Minister De Jonge van Volksgezondheid kreeg kamervragen van het CDA en SP over de aanvallen op de Citrix-servers van het Medisch Centrum Leeuwarden. Door de aanval werd besloten het ziekenhuis van de virtuele buitenwereld af te sluiten. Volgens het ziekenhuis zijn er geen gegevens buitgemaakt, maar toch wordt dit ineens een landelijk debat. Goed, of een beetje overdreven?
Eerder deze week werd bekend dat er een kwetsbaarheid in bepaalde Citrix-software zat en vermoedelijk had deze aanval op het ziekenhuis dan ook specifiek daarmee te maken. Citrix komt volgende week met een patch en in de tussentijd heeft het bedrijf een website opgezet om organisaties die van hun diensten gebruik maken van passende informatie te voorzien.
Van den Berg, CDA-kamerlid, wil nu graag weten of er andere ziekenhuizen Citrix-servers gebruiken en of daar inbraakpogingen gedaan zijn. Het SP-kamerlid Hijink wil weten welke ziekenhuizen nog niet bij Z-Cert zijn aangesloten en waarom Z-Cert geen bericht op zijn site heeft staan met betrekking tot de risico’s van het werken met Citrix.
Je zou denken: inmiddels is wel bekend hoe het zit met veiligheid, patiëntengegevens en al dat soort zaken. Zelfs als het misgaat, niet dat het de bedoeling is natuurlijk, zelfs dan is al bijna veertig jaar bekend dat computers en netwerken aangevallen kunnen worden.
Met andere woorden: is dit een landelijke kwestie of worden hier mensen aan het werk gehouden op het ministerie over zaken waar ze geen fluit mee te maken hebben, wat denkt u?
Dit was/is al veel langer bekend dat ziekenhuizen een doorgaans slechte IT beveiliging hebben. Heb het zelfs met eigen ogen gezien. Mede daarom wil ik absoluut niet aan een EPD meedoen want dat is niet veilig.
Johan, dus geen enkele EPD kan je goedkeuring dragen? En de gevolgen van een slechte IT beveiliging schat je hoger in dan de gezondheids risico’s bij het hebben van te weinig informatie?
Ik snap je punt hoor maar ik doe een andere inschatting.
Wat is de kans? Wat is de impact? Wat zijn de gevolgen? Welke maatregelen kan ik treffen?
Als de redenering klopt dat, “omdat ziekenhuizen slechte IT beveliging hebben”, ik niet mee zou doen met EPD, en dat soort redeneringen, dan zou ik altijd thuis moet blijven. ‘Er gebeuren dagelijks ongelukken met auto’s, dus mij niet gezien in een auto’.
En over de discussie: De Tweede Kamer: Als ik daar soms debatten zie en hoor over IT gerelateerde zaken slaat het plaatsvervangend schaamrood mij om de kaken. En als ik bijgaand citaat lees, krijg ik toch jeuk:
Van den Berg, CDA-kamerlid, wil nu graag weten of er andere ziekenhuizen Citrix-servers gebruiken en of daar inbraakpogingen gedaan zijn. Het SP-kamerlid Hijink wil weten welke ziekenhuizen nog niet bij Z-Cert zijn aangesloten en waarom Z-Cert geen bericht op zijn site heeft staan met betrekking tot de risico’s van het werken met Citrix.
We slaan dan echt door met dit soort schijn-veiligheids-discussies. Natuurlijk zijn er meer ziekenhuizen met Citrix, dat is een tijd lang de facto standaard geweest. En natuurlijk zijn er meer ziekenhuizen, waar men al pogingen tot inbraak gedaan heeft, dat doet men overal waar interessante data te vinden is. En als Z-Cert iets op de website moet zetten over veiligheidsrisico’s, dan moet elke software provider die info op de website zetten. (Als een soort: Let op: geld lenen kost geld, of Drank maakt meer kapot dan je lief is, of Kan sporen van noten bevatten.) Dat is namelijk inherent aan software: er zitten fouten in.
Als iedereen elk risico mijdt, omdat er iets zou kunnen gebeuren, dan zou de maatschappij onleefbaar worden en niet meer vooruit komen.
Ik zie inderdaad meer in het omgaan met de risico’s die je nu eenmaal neemt in het leven, dan in het vermijden van elk risico en daardoor veel grotere problemen (voor jezelf?) veroorzaken.
Ach Johan,
die diskussie heb ik in mijn tijd ook vaak gehad. Toen lagen de patientendossiers van papier op vele plaatsen in het ziekenhuis zo voor het grijpen.
Wat mij stoort is 1 centraal EPD, daar heb je een extreme beveiliging voor nodig zodat niet de een of andere verzekeraar in de verleiding komt om zijn risico’s te verkleinen.
Ik snap de angst, maar technisch gezien is het toch best te beveiligen dat bij diefstal niet alle data direct te lezen is?
LastPass is ook een cloud dienst, Google biedt zijn services ook vanuit een centrale omgeving aan (die vervolgens gedistribueerd en versleuteld is).
Dat we stemmen op papier doen kan ik mee leven, maar dat we medische gegevens niet eenvoudig en traceerbaar op kunnen slaan gaat er bij mij niet in.
@ henri,
neen het is niet te beveiligen accepteer dat nou maar gewoon. het is hooguit NU even TIJDELIJK veilig genoeg. technology is nog nooit een goede lange termijn oplossing geweest over meerder generaties voor menselijke problemen (technology gaat fundamenteel in tegen evolutie ivm de verschillende tijdschalen van de dynamiek).
neemt niet weg dat een risico analyse OP DIT MOMENT je doet besluiten dan toch maar een EPD te doen, maar ik zou dan wel ook wetgever graag met die ontwikkelingen mee zien gaan en de burger beschermen ipv in den beginnen als oorzaak van problemen of crimineel te behandelen in de digitale vooruitdrang van iedereen en alles [hallo… ja jij… belastingdienst].
kleine rant nu om mijn punt duidelijk te maken;
net zoals bij on-line bankieren waarbij alle risico bij de bank afgedenkt worden en op de klant afgewenteld zijn en dat tegelijkertijd de klant gedwongen wordt mee te internet bankieren omdat kantoren dicht gaan etc. etc. etc. het eeuwen oude probleem van commercieel gemotiveerde systeem denkers die voor de 80% gaan en de resterende 20% gewoon laten zitten. daar is dus een overheid voor nodig en die is dus cruciaal in de huidige digidrang. het is de nederlandse bank die de andere banken en bedrijven erop wijzen dat er altijd nog een noodzaak is voor contante betalingen om allerlij redenen. ik ben een actieve publicerende gepromoveerd academicus (en IT techneut/programmeur) van middelbare leeftijd. mijn tijd zal het wezen, ik val in de gunstige demografie, maar kijk nu eens op straat, daar lopen ook andere mensen rond, verwarde, hulp zoekende, ouder, hele jonge, gehandicapten etc. etc. etc. die 20% die links gelaten wordt en het maar mag uitzoeken? dog-eat-dog, recht van de sterkste, markt-werking? begrijp we het niet? iedereen zal eens in zijn leven tot die zwakkere 20% gaan behoren!
terug naar de citrix;
waarom is het nu zo een drama allemaal? dat er even niet met citrix gewerkt kan worden totdat er een fatsoenlijke patch is? een weekje? stort de wereld nu voor die 80%-ers in elkaar? krijgen we daarom politieke paniek reacties? of zijn dit soort incidenten de laatste jaren nu te vaak aan de orde en is het eerder een signaal van de huidige digitale stand van zaken van onze maatschappij? dat er kamervragen zijn hierover, en het gezeur in maastricht even in mijn achterhoofd erbij, laat wel vrij PIJNLIJK duidelijk zien dat we TE afhankelijk geworden zijn van die digidrang en de systeem denkers die voor de 80% gaan!
het is nu paniek-voetbal-tijd. dus pak pop-corn en kijk rond als je net als ik een 80%-er bent.
[sarcasme, dus niet letterlijk mijn mening;
zit je in de 20%? sorry, voor jouw is geen ruimte meer, in de zorg, in de klas en er zal geen huis voor je zijn als je een jonkie bent, er is geen plaats voor je in deze ren mee of sterf af maatschappij.]
@Henri,
Google en EPD is niet conform de gdpr, De laatst paar jaar zijn bij google ontwikkelingen te zien die op gebied van privacy niet bepaald optimistisch stemmen, iedere monopolist is een risico.
Het gaat erom dat het technisch kan. Een monopolist is inderdaad niet handig. Tot een protocol komen met meerdere partijen lijkt ook lastig en een overheid iets laten ontwikkelen lijkt ook een slecht idee.
Maar dit is weer erg off-topic. In mijn ogen is de Citrix kwetsbaarheid de ernstigste die we tot nu toe gezien hebben ooit. Dus Kamervragen in de deze vind ik niet overtrokken.
Het schijnt dat niet alleen ziekenhuizen getroffen zijn maar ook gemeenten en ander overheidsorganisaties want het ‘Any Time & Any Place’ werken is gebaseerd op een toegang via Citrix servers welke uit voorzorg uitgezet zijn. Betreffende voorzorgen zouden de kamervragen wat mij betreft dan ook moeten gaan om de vrijblijvendheid van adviezen, het uitzetten van de servers is een vergaande maatregel omdat daarmee de continuïteit van een organisatie in het geding komt. En daarom worden de adviezen van een Computer Emergency Response Team nog vaak genegeerd, een parlementair enquête lijkt me op zijn plaats om de positie van het NCSC te verbeteren.
Ik heb in 1996 eenmaal Citrix verkocht aan een klant die met pc-anywhere werkte en hun pc’s daarvoor aan lieten staan. Toen kwam NT-4 Terminal Server Edition in 97 en heb ik nooit meer een reden gezien om – soms uikomend op meer dan 100.000 per jaar euro extra – Citrix aan te bieden. Soms aanvaardden klanten offertes van andere leveranciers voor duizenden euro’s meer omdat ze werden overtuigd dat ze toch echt wel Citrix nodig hadden. Het enige verhaal wat we dan soms kregen, was dat het verbindingsprotocol over ip zoveel beter zou zijn en betere load-balancing. Maar effectiviteit van RDP van terminal server is voor ons nooit een obstakel geweest en load-balancing kon je nog veel beter (pseudo)statisch regelen. RDP licenties van Microsoft vielen ten opzichte van full clients al vrij duur uit en zorgden menigmaal voor kasten met ‘blades’, lekker met 4 GB ieder zodat er hoogstens 1 à 1,2 GByte totaal overbleef voor maximaal 5, 6 gebruikers die doodziek werden van de slechte prestaties.
Systeembeheerders waren vaak de architectuurbeslissers, gebruikten Windows Server 3.5/NT als een Novell 3.11 Server met een grafische interface voor file- en printer-sharing zonder te kijken wat er in 2000/2003/2008 Server allemaal gebeurde. Met name de omwenteling in 2000 Server werd jarenlang gemist. O.a. COR’s van politiediensten eisten zelfs nog NT-4 in 2002 omdat ze geen risico’s met nieuwe meuk wensten te nemen. Dat 32 bit Terminal Server tot 32 GByte kon gebruiken door de kernel en ieder gebruiken een blok tot 4 GByte te geven, werd door de dames en heren HP-resellers wijselijk onder de pet gehouden – als ze het al wisten – en 64-bit printer drivers waren om duistere redenen jarenlang nog niet beschikbaar. Soms zaten 16-bit applicaties zogenaamd in de weg.
Wat mij nu weer niet duidelijk is, is waarom al die organisaties niet alsnog Citrix eraf gooien en Remote Desktop Session Host op hun servers aan zetten. Er is inmiddels een fantastische HTML5 client die niets meer op de client nodig heeft (mstsc) en zelfs op het scherm van een Tesla mooi en automatisch schaalt en automatisch optimale character- en icon-grootte instelt. Werkt op letterlijk ieder smartphone, tablet, Linux/Mac/Windows-Desktop. Kost alleen een beetje minder en daar zit wellicht het probleem.