1. #beveiliging
  2. #desktopcomputer
  3. #electronisch-patient-dossier
  4. #epd
  5. #fraude
  6. #nictiz
  7. #politiek
  8. #ziekenhuis
  9. Artikelen

<< error >> (our Markdown requires webpage links, not image links, see manual)

Desktopcomputers slaan gat in beveiliging EPD

Ineens weer terug van weggeweest: Electronisch Patient Dossier!

Door het ontbreken van adequate beveiliging op pc's in ziekenhuizen, ontstaat er een mogelijk gat in de beveiliging van het elektronisch patiëntendossier (EPD).

Het ministerie van Volksgezondheid, Welzijn en Sport zal ziekenhuizen niet dwingen om hun computers extra te beveiligen tegen bijvoorbeeld hackers. Dit blijkt uit een intern rapport van Nictiz, waar RTL Nieuws over bericht. Nictiz is mede betrokken bij de technische realisatie van het EPD.

Het rapport maakt melding van een Nictiz-vergadering waarop wordt gesproken over mogelijke beveiligingsaudits tegen inbraken op desktopcomputers in ziekenhuizen. Volgens de notulen van de vergadering is dat geen eis van het ministerie, en daarom vinden er ook geen controles plaats op desktopsecurity.
Rommelig

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen, omschrijft de manier waarop de medische sector omgaat met de data als 'rommelig'. "Het is vrij makkelijk om een ziekenhuis binnen te lopen. Daar staan computers vaak de hele dag open," constateert Jacobs tegenover RTL Nieuws.

Het uitblijven van een goede beveiliging van desktopcomputers in ziekenhuizen voedt de discussie over het EPD. Critici waarschuwen al langer dat het systeem een aantrekkelijk doelwit zal vormen voor datadieven. Het bevat immers data over praktisch alle Nederlanders. Bovendien heeft elke gebruiker van het systeem onbeperkt toegang tot al die persoonsgegevens.
UZI-pas

De gegevens worden afgeschermd door middel van de zogenaamde UZI-pas: een pasje en bijbehorende pincode. Het systeem houdt per medewerker bij welke data hij of zij opvraagt. Onderzoekers schoten eerder al gaten in de beveiliging van deze pas. Wanneer de computer van een medewerker is gehackt, zouden datadieven het pasjessysteem juist eenvoudig in hun voordeel kunnen aanwenden.

webwereld.nl

No Rights Reserved (CC0 1.0)
7
  1. patricksavalle@patricksavalle
    #46603
    Ik begrijp niet dat die discussie nog voortduurt en dat het nog steeds over deze soort onveiligheid gaat. Die gegevens zijn geld waard DUS zullen ze uitlekken / of worden verkocht. In de VS zie je dat al op grote schaal gebeuren.

    Het naakte feit dat ze bij elkaar worden gebracht in een centrale database is het probleem. Niet de al dan niet perfecte beveiliging.

    Money will find a way.
  2. still-wildflower-1428@still-wildflower-1428
    #46609
    NAW gegevens van een enkel persoon hebben al een (zwarte)marktwaarde van ongeveer 40 euro... Je kunt op je vingers natellen dat een heel medisch dossier een veelvoud daarvan gaat opbrengen.

    En tja, laat de markt dan maar zijn werk doen... Vraag creëert aanbod. Ofwel, wat Patman zei, "Money will find a way" :)
  3. wandering-dew-6082@wandering-dew-6082
    #46615
    In het ziekenhuis waar ik tot medio dit jaar werkte waren alle pc's standaard voorzien van Internet Explorer 6. Gebruikers konden ook zelf geen andere browser installeren.
    Nou ben ik niet zo'n hele grote kenner maar is IE6 echt de veiligste browser?
  4. withered-disk-3638@withered-disk-3638
    #46629
    "Door het ontbreken van adequate beveiliging op pc's in ziekenhuizen, ontstaat er een mogelijk gat in de beveiliging van het elektronisch patiëntendossier (EPD)."

    Vergeet naast de technische kant ook de menselijke kant van de zaak niet social engineering. Immers hebben meerdere journalisten al laten zien dat ze telefonisch van alles loskrijgen door zich uit te geven als medewerker van een ander ziekenhuis. Ook is het gelukt om hele patientendossiers doorgefaxed te krijgen.

    Op zich niet opmerkelijk, want de medewerkers in een ziekenhuis zijn eerder bezig met risico's voor de gezondheid van patienten, dan met risico's op het gebied van informatiebeveiliging. Toch vormt dit een zeer groot risico.
  5. withered-disk-3638@withered-disk-3638
    #46630
    "Nou ben ik niet zo'n hele grote kenner maar is IE6 echt de veiligste browser? "

    Nee, niet bepaald. Op het moment speelt er zelfs een zeer groot probleem met IE6/IE7 door een nieuwe kwetsbaarheid, waarvoor nog geen patch uit is, en waarvan men na de publicatie van een werkende exploit eerder deze week verwacht dat dit binnen enkele dagen zal resulteren in een nieuwe worm.

    Hier enkele bronnen :

    Microsoft IE6/IE7 CSS Handling Code Execution Vulnerability
    http://security-sh3ll.blogspot.com/2009/11/microsoft-internet-explorer-css.html

    Microsoft Security Advisory (977981) - Vulnerability in Internet Explorer Could Allow Remote Code Execution
    http://www.microsoft.com/technet/security/advisory/977981.mspx

    Attacks appear imminent as IE exploit is improved
    http://www.arnnet.com.au/article/327758/attacks_appear_imminent_ie_exploit_improved

    Symantec elevates Threatcon Level due to the publication of this exploit code
    http://www.symantec.com/security_response/threatconlearn.jsp
  6. withered-disk-3638@withered-disk-3638
    #46632
    "In het ziekenhuis waar ik tot medio dit jaar werkte waren alle pc's standaard voorzien van Internet Explorer 6. Gebruikers konden ook zelf geen andere browser installeren."

    Ik vermoed verder dat men niet erg veel aandacht besteed aan het patchen van systemen bij nieuwe vulnerabilities waardoor de systemen nog kwetsbaarder zijn ?
  7. wandering-dew-6082@wandering-dew-6082
    #46638
    @ff

    damn i knew it
    Dat IE6 niet de veiligste browser is wist ik wel, zo veel verstand heb ik er nou ook wel weer van :-) Deze keuze heeft me altijd verbaasd maar de heeft waarschijnlijk te maken met (zover ik het kon inschatten, ik was applicatiebeheerder, geen systeembeheerder) compatibiliteit met allerlei op maat gemaakte software. Ook de contracten met Dell/ Microsoft zullen wel meespelen.

    Patches/ Updates installeren gebeurde door de gebruikers zelf :-)
    En dat duurt altijd zo lang, voordat Windows dan is afgesloten.
    Een grote organisatie van +/- 13.000 medewerkers, veel daarvan wat ouder. Dat wil niet alles zeggen maar er zijn veel mensen die alleen met een computer overweg kunnen als ze precies doen wat ze hebben geleerd: bestand aanklikken; openen; opslaan. Krijg je weer een telefoontje als ze een popup schermpje krijgen dat ze niet kennen.
    Is niet goed voor de beveiliging nee.