Medische informatie is een van de meest gevoelige die er is. Niet voor niets is de publieke verontwaardiging groot als blijkt dat medische en persoonlijke informatie niet goed beveiligd is.
Onlangs was de aflevering ‘De verzuimpolitie II’ van Zembla op tv. Het programma liet zien hoe gegevens van meer dan driehonderdduizend medewerkers van verschillende bedrijven in het computerprogramma Humannet van it-bedrijf VCD maandenlang vrij toegankelijk waren. Hoe kan het dat met de huidige beveiligingsmogelijkheden systemen met gevoelige data nog steeds wagenwijd openstaan? Het lijkt erop dat hoster en eindklant elkaar de zwarte piet toespelen. Dit is niet alleen een onhoudbare, maar ook een onnodige situatie. Er zijn namelijk oplossingen die betaalbaar zijn en zorgen voor krachtige bescherming.
Zembla legde pijnlijk bloot hoe slecht het gesteld is met de beveiliging van sommige zorgsystemen. Zo blijkt dat verzuimapplicatie Humannet vatbaar is voor SQL-injecties, een ‘basisfout’ in de beveiliging. Hoogleraar Jacobs van de Radboud Universiteit Nijmegen nam de proef op de som. Binnen een kwartier was hij samen met studenten met behulp van een SQL-injectie in het systeem en had hij controle over een beheeraccount. Wat vervolgens de activiteiten kunnen zijn, valt wel te raden. Feit is dat door de beveiligingslekken relatief eenvoudig toegang is te krijgen tot adresgegevens en informatie over verzuim, herstel en re-integratie. Doordat steeds meer applicaties zijn gekoppeld via het internet en er meer data in applicaties is opgeslagen dan je zou denken, is het risico van een lek nog veel groter. Informatie die geld waard is en zelfs zou kunnen leiden tot chantage.
Wie is verantwoordelijk?
In de Zembla-aflevering gaf VCD aan dat er geen hack heeft plaatsgevonden, maar dat men op oneigenlijke wijze een gebruikersnaam en wachtwoord heeft kunnen bemachtigen en zich daarmee toegang verschaft heeft. Het maakt uiteindelijk niet uit of men via een hack toegang heeft gekregen, of door het vinden, raden, stelen of hacken van een wachtwoord. Het feit blijft dat de zwakste schakel, de mens, met een ouderwets mechanisme toegang krijgt tot deze systemen. Wat opviel, is dat er wachtwoorden werden gebruikt als '123456'. Iedereen begrijpt dat zoiets geen sterk wachtwoord is. Kunnen we dat een gebruiker kwalijk nemen? Ik denk niet dat dit probleem bij de gebruiker mag worden neergelegd. Want wie heeft nu eigenlijk echt de verantwoordelijkheid dat gegevens goed beschermd zijn? Is dat de hoster of de eindklant (hier dus de zorginstelling)?
Ik ben van mening dat goede beveiliging een gezamenlijke inspanning moet zijn van deze twee partijen, ongeacht bij wie de wettelijke verantwoordelijkheid ligt. En mocht de zorginstelling er niet voor kiezen om te investeren in beveiliging, dan zou die partij bijvoorbeeld een contract moeten ondertekenen dat ze ervan op de hoogte is, dat de gegevens die zijn ondergebracht in het datacenter van de hoster, risico lopen. Op die manier is in ieder geval duidelijk waar de verantwoordelijkheid ligt. Verder pleit ik voor het opstellen van best practices voor beveiliging en strengere wet- en regelgeving voor wat betreft beveiliging van (zorg)gegevens. Immers, nu kan geen enkele instantie afdwingen wat er aan beveiliging ingericht moet zijn.
Waar de verantwoordelijkheid ook ligt of hoe een beveiligingslek kan ontstaan doet er eigenlijk niet toe. Feit is dat medische gegevens optimaal beschermd moeten zijn en nooit op straat mogen komen te liggen. Het is veel makkelijker om beveiliging naar een hoger niveau te brengen dan nu algemeen wordt gesteld. De huidige stand van de technologie maakt het mogelijk om de beveiliging relatief voordelig en gebruiksvriendelijk te verbeteren. Neem two-factor authenticatie met behulp van een token of een app op een smartphone. Als alternatief zie je vaak dat sms-authenticatie wordt gebruikt. Die breidt de gebruikersnaam en wachtwoordcombinatie om in te loggen uit met een extra beveiligingslaag. Deze techniek is zo ontwikkeld, dat het erg makkelijk is in het gebruik en technisch makkelijk te implementeren. Deze vorm van bescherming is al beschikbaar voor een prijs die lager is dan een kopje koffie per gebruiker per maand. Om redenen van kosten of complexiteit hoeven we dit dus niet te laten. Het is op zijn minst vreemd dat we het meer dan normaal vinden dat we met behulp van een token inloggen op ons bankaccount en dat dit niet gebeurt als het gaat om inloggen in een database met bijvoorbeeld medische gegevens. Doen we dat niet, dan kunnen we binnenkort weer een Zembla-aflevering verwachten met een nieuw beveiligingsschandaal.
Beste Rob,
Allereerst mijn complimenten over je artikel. Het is een terechte constatering dat het beschamend is hoe (relatief) eenvoudig het is om dergelijke gevoelige informatie boven water te krijgen. Specialisten kunnen nog te vaak met niet al te veel moeite inbreken in systemen. Daarnaast zijn er nog te weinig organisaties die aandacht besteden aan security testen of andere beperkende maatregelen nemen.
Een mogelijke interessante toevoeging op je artikel en de beveiligingsopties die je noemt is de naleving van de OWASP Top 10 Cheat Sheet. Deze lijst kan organisaties helpen de door Zembla geschetste situatie te voorkomen. OWASP is een open-source applicatiebeveiliging project en heeft binnen security testen haar plek reeds verworven. Ook heb ik al een aantal organisaties gezien waar deze lijst bij de ontwikkelaars en FAB’ers aan de muur gespijkerd is om zo te voorkomen dat gegevens op straat belanden. Er is dus zeker nog hoop!
De lijst is hier te vinden: https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet
Dank je Rene. Dat is inderdaad een goede tip waar elke webapplicatie bouwer / eigenaar naar zou moeten kijken.
Ter bevestiging van het beeld aangaande de risico’s die steeds in dit soort artikelen worden geschetst, zou ik wel eens een artikeltje willen zien waarin via een opsomming van feiten duidelijk wordt dat er daadwerkelijk gegevens zijn gestolen en gebruikt voor chantage, of gemanipuleerd, verwijderd of gewijzigd en welke gevolgen dat had. Wellicht krijgt de boodschap dan de impact die hij nodig heeft voor serieuze actie en vervallen we niet om de zoveel weken in herhalingen.
Daarnaast blijf ik erbij dat er geen sprake is van een hack als je een gebruikersnaam en password op een presenteerblaadje krijgt aangereikt van een (rancuneuze?) (ex?) medewerker. Zo lust ik er nog wel een paar. Hiermee wordt vooral aangetoond dat de mens de zwakste schakel is en niet de techniek.
Bovendien: als er mensen zijn die slimme oplossingen kunnen verzinnen, dan zijn er ook mensen die nog slimmere hacks e.d. uit kunnen voeren. Bottom line is dat alles zijn prijs heeft en dat betekent dat we niet alles via ICT op allerlei manieren toegankelijk moeten willen maken.
Verder weten we dat aan de andere kant van die ICT ook specialisten zelf de fout in kunnen gaan (herinner u het verhaal van de Enschedese neuroloog of de recente artikelen over fraude bij wetenschappelijk onderzoek). Heb je de ICT beveiligd, maar ga je alsnog de pijp uit omdat de specialist en de behandeling niet deugt.
precies HK, dat is de essentie. De mens is de zwakste schakel dus het zou mooi zijn als die uit dit proces van aanloggen met een zwak iets als username/wachtwoord wordt weggenomen. En natuurlijk is het geen hack als je een gebruikersnaam/wachtwoord krijgt aangereikt. Het bewijst alleen des te meer dat dit mechanisme geen handige is. En de “ratrace” tussen beveiligers en hackers zal blijven bestaan. Niets doen omtrent beveiliging is alleen ook geen oplossing, we zullen wel moeten. En om dan ICT als middel om dossiers handig toegankelijk te maken links te laten liggen is natuurlijk niet de weg, zo innoveren we nooit meer. En de beveiliging van de dossiers is bij papieren dossiers net zo min 100% gewaarborgd.
Er zijn trouwens genoeg voorbeelden dat data is gestolen en daarna misbruikt, de impact is bij velen al duidelijk. Niet bij iedereen, dat ben ik met je eens. Daarom zijn dit soort berichten van bijvoorbeeld Zembla en een discussie op Computable mooie dingen.
hk, het is helaas onmogelijk om een betrouwbare opsomming te geven van feiten. Een goede hacker laat geen sporen achter want hij heeft meer belang bij dat het lek blijft bestaan. Een risico is een kans op een gebeurtenis met een gevolg. Een rancuneuze medewerker is een risico, maar waar ICT ook tegenmaatregelen kan bieden middels technologie (bv sterke authenticatie) en anderszijds via processen (bv toegang direct dichtzetten, functiescheiding) zodat de kans van optreden wordt verkleind.
Ik ben het helemaal met je eens dat je via ICT niet alles toegankelijk moet maken, zeker wanneer het gevolg op een risico groot is en kans van optreden aanwezig is.
Om data en gegevens veilig te kunnen stellen heb je te maken met twee onderwerpen: gebruikers en techniek.
Techniek heb je zelf in de handen maar op de gebruikers kun je beperkt of helemaal geen invloed uitoefenen. Beveiliging kent verschillende lagen en plekjes in de architectuur. Door het toepassen van de mogelijkheden die door techniek aangeboden worden kun je tegelijkertijd de invloed en afhankelijkheden van eindgebruikers (lees zwakke schakel) beperken. Hierdoor kun je gegarandeerd je beveiligsniveau verhogen.
2factor-authenticatie is een maatregel die je aan een deel van dit geheel kan toepassen. Als we het over verhogen van beveiliging hebben dan moeten we in de hele keten en bij elke schakel kijken en de benodigde maatregelen nemen en niet alleen bij een deel.
Ik denk dat het tot mijn verantwoordelijkheid als hoster behoort de juiste techniek, op de juiste lagen en plekken toe te passen zodat de aangeboden dienst gegarandeerd beveiligd verleend en bewaakt wordt. Gaat dit wat kosten?! Maakt het maar met je klant bespreekbaar en als hij toch voor een goedkope optie kiest dan valt je niks te verwijten als er iets gebeurd is.
@reza, ik begrijp je punt niet goed. Herhaal je niet wat ik hierboven al beschreef?
@Rob:
Mijn reactie is een kleine uitbereiding van je advies.
Samengevat
-Verhoog het beveiligsniveau door het verkleinen van de invloed (nalatigheid, onoplettendheid) van eindgebruiker in het proces. Dit kun je doen door het inzetten van de nieuwe technologieën en oplossingen.
-Het verhogen van beveiliging vereist de aanpak in de “hele keten” van de aangeboden dienst en niet alleen een deel ervan. 2factor-autenticatie (zoals je benoemd hebt) is een maatregel die een onderdeel is van de totale “Security Layring” van de architectuur en de aangeboden dienst. Tegelijkertijd moet op andere niveaus en lagen zoals op databaseniveau, applicatieniveau etc andere maatregelen genomen worden.
Ik vind het wel aardig te zien dat men graag komt met allerlei adviezen terwijl, en dat heb ik in eerdere reacties en blogs steeds naar voren gebracht, het euvel hem zit in het momentum veel eerder in het proces.
Het is domweg een hiaat in de kennis en ervaring die kan leiden tot dit soort ridicule situaties. Namelijk dat er iets wordt geproduceerd zonder dat men ervoor zorgt dat de keten op zich goed is gesloten.
Het is heel eenvoudig. Wanneer je in de keten bepaalde noodzakelijke stappen niet opneemt en uitvoert, kun je net zoveel scenario’s bedenken alleen is het probleem daarmee niet aangepakt. Wanneer mensen in die keten zich niet bewust daarvan zijn, blijft dit een terugkerend event.
Dat betekend ook de telkens weer de terugkerende zaak dat wanneer men uit winstbejag de IT denkt te kunnen gebruiken als sluitstuk, en domweg schakels uit die ketens gaat halen, dan krijg je dit soort situaties. Even terug naar het probleem van VCD…….
Elk excuus dat men daar aan draagt is al een akte van onvermogen op zich. Het feit dat men zich klaarblijkelijk niet heeft gerealiseerd dat dit soort zaken nu eenmaal plaats nemen, en dat steeds vaker in de tijd waarin we leven, en dat men daar zelf geen rekening mee heeft gehouden, is al een(zakelijke) teken aan de wand op zich.
IT is een bijzonder voorspelbare materie en laat je ergens iets na, dan heeft dat gewoon consequenties. Men had beter kunnen toegeven een hiaat te hebben gedetecteerd en dat op hebben gelost dan had men allang verder kunnen gaan maar als de hiaten deel uit maken van iets cruciaal als beveiliging, op dit niveau, met dit type data, dan zegt dat iets over hoe men met de materie bezig is.
Gewoon weer een leermoment voor de business waar besparingen in IT toe kunnen leiden en een leermoment voor IT dat men bedacht moet zijn op dit soort hiaten en er een controle mechanisme in het proces moet aanbrengen.
Kwestie van kwaliteit.