.be
- jobat.be
- standaard.be
- gva.be
- hbvl.be
- ...

De sites van SBS Belgium:
- vier.be
- vijf.be
- njam.tv
- ...

Alle organisaties netjes op de hoogte gebracht. Maar blijkbaar heb jij dat ook al meermaals gedaan...
Nieuwsblad.be mag je ook toevoegen nu je toch al namen noemt ;-)

Maar misschien heb ik gewoon een lifetime gratis abbonement gekregen voor de melding, dat kan ook natuurlijk :p
Misch tutorial online zetten hoe je zo'n gratis account kan krijgen. Als genoeg mensen het doen dan worden ze vanzelf wakker.
Nee , dat is een heel slecht idee in BelgiŽ

Een kennis van me heeft aangetoond dat je Telenet digicoder kon gehacked worden en je alle opnames kon verspreiden via internet indien gewenst. Denk je dat hij dankbaarheid kreeg voor het vinden van de exploit? Nee hoor, wat hij wel kreeg was een aantal advocaten en een rechtszaak.
Dan had hij de "privť kopie" kaart moeten uitspelen in plaats van de "verspreiden via internet" kaart, wat illegaal is (in BelgiŽ).
Tja, zolang niet de grote meute massaal hier gebruik van gaat maken zal het hun een zorg wezen (eigenlijk moet er dus gewoon iemand een plugin maken die het automatiseert). Hetzelfde met persoonsgegevens, de bescherming ervan mag geen cent kosten, maar vervolgens de zielige uithangen als ze gehackt zijn en alle persoonsgegevens gestolen zijn. Met standaardzinnetjes als "we doen alles om uw gegevens veilig te stellen" om nadien te lezen dat het via iets banaal als sql injection is gebeurd.
Het probleem met die redenering is dat commerciŽle bedrijven elke upgrade als een reden zien om "maal drie" te doen.

Stel ik doe een technische upgrade voor bescherming persoongegevens, dat kost ons als bedrijf 100.000 euro per jaar licentie.

Het antwoord naar de consument toe is dan meestal "uw abbonement kost vanaf nu 1 euro meer". Achter de scherman pakt men dan wel maal drie winst.

Als bedrijven beveiliging eerlijk zouden doorrekenen aan de consument in plaats van er winst op te pakken zou er al heel wat meer draagvlak zijn.
Als men persoons gegevens verzameld en opslaat is dat een onderdeel van de bestaande kosten... en geen reden om het nu maal 3 te doen.

Er is dus sprake van nalatigheid, en de daaruit voort komende aansprakelijkheid. En uit de afgelopen jaren bespaarde bedragen (inclusief opgelopen rente) kan men dan nu herstel betalingen doen.
Of wel men geeft toe te incompetent te zijn om een dergelijke service te runnen als er geen rekening mee gehouden is.
Het is niet zo dat beveiliging en omgang met persoons gegevens iets is dat net uit de lucht is komen vallen.
Gooi er dan gelijk een tutorial bij om dat anoniem te doen :)
Ik ben niet "hacken voor dummies " hoor :)
ik heb zowel vtm als vier ooit al een mail hierover gestuurd...

Van vtm geen reactie, van vier "we zullen dit gauw aanpassen" of iets in die aard...we zijn nu minstens een jaar verder...
Ik heb van alle organisaties een antwoord ontvangen waarin ze vermelden dat ze er alles aan doen om de persoonsgegevens te beveiligen (blablabla). In werkelijkheid leggen ze het gewoon naast zich neer. Waarom zouden ze die extra kosten op zich nemen?

De fout zit bij de regering denk ik: zij moeten wetten opleggen om hun burgers te beschermen. Een platform uitrollen waarin je eenvoudig overtredingen kan melden en na controle zal de overtredende organisatie een serieuze boete ontvangen. Enkel zo kan je de organisaties pijn doen en gaan ze de nodige beveiliging implementeren vrees ik.
En veel extra kosten zijn het in tijden van Let's Encrypt toch niet meer...of vergis ik mij daar?

Heb onlangs ook eens een webshop gehad (waar ik zelf toen ik er nog niet zo oplette zelfs al iets besteld had) die geen HTTPS gebruikte, dat is ondertussen gelukkig aangepast (maar heeft ook paar maanden geduurd)

Trouwens voor mijn part blijven veel van die sites onversleuteld, zolang ze de login maar geencrypteerd doen, HLN.be is daar een goed voorbeeld van als ik met niet vergis.

[Reactie gewijzigd door Clemens123 op 6 januari 2017 12:43]

Ik denk dat ze vooral hun Google Rankings vrezen. Onterecht natuurlijk.
Google pusht zelfs https. Je krijgt pluspunten.
https://en.m.wikipedia.or...ata_Protection_Regulation

Gaat in vanaf 25 Mei 2018. Scope van bedrijven is:

Data Protection Officers (Articles 37–39) are to ensure compliance within organizations. They have to be appointed for all public authorities and for companies processing more than 5000 data subjects within 12 months.

Dus dit geldt ook voor ziekenhuizen, kranten, webshops etc.

Maar!
The biggest challenge might be the implementation of the GDPR in practice:
The implementation of the EU GDPR will require comprehensive changes of business practices for companies that had not implemented a comparable level of privacy before the regulation entered into force (especially non-European companies handling EU personal data).
There is already a lack of privacy experts and knowledge as of today and new requirements might worsen the situation. Therefore education in data protection and privacy will be a critical factor for the success of the GDPR.

[Reactie gewijzigd door RobbieB op 6 januari 2017 12:02]

I know, helaas :p

Maar de gdpr is zo vaag opgesteld dat niemand weet wat het in de praktijk gaat doen, je kan het interpreteren in 1001 manieren.

De EU slaat daardoor alweer de bal mis vind ik, een IT afdeling is geen Juridische afdeling, zeg ons in duidelijke woorden wat er niet meer kan en we zorgen voor de uitvoering, sla ons dood met juridisch jargon en er gebeurt niets.
Het probleem is dat je concrete maatregelen niet in dergelijke wetgeving vast kķnt leggen. De techniek gaat zo snel dat op het moment dat het in gaat, het alweer achterhaald is.

Vb. stel dat we bv 10 jaar geleden SHA-1 als wettelijke eis op hadden genomen. Dan ben je nu dus wettelijk compliant, maar feitelijk niet secure... tegen de tijd dat die wetgeving weer is bijgewerkt... nou ja, je snapt m'n punt.
Je kan in de wet ook opnemen dat een veiligere variant ook mag en zelfs verplicht is moest SHA-1 verbrand zijn. Maar inderdaad, wetten spelen te traag in op dergelijke zaken, niet enkel op IT vlak.
Ja dat is inderdaad het probleem, je kan geen concrete wetgeving opstelling omtrent technologie.

Maar de gdpr is een reactonair iets dat eigenlijk weinig doet, het spreekt over personeelsgegevens maar geeft geen echte definities. Wat kan ik als IT er nog onbeveiligd uitwisselen, je email adres, je echte adres? Wat moet ik wissen als je uit dienst gaat? Alles? Dat is onmogelijk om in orde te zijn met andere instanties ( belastingen , vdab ( werklozen organisatie in BelgiŽ).

Je kan niet de ene wet gehoorzamen om dan van de andere een boete te krijgen, dit soort regulatie is complete onzin tot Europa ťťn land is met ťťn regering en ťťn stel wetten, zoals het zou moeten zijn
Een persoongegeven is ELK gegeven dat herleidbaar is naar een persoon.
Als een enkel gegeven dat niet is kan het dat alsnog worden als het gecombineerd kan worden met andere gegevens en dan een persoon kan identificeren.

Dus het is al heel snel een persoonsgegeven.
De wet is eigenlijk juist redelijk eenvoudig. Zoals tweaknico al aangeeft is zo goed als alles een persoonsgegeven, zo lang de data direct of indirect (bijv. via een rechtzaak met een ISP om IP>gebruiker te achterhalen) naar een persoon is te herleiden.

Wat betreft het bewaren van data; Als je kunt aantonen dat de data nodig is voor het uitvoeren van een taak, opgelegd door een wet of aangevraagd door de persoon, mag je die bewaren. Uiteraard moet je hierbij wel de WBP in acht nemen. Dat wil zeggen; beveiligen met actuele beveiligingsmaatregelen, meldplicht bij datalekken, toegang tot de data enkel wanneer noodzakelijk. En uiteraard de data verwijderen wanneer deze niet meer nodig is.

[Reactie gewijzigd door Joolee op 7 januari 2017 21:19]

Juist die ja. De AVG in het Nederlands genoemd.
https://autoriteitpersoon...2016_-_679_definitief.pdf
Mega project wat veel bedrijven de nodige kopzorgen gaat zorgen.
Vooral het "Privacy by Design, Privacy by Default" wordt een hele mooie waar veel mensen bedrijven last van gaan krijgen.

Ook ik heb het komende dit jaar op mijn lijst staan (iets van 50% van mijn load)

[Reactie gewijzigd door ollie1965 op 6 januari 2017 12:44]

Ter aanvulling. Freedom of the Press Foundation heeft een leaderboard met de stand van zaken bij enkel tientallen grote nieuwswebsites: https://securethe.news/
Ik zit met een gerelateerd probleem. Wil me namelijk inschrijven bij een huisarts in een nieuwe gezondheidscentrum. Maar ze vragen dus een BSN nummer. Alleen de gehele website ondersteunt geen https:.
Zal ik ze een mailtje sturen om ze er op te wijzen?

Edit: E-mailtje is verstuurd. Bedankt voor jullie reactie.

[Reactie gewijzigd door x-man op 6 januari 2017 18:33]

Ik zou kijken of ze aangesloten zijn bij overkoepelende organisaties dan wel toezichthouders. Ik kan me bijna niet voorstellen dat HTTPS geen harde verplichting is voor zorgverleners, zeker als je het hebt over online portals met gegevens er in.

[Reactie gewijzigd door Ton Deuse op 6 januari 2017 13:33]

Dan moet je wel in het latijn uitleggen wat er mis is met hun website.
Ja! Direct emailen! Hoe meer mensen van dit soort zaken op de hoogte zijn hoe beter. Security 'leeft' niet echt bij de meeste mensen, maar het is belangrijk voor iedereen, dus ook al bereik je via die email misschien niet direct dat ze HTTPS implementeren, heb je ze wel bewust gemaakt dat dit belangrijk wordt gevonden door hun klanten.

Wat Ton Deuse aandraagt is misschien ook geen slecht idee :)
Ja, ze zijn zelfs strafbaar volgende de wet bescherming persoonsgegevens.
Lijkt me een beetje overgedramatiseerd. Meeste ziekenhuis paginas zijn louter informatieve sites. Dus wat ze aanbieden, wat fototjes en wat telefoon nummers. Lijkt me bij deze sites toch een veel minder grote issue dan bij sites waar je kan inloggen of effectief gegevens van je staan?
Ben het op zich met je eens. Echter in het licht van het huidige privacydebat is een mogelijk risico het lekken van indirecte persoonsinformatie. Het feit dat jij op de pagina zit van oncologie of dat je het telefoonnummer van de gynaecoloog opzoekt.

In een extreem voorbeeld zou je op die manier ongewenst medische informatie laten doorschemeren.

Overigens is dat natuurlijk niet alleen het geval op ziekenhuissites maar veel meer medische informatiebronnen.
Grappig, ik ben het niet met azz_kikr eens precies om het voorbeeld wat jij noemt :+ Het surfgedrag binnen het domein van een ziekenhuis is harstikke privacy gevoelig, want bevat vaak redelijk duidelijke informatie. Als iemand een informatiefoldertje over prostaatkanker download, durf ik wel te gokken wat die persoon mankeert.

Moet je eens kijken wat een heisa er is als een onderzoeker een file met namen en diagnoses zou lekken via bijv. een verloren USB stick. Dan is de wereld te klein, maar de data die naarbuiten komt is in essentie hetzelfde.

Wel heb je een goed punt dat dit voor alel medische informatiebronnen geldt. Als we alle ziekenhuizen goed opgevoeg hebben, dan ben je er natuurlijk nog niet. Dikke kans dat je informatie nog steeds wel bekend is - op zijn minst bij Google, waar mensen natuurlijk gewoon hun klachten intoetsen en/of op hun diagnoses gaan zoeken (leuk voorbeeldje: https://en.wikipedia.org/wiki/Google_Flu_Trends).
Ik vind USB stick wel nog paar niveaus erger.
Op die USB stick staat letterlijk: Persoon A heeft kanker, casparvl heeft geslachtsverandering gedaan....... Waarschijnlijk nog met je volledig adres, telefoon en medische geschiedenis.

Toch wel heel wat anders dan merken dat ik op site van kliniek een foldertje download.

Ben wel akkoord, hoe meer encryptie, hoe beter (danzij LetsEncrypt kost het toch geen drol meer).
Maar je kan gewoon een informatieve site met wat tekst niet vergelijken met een login site met cruciale data?

Bv deze site van kliniek in de buurt (geen https) -> http://www.azsintblasius.be/

gewoon site met enkel raw data, geen forms, en contact formuliertjes. Dat zoiets geen https is, boeit me weinig. Het stoort me meer dat er FB en twitter knoppen staan op elke pagina -_-
Door die Facebook en Twitter knoppen, en vermoedelijk Google Analytics op de achtergrond, is je informatie al bij meerdere commerciele bedrijven (in de VS nota bene) bekend. Laat ze daar iets aan doen.
Absoluut niet! Alle ziekenhuizen zijn in rap tempo de webmodules van hun digitale dossier aan het uitrollen, als ze dat al niet gedaan hebben. Dat was namelijk een van de speerpunten de afgelopen jaren om de zorg meer 'transparant' te maken en 'de patient meer te betrekken'. Ziekenhuissites zijn tegenwoordig dus bijna allemaal portals gelinkt met de elektronische patiŽnten dossiers.
Bij die ziekenhuissites heb je ook online contactformulieren, bijvoorbeeld http://www.sintlucasandreasziekenhuis.nl/contact/klachten
Daar is het toch echt de bedoeling dat je privacygevoelige informatie invult, en afhankelijk van waar de klacht over gaat zelfs heel gevoelige informatie.
Ik snap niet helemaal waarom jij, en degenen die je post hebben opgemodereerd, daar zo laconiek over zijn.
Het Sint Lucas Andreas Ziekenhuis bestaat niet meer. Website van het OLVG is gewoon https.
Leg dan eens uit waarom dat klachtenformulier nog online staat.
Huh? Waarom moet ik dat uitleggen? Ik ben geen woordvoerder van het Sint Lucas Andreas of van het OLVG. Ik snap ook niet waarom de website van een ziekenhuis, dat nu onder een andere naam werkt en een nieuwe website heeft, de oude site nog online heeft staan.

Edit:
Van de nieuwe site olvg.nl...
"Het Sint Lucas Andreas Ziekenhuis en het Onze Lieve Vrouwe Gasthuis gaan samen verder als ťťn ziekenhuis, onder de naam OLVG.
Voorlopig kunt u voor informatie over uw behandeling of afspraak in OLVG, locatie West (voorheen Sint Lucas Andreas Ziekenhuis) nog terecht op de website www.slaz.nl"
...OMG 8)7

[Reactie gewijzigd door SpazzII op 7 januari 2017 21:38]

Vergeet ook niet de contactformulieren. Meestal staan daar wel wat gevoelige zaken in (waarom zoek je immers contact met een ziekenhuis), en dat gaat dan vrolijk open over de lijn. Er is altijd wel een voorbeeld van een groter issue te vinden (= ook een dooddoener als argument), daar gaat het ook niet om. In deze tijd van praktisch gratis HTTPS kan je als publieke instelling niet meer doen alsof het wel losloopt.
Zelfs in dat geval zou je graag willen dat de informatie van het betreffende ziekenhuis afkomstig is... En als je info over bepaalde ziektes zoekt dan wil je dat mogelijk niet aan de grote klok hangen. Dus niet https download van folders over HIV, SOA etc. kan ook verkeerd opgevat worden.

Daarnaast is zonder HTTPS all informatie on the fly aan te passen..
bv. Telefoon nummers in dure via via belnummers veranderen?
Of reclame (context gevoelig) toevoegen aan gedownloade info... [ is in de UK door een ISP gedaan ], omdat het kan.
Wist je dat je bij veel ziekenhuizen als patiŽnt toegang hebt tot je medisch dossier, dat je huisarts toegang heeft tot datzelfde dossier, incl medische beelden. Wist je dat je als patiŽnt online je afspraken kan beheren bij artsen?

overgedramatiseerd is niet het woord wat ik in de mond zou nemen...
Maar is dit dezelfde site als de ziekenhuis pagina, ik ken ook zat ziekenhuizen waarbij de hoofd site http is maar de toegang tot dossiers, beelden en afspraken via een redirect naar een https site gaat.

Daarnaast is het natuurlijk grappig dat de site van de organisatie zelf ook geen https ondersteund |:(
Dat kan allemaal wel, maar ik betwijfel sterk dat die websites niet achter HTTPS zitten. Het artikel vermeldt dit niet en ik ga ervan uit dat het dat wel zou doen als er een dusdanig flagrante amateursfout zou gemaakt zijn.
Zeg ik. Als dat het geval is, dan loopt er inderdaad iets heeeeel goed mis. :o

Ik heb wel al gemerkt.
Bij veel Vlaamse klinieken heb je dus totaal geen login ofso op hun website.
Bij Nederlandse heb je dit wel. Hier wordt je medisch dossier bijgehouden door een centraal platform ( eHealth-platform ) en dat in Nederland elke kliniek zijn eigen systeem heeft draaien om het dossier bij te houden. Dan heeft het ontbreken van https op iedere site wel een grotere impact. Een centraal systeem is "makkelijker" te beheren, anders heb je wildgroei.

Ik heb eens een aantal websites bezocht van Vlaamse ziekenhuizen (de niet https versies) en zijn gewoon de informatieve sites. Online afspraken zit dan wel achter https ineens ( waarom doen ze alles dan niet 8)7 )
"Het gaat om een ziekenhuisbreed project waar de minister vorig jaar 100 miljoen euro voor heeft uitgetrokken. Het moet leiden tot een waterdicht systeem waarmee patiŽnten hun gegevens kunnen inzien en online afspraken kunnen maken en waarmee tegelijk de cybersecurity op orde wordt gebracht", zegt een woordvoerster tegen de Volkskrant.
Laten we een probleem dat bij individuele ziekenhuizen ligt en op individuele basis opgelost kon worden aanpakken met een monolithisch en enorm overheids IT project van 100 miljoen euro dat in de basis een heel ander doel heeft. Wat kan er mis gaan?

Dan hebben we straks een enorme web-portal die, hopelijk, goed werkt en wellicht extern draait, maar de website met web-formulieren is nog steeds niet https.
Misschien omsluit de portal de bestaande functionaliteit op een dergelijke manier dat daarmee het probleem opgelost wordt? Het probleem in de zorgsector is dat er teveel eilandjes zijn die allemaal het beste voor hebben met de infrastructuur/gegevens maar allemaal op een eigen manier daarin falen.

Uit gesprekken met kenissen weet ik dat het een wirrewar van allerlei systemen is. Niet alleen aan de buitenkant maar ook aan de binnenkant. En dat allemaal omdat 'we' het epd hebben afgeschoten een aantal jaren geleden. Dat maakt het niet makkelijk. Het zou goed zijn voor de sector om over te gaan naar een zelfde manier van werken en daarop aansluitend een eigen pakket en niet allemaal eigen kleine stukjes software. Immers alle ziekenhuizen hebben een vergelijkbare typering aan data / gegevens. Als we dat kunnen stroomlijnen dan kan een hoop ergernis / fouten die er nu in dit soort systemen (en nogmaals, niet alleen websites) wordt opgelost.
https://xkcd.com/927/ We kennen hem allemaal inmiddels wel denk ik, al gaat dat over standaarden, met dit soort zaken is het niet veel anders.

Als er geinvesteerd wordt in 1 univeriseel platform, dan is dat (zeker op het begin) wezenlijk gewoon een extra eilandje erbij. Het duurt doorgaans erg lang voordat zoiets goed is ingeburgerd en iedereen is overgestapt. Bovendien zal het nieuwe platform ongetwijfeld nog genoeg zaken missen die alleen met de "oude troep" op te lossen is. Dit soort mentaliteit zorgde er oa. ook voor dat Internet Explorer 6 zo lang zo veel marktaandeel had.

Als ze nu met een systeem komen die alles kan vervangen en wel alles netjes via https enzo doet, dan durf ik te wedden dat het nog minstens 5 jaar (is wellicht al zelfs te optimistisch) duurt voordat het oude spul weg is, tenzij de overheid zich er actiever mee zal bemoeien met boetes of iets dergelijks (al betwijfel ik het nut van het beboeten van instanties die we bekostigen met belasting centen ...)

[Reactie gewijzigd door Zoop op 6 januari 2017 11:49]

Inderdaad. Daarom zul je ook eerst alle processen moeten stroomlijnen voordat je naar een bepaald systeem kan. Helaas is dat natuurlijk toekomstmuziek en zal het nooit gebeuren.
Beboeten, en met het geld van de boete de problemen door een externe partij met kennis van zaken op laten lossen zou ik zeggen.
Wat heeft het EPD hiermee te maken? Dat ging over het automatisch delen van gegevens, niet over het delen van infrastructuur. Ook bij het EPD zouden allemaal kleine eilandjes zijn ontstaan die ook nog eens centraal door iedereen in de zorg berijkbaar zouden worden.

Je kan best 2 of 3 nationale systemen hebben waaruit ziekenhuizen kunnen kiezen, maar die door professionals (overheid/bedrijfsleven) beheerd worden, en door centrale/regionale overheid gecontroleerd worden op veiligheid.

Door Opensource software te gebruiken kun je dit zelfs Europees delen en toch lokale ICTers inzetten en laten concurreren. (Wel graag ook op kwaliteit en niet alleen kosten!)
Zullen we het eerst maar eens landelijk voor elkaar zien te krijgen voordat we het Europees gaan regelen? We weten allemaal dat wanneer overheid gaat aanbesteden dat het nooit om een efficiency slag te doen is maar altijd om een kostenbesparing en daar is nog nooit een project beter van geworden.
De binnenkant zal nog heel lang een "wirrewar" van systemen blijven. Binnen een aantal specialismes worden nog steeds eigen systemen gebruikt die zo specifiek zijn dat dit niet zomaar in een EPD te vatten is. Dus wordt dat met koppelingen opgelost. Wirrewar is niet zo erg zolang je overal netjes labeltjes op geplakt hebt.

Het probleem is niet het EPD of het ontbreken van een landelijk EPD. De EPD systemen BINNEN het ziekenhuis voldoen prima in wat zij behoren te doen. Je moet dit echter niet klakkeloos aan het internet willen verbinden omdat dit om een radicaal andere manier van beheren gaat. Dan heb je (ICT-)specialisten nodig die dat compleet dicht timmeren, onderzoek doen naar mogelijke gaten in de beveiliging alles wat aan zero-day leaks en patches binnenkomt analyseert en hier op ingrijpt. Een gemiddeld ziekenhuis in Nederland heeft niet de bezetting om dat te realiseren.

Daarom is het prima dat een externe partij (direct of indirect gefinancieerd door de overheid) deze taak op zich neemt en alleen de informatie krijgt die het nodig heeft om de informatievoorziening richting de patient op orde te houden. Dus niet alle gegevens uit het EPD kopieren en plakken op het externe portaal maar zeer selectief gegevens opvragen via verbindingen die achter het portaal liggen. De standaard die daar ontwikkeld wordt kan dan door de EPD aanbieders 1 keer gebouwd worden en aan al hun klanten uitgeleverd worden.

Alleen maar https toepassen op de verbinding is echt niet het enige wat hier dient te gebeuren.
Probleem van de zorgsector is dat er inderdaad in 1 ziekenhuis vaak meer dan 200 leveranciers zijn van hard en software. Soms wel meer, wat je dan krijgt is dat de beveiliging gewoonweg uit wordt gezet omdat er altijd wel een leverancier er niet me over weg kan.

Tevens is het ook niet zo dat je zomaar naar een andere leverancier kan want de kosten zijn te groot hier voor. De ziekenhuizen zitten letterlijk voor een x aantal jaren vast aan bepaalde hardware en software.
En dit in tegenstelling tot andere bedrijfstakken ofzo? Het kan de mensen in de zorg kennelijk geen bal schelen, want het probleem speelt al jaren en ze doen er niks aan. En dat heeft niks met geld te maken, maar gewoon met aanpakken.
Helaas werkt het zo niet de meeste ziekenhuizen doen hetzelfde als de andere ziekenhuizen. Als de ene product A ' koopt' dan doet de hele groep waar ze in zitten het zelfde. Zo kunnen ze onderling bepaalde ervaringen uitwisselen.
Het gaat over HTTPs op je publieke website zetten. Een vinkje, een keyfiletje, misschien een regeltje config. Da's alles. Uurtje werk, en wat eurotjes voor het certificaat.
Vervolgens vallen al je koppelingen weg omdat product A een ander certificaat verwacht dan product B. Beiden worden door verschillende leveranciers geleverd die niet willen samenwerken.

Zo simpel is het helaas niet.
Zo werkt het niet. Je hebt als klant heel weinig te willen in de wereld van medische apparatuur. Je kunt nooit een contract afsluiten waarbij de leverancier zijn product aansluit op de standaard van de klant. Die leveranciers zitten in de luxe-positie dat ze kunnen zeggen: take it leave it. Er is bijna geen concurrentie
Andere bedrijfstakken komen in de verste verte niet in de buurt van de situatie van een ziekenhuis als het gaat om verscheidenheid aan hard- en software.
Websites... het gaat gewoon om hun websites. Met informatie over de openingstijden, parkeerplaatsen en waar je een afspraak kan maken.
Niks bijzonders, niks gevaarlijks, niks geks, niet eens iets medisch.
Nee, het gaat ook om portals waarbij de patiŽnt zijn of haar dossier kan inzien en alles wat daarachter zit. Dat dossier wordt weer gevormd door tientallen koppelingen met gespecialiseerde deelsystemen. Die website is alleen het topje van de ijsberg.
Waar is de onzichtbare hand van de vrije markt als je 'm nodig hebt? Die zou dit soort dingen toch automagisch moeten fixen?
Beveiligingsinvesteringen zijn lange termijn zaken en gaan ten koste van de directe resultaten.
Ziedaar de reden waarom bijvoorbeeld je router van buiten openstaat met een hardcoded default user/pass op telnet poort 4512.
...Uit gesprekken met kenissen weet ik dat het een wirrewar van allerlei systemen is. Niet alleen aan de buitenkant maar ook aan de binnenkant. En dat allemaal omdat 'we' het epd hebben afgeschoten een aantal jaren geleden. Dat maakt het niet makkelijk. Het zou goed zijn voor de sector om over te gaan naar een zelfde manier van werken en daarop aansluitend een eigen pakket en niet allemaal eigen kleine stukjes software. Immers alle ziekenhuizen hebben een vergelijkbare typering aan data / gegevens. Als we dat kunnen stroomlijnen dan kan een hoop ergernis / fouten die er nu in dit soort systemen (en nogmaals, niet alleen websites) wordt opgelost.
Dus gaan we huilie-huilie doen omdat 'het EPD' is afgeschoten 8)7 Er blijkt maar weer eens dat men rustig hun zin toch door zal blijven drammen om een EPD aan te kunnen leggen. ondanks dat juist DAT door het nederlandse volk werd afgeschoten. Maar omdat elke afdeling zijn eigen zwakzinnige implementatie heeft laat de APG het toe, sterker nog ze controleren niet eens of het wel veilig is.

Ondertussen wordt er NIETS gedaan aan het onderliggende probleem, namelijk dat er wetgeving zou moeten zijn die gigantische straffen (jaren gevangenis en miljoenenboetes) op het al dan niet bewust (of onbewust) lekken van data aan onbevoegden (en vooral aan verzekeraars).

Waar jij nu voor pleit is een EPD, min of meer in de trant van 'zie je wel' en ik denk dat bijna iedereen die ook wel graag zou willen (ja ook bijna alle tegenstanders), het probleem is dat men zowel de IT-partners, als de artsen, als de verzekeringswereld niet genoeg vertrouwdt om zo'n database veilig en prive te houden.

Los eerst dat probleem op, en ga daarna aan de slag met 'webformuliertjes en https-verbindingen, |:(
En dat allemaal omdat 'we' het epd hebben afgeschoten een aantal jaren geleden.
Ik zou eerder EPD tussen aanhalingtekens plaatsen. ;) Ieder ziekenhuis gebruikt een EPD, het SchakelPunt is inderdaad wel afgeschoten. Zonde, want daar was (wat je terrecht opmerkt) een hele lijst aan security eisen in opgenomen waar ziekenhuizen aan moeten voldoen voordat ze aangesloten konden worden. Nu zijn er geen LSP eisen, dus iedereen doet het op z'n eigen manier.
Dat ging alleen over de koppeling naar Schakelpunt EPD, niet over hoe mensen via een ziekenhuis het EPD zouden kunnen benaderen....
Het EPD zou dit echt niet opgelost hebben..., daarin was inzage in het dossier ook niet mogelijk ZONDER medische begeleiding. Maar het is natuurlijk een makkelijke smoes om de zaak maar weer z'n beloop te laten.
Dan blijft er meer bonus voor de directie over.

[Reactie gewijzigd door tweaknico op 6 januari 2017 13:50]

We weten ondertussen allang al dat de overheid graag miljoenen euro's uittrekt om gegevens te verzamelen die nu verspreid liggen zodat ze grote databases op kunnen bouwen om de gehele bevolking in de gaten te houden in ieder aspect van hun leven. Nu is er nog de keuze om jouw gegevens op te laten slaan in een landelijke database, maar dat zouden ze natuurlijk graag verplicht zien.

En het laatste waar ik op zit te wachten is mijn medische dossier (die niet eens heel interessant is) op een overheidsserver. Behalve dat ze zich niet kunnen beheersen met datamining-drift, hebben ze niet echt een goed track record als het op veiligheid van gegevens aan komt. Ziekenhuizen ook niet, maar door de verspreiding van data en het veelvoud aan ziekenhuizen is je data er relatief veiliger (grote partijen zijn interessanter als hackdoelwit dan kleintjes).

Dat hele project klinkt als een goede manier om in 1 klap de overheid, de AIVD, de belastingdienst, jouw verzekeringsmaatschappij en iedereen met een beetje hackskills aan meer data te helpen. En daar betalen we met z'n allen aan mee. :r
Sorry, maar ik vind 1 centraal punt juist beter, is in principe makkelijker te beveiligen dan 100 losse punten, en het voordeel is ook als je bv in groningen iets overkomt, dat ze daar met 1 druk op de knop ook jouw gegevens hebben (voor zover die natuurlijk compleet zijn) ipv maar moeten gokken, scheelt uiteindelijk ook weer knaken ivm onnodige onderzoeken.
Men vergeet hierbij ťťn ding. Als jij met spoed wordt binnengebracht duikt er helemaal niemand een EPD in om alle gegevens te gaan doorploegen van misschien 5 zorgverleners die allemaal data aanleveren aan het landelijk EPD. Als jij met spoed wordt binnengebracht volgt men standaardprocedures om jouw leven te redden. Daarna wordt er zorg op maat geboden op basis van informatie van andere zorgverleners. Die info kan dan gewoon via de reguliere kanalen worden doorgestuurd. Daar is geen centraal EPD voor nodig.
Het wordt allemaal veel te rooskleurig voorgesteld.
EPD V2.0? Alsjeblieft niet.
Goede zaak dat de overheid hier geld voor vrijmaakt. ICT is bij veel zorginstellingen een ondergeschikt kindje aangezien ze erg afhankelijk zijn van declarabele uren bij de verzekeringsmaatschappijen.
Nee, de overheid moet zich hier niet mee bemoeien.

Het grootste deel van de ziekenhuizen heeft het wel netjes voor elkaar, zonder dat daar subsidie van de overheid voor nodig was. De slechte ziekenhuizen krijgen nu eigenlijk een bonus voor iets wat ze allang netjes hadden moeten regelen! Een boete was meer op zijn plaats geweest.

Privacy en beveiliging in de gezondheidzorg is heel belangrijk, maar de gezondheidszorg is nu net een sector die (samen met de gemeenten) behoorlijk achter lopen.
Ziekenhuizen zijn zo lek als een mandje qua privacy. Niet alleen qua automatisering, maar ook qua papieren dossiers en privacygevoelige gesprekken in de ziekenhuiskamer die met meerdere personen gedeeld wordt.
Zelfs een wachtkamer is privacyschending.

Daar valt denk ik weinig aan te doen.
Of in de Eerste hulp....

Ik was daar eens en achter het gordijn werd daar even besproken hoe het verder moest van een behandeling van een feitelijk uitbehandelde kanker patient.....
Er werden geen namen genoemd, maar even later komt m'n vriendin een bekende tegen op de gang, een paar maanden later horen we dat een andere bekende voor euthanasie heeft gekozen.

M.I. had die patient wel even recht op een apart kamertje....
Precies.......waar maken we ons eigenlijk druk om.
De veilgheid op ICT gebied moet gewoon omhoog. Ik heb dat al vaker geschreven. Er zijn genoeg technieken waarmee dat kan. Elk ziekenhuis heeft ook wettelijk de plicht om die privacy te garanderen.
Dat je kan zien wie er allemaal in het ziekenhuis rondloopt is een vorm van privacyschending, maar dat heb je bij de Appie ook (al is dat wat onschuldiger). Daar kan je weinig aan doen. Het aantal wachtenden kan wel wat terug gebracht worden door een betere planning. Niet meer elk half uur drie patiŽnten laten komen in op volgorde van binnenkomst binnen roepen, maar gewoon netjes plannen. Een deel van de (vervolg) consulten kan ook per telefoon of Skype. Dan moet je wel even opletten wie er om je heen zit, maar dat heb je helemaal zelf in de hand. Beviel mij prima!
In een kamer met vier personen wordt het hele hebben en houden van een patiŽnt besproken. Ook als er bezoek voor andere patiŽnten is.
Dat zou wel eens anders mogen.
Dan moet je dat gewoon aangeven.
Het zou niet voor moeten komen.
Klopt. Maar ik ben talrijke illusies armer. Zodoende.
De mede patiŽnten kan je moeilijk wegsturen, maar het is een kleine moeite om de patiŽnt te vragen of hij/zij bezwaar heeft tegen de aanwezigheid van anderen, of dat gewoon standaard te verzoeken.
Ik heb helaas wel een paar keer in het ziekenhuis gelegen, maar ik heb zelf nooit een arts aan mijn bed gehad tijdens bezoek, wel eens van een kamergenoot. De specialist vroeg toen direct aan de bezoekers even ergens anders heen te gaan. Mijn kamergenoot vond dat niet nodig, maar dat was zijn beslissing.

Dit soort gedrag geeft wel aan hoe weinig men in de ziekenhuizen om privacy geeft.
Ik heb diverse keren meegemaakt dat de arts gedetailleerde medische informatie besprak bij andere patiŽnten en bezoek. Niet fijn.
Nee, want de overheid wil een centrale opslag van alle patiŽnten in NL zodat zij (opsporings- en inlichtingendiensten) er makkelijk bij kunnen of kunnen doorspelen naar de verzekeraars. Dat vind ik geen goeie ontwikkeling, eerder een rampzalige.

Een centrale opslag wordt ook een enorm lucratief doelwit voor hackers. Bij decentrale opslag is de beveiliging soms onvoldoende maar de schade ook beperkt.

[Reactie gewijzigd door ArtGod op 6 januari 2017 13:55]

Dan is het niet zo fijn om bijvoorbeeld aan het Electronische Patienten dossier mee te doen. Voor je het weet liggen je gegevens op straat.
Wat is de relatie tussen het EPD en een website van een ziekenhuis volgens jou?
Als ziekenhuizen hun beveiliging niet op orde hebben met betrekking tot IT dan vraag ik me af hoe het gesteld is met de veiligheid van gegevens van patienten.
Slecht imho.

Privacygevoelige gesprekken worden op de patiŽntkamer met andere patiŽnten erbij gevoerd.

Papieren dossiers zijn makkelijk toegankelijk voor iedereen.

Wachtkamers zijn funest voor je privacy.

Hier helpt geen HTTPS-verbinding aan.
De meeste EPD's worden door een van de grotere EPD fabrikanten gebouwd en meestal ook geÔmplementeerd. Helaas zijn er wel altijd ook ziekenhuizen die de implementatie ook zelf doen.
Je weet dat ongeveer ieder ziekenhuis op de een of andere manier EPDs gebruikt he? Hetzij via een los pakket, hetzij geintegreerd in hun ZIS.
Eind deze maand beginnen we er hier (epc) mee, maar de paletten patiŽnten dossiers die los, open en bloot in de kelders staan, incl dvd's met rx-foto's of zelfs nog op microfilm zijn ze vergeten...
Dit is wel een erg simpel "onderzoek", je hoeft alleen maar te kijken of je een "s" ziet.
Het zou interressanter zijn om de sites die wel https ondersteunen ook door ssllabs.com te halen.
Als ze nog steeds SSL2 ondersteunen, heb je nog steeds niks aan https.
Dit is wel een erg simpel "onderzoek", je hoeft alleen maar te kijken of je een "s" ziet.
Sommige sites gaan over http maar hun forms worden gePOST naar een https url. Dat zie je enkel in de HTML code. Natuurlijk is dat geen goede manier, maar het is wel veilig.
Nee het is niet veilig omdat het formulier dat gedownload wordt gemanipuleerd kan worden, met bv. een andere dan de bedoelde POST URL.
Ik zou even verder lezen dan alleen tweakers. Er is wel delijk verder gekeken.
Kunnen ze even uitleggen waar die 100 miljoen naar toe is gegaan dan? Het kost echt geen 100 miljoen om een paar SSL certificates te kopen en te installeren.

En dan durven ze nog te roepen dat het binnen vier (!!) jaar opgelost is.

Ik zou zeggen dat het binnen een jaar opgelost moet zijn anders vallen er MEGA-boetes!
Het moet leiden tot een waterdicht systeem waarmee patiŽnten hun gegevens kunnen inzien en online afspraken kunnen maken en waarmee tegelijk de cybersecurity op orde wordt gebracht
Het gaat dus niet alleen maar om het aanschaffen van een paar SSL certificaten...
Laat ze dan beginnen met het installeren van goede SSL certificaten binnen een jaar. Er is geen enkele goede reden om dat niet te doen en wellicht moeten ze een beetje aangespoord worden met wat boetes.
Ik heb het idee dat die 100 miljoen niet alleen is voor een paar certificaten maar ook voor een goede en beveiligde persoonlijke omgeving. Dat kan nogal wat gecompliceerder zijn. Neemt niet weg dat 4 jaar nog steeds erg lang is!
Maar misschien kost het iets meer tijd dan een jaar omdat er iets ontworpen en uitgevoerd moet worden dat ook nog een beetje toekomstbestendig is. Aan de andere kant moet we ook niet teveel NIH syndroom krijgen
Ik hoorde vanmorgen een kort interview met een woordvoerder van Women in Cyber Security op de radio en ik moet zeggen dat ik het niet erg sterk vond. De woordvoerder gaf aan dat ze geen 'hacks' hebben uitgevoerd om het onderzoek te doen en dat ze stopten op het moment dat het illegaal en/of in een grijs gebied zou komen. Ik vraag me daarom af of er Łberhaupt wel diepgaand onderzoek is gedaan en niet alleen kijken of de website HTTPS gebruikt of niet - al dan niet in combinatie met invulformulieren waarin gevoelige informatie dient te worden ingevuld.

Overigens lees ik in het artikel van Trouw dat, indien er 'bijzondere persoonsgegevens' opgegeven moeten worden, de versleuteling verplicht is. Dat is frappant want de woordvoerder op de radio werd gevraagd of ze vond dat versleuteling bij dergelijke websites verplicht zou moeten zijn en daarop kon ze geen goed antwoord geven. Dat zou betekenen dat ůf het artikel van Trouw niet klopt, ůf de woordvoerder/organisatie is niet op de hoogte dat er reeds een verplichting is?

Al met al een vaag verhaal, vind ik.

EDIT: De woordvoerder was trouwens Mary-Jo de Leeuw, welke ook in het Trouw artikel wordt genoemd.

[Reactie gewijzigd door Foodie88 op 6 januari 2017 11:51]

Ik heb dat 'interview' ook gehoord en ben het met je eens. Lijkt op makkelijk scoren. Vond met name dat de dame geen antwoord wist op wat er dan aan moet gebeuren. Daar heb je dan toch ook een gedachte bij.

Overigens doet de organisatie zelf ook niet aan https. Ze draaien wordpress 4.6.1 op php 5.6. Ook niet al te veilig. Maar goed, dat is een ander verhaal.
Ik deel dat gevoel met je. Er is niet veel meer 'onderzoek' gedaan dan kijken of er gebruik gemaakt wordt van https, maar ze doen net of het een baanbrekend verhaal is. Het is al jaren bekend dat ziekenhuiswebsites/systemen niet heel geweldig zijn.

Eigenlijk mag er op een publieke website sowieso geen medische informatie verzonden worden. Personeelsleden (zoals webmasters, afdeling communicatie) kunnen dan ook mee kijken en die hebben natuurlijk geen eed van Hippocrates afgelegd. Boven de meeste formulieren worden de bezoekers afgeraden om dit te versturen, maar het gebeurt regelmatig dat ze dat toch doen.
Waarom is het dan het nog steeds een issue als het al jaren bekend is...
Dus laksheid.

Soms is onderzoek heel eenvoudig... en is het niet nodig om een complete ongevraagde PenTest audit van een site te doen.
Ik vraag me daarom af of er Łberhaupt wel diepgaand onderzoek is gedaan en niet alleen kijken of de website HTTPS gebruikt of niet - al dan niet in combinatie met invulformulieren waarin gevoelige informatie dient te worden ingevuld.
Is dat nodig dan? De geconstateerde feiten zijn al erg genoeg. Wat moeten ze nog onderzoeken?
Als blijkt dat 25% van de ziekenhuizen de achterdeur open laat staan dan is dat nieuws op zich.

Het is inderdaad geen groot nieuws. Geen enkele IT'er zal hier door verbaasd zijn, we weten allemaal hoe het er voor staat. Waar het probleem ook moge zitten, iets gaat er niet goed en blijkbaar vindt de maatschappij het niet belangrijk genoeg om er iets aan te doen. Waarschijnlijk omdat de meeste mensen geen IT-achtergrond hebben en niet beseffen hoe groot het probleem is. Wat aandacht in de media kan helpen om het probleem bekend te maken.

Zolang de basis niet in orde is heeft het ook niet zo veel zin om verder onderzoek te doen. Het is een open deur (ha ha ha) dat er nog veel meer mis is met die systemen als dit soort dingen al fout gaan. Het grote publiek is trouwens toch niet geÔnteresseerd in wat er nu precies mis is, die willen alleen weten of het veilig is of niet.
Overigens lees ik in het artikel van Trouw dat, indien er 'bijzondere persoonsgegevens' opgegeven moeten worden, de versleuteling verplicht is. Dat is frappant want de woordvoerder op de radio werd gevraagd of ze vond dat versleuteling bij dergelijke websites verplicht zou moeten zijn en daarop kon ze geen goed antwoord geven. Dat zou betekenen dat ůf het artikel van Trouw niet klopt, ůf de woordvoerder/organisatie is niet op de hoogte dat er reeds een verplichting is?
Ik weet dat Trouw gelijk heeft, het is verplicht. Nouja, strict genomen ben je verplicht om te zorgen dat het veilig is. Als jij een manier kan bedenken om dat zonder encryptie te doen is het ook goed, maar in praktijk komt het er op neer dat je encryptie moet gebruiken. Dus blijkbaar is deze woordvoerder niet goed op de hoogte. Laten we maar zeggen dat het aantoont hoe groot het probleem is...

Het is zo iets als dat er niet in de wet staat dat je geen handrembochtjes mag maken met de auto. Als jij dat kan doen op een manier die meneer agent overtuigd dat het veilig is dan is er niks aan de hand. In praktijk komt zelfs Max Verstappen daar niet mee weg.

[Reactie gewijzigd door CAPSLOCK2000 op 6 januari 2017 17:24]

Onderschat mad Max niet .....
Dat gevoel deel ik met je. Ik zat ook even op hun website te kijken uit interesse, waar ik een artikel vond met de titel, "mannen slopen, vrouwelijke hackers bouwen".

"De vrouwen die wel in cybersecurity werken, doen vaak maatschappelijk belangrijk werk. ‘Veel mannelijke hackers slopen, halen dingen uit elkaar. Vrouwen zijn veel meer aan het bouwen.""

Hoewel ik bovenstaande A. enorm generaliserend en on-onderbouwd vind, is het B. toch ook zo dat binnen cybersecurity, pen-testen enzovoorts het enorm belangrijk is om dingen te "slopen, uit elkaar te halen, kijken wat het doet bij onverwachte input.".

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*