Minister Klink beschrijft zelf hoe je het EPD moet hacken:
Mocht iemand er dus in slagen een UZI-pas te ontvreemden en ook de beschikking te hebben over de pincode van de pashouder, dan is er feitelijk sprake van identiteitsdiefstal. Om misbruik van de pas en de pincode te kunnen maken is bovendien toegang tot een GBZ noodzakelijk. Voorts moet de rechtmatige eigenaar verzuimen de pas onmiddellijk in te trekken. Het misbruik van de pas wordt gelogd onder de naam van de rechtmatige eigenaar van de pas. Bij inzage zal dit de patiënt opvallen. Bovenstaande waarborgen bevorderen mijn inziens een goed gebruik van het EPD. Mocht iemand er desondanks in slagen op deze wijze misbruik te maken van het EPD, dan ben ik voorstander van forse sancties, waaronder het strafrecht.
Niets is 100% te beveiligen, maar deze opsomming klinkt als een forse barrière waar hackers niet zomaar doorheen hobbelen. Hoewel, het risico op lekken in deze hele keten wordt wel groter als het gebruik ook toeneemt. Vroeger was het allemaal veel simpeler. Zo was er jaren terug een huisartseninformatiesysteem dat via inbellen (gewoon een modem dat opnam) bereikbaar was voor de buitenwereld. Heel handig voor beheer/onderhoud op afstand en thuiswerkers. Nog handiger was dat ieder systeem op dezelfde manier beveiligd was én dezelfde dienstingang bevatte, zodat je er altijd in kon, zelfs al wist zelfs de praktijk het wachtwoord niet meer. Die achterdeur zit er bij het LSP vast niet meer in.
Het is alweer een oudje, maar ik kende hem nog niet. Een leuke clip van Lucky.tv over het nieuws dat de informatiebeveiliging in ziekenhuizen te wensen overlaat. Klik hier of op het plaatje hiernaast.
Tijdje terug meldde ik hier over de gijzeling van medische data bij het bedrijf Express Scripts. Nog niet duidelijk is of er nou schot zit in de zaak, maar mocht je iets weten… Bel dan 800-CALL-FBI en meldt je tip! Het bedrijf looft een beloning 1 miljoen dollars uit voor de gouden tip. Interessant is dat het bedrijf voor eventueel gedupeerde klanten zogenaamde “identity restoration services” aanbiedt via het bedrijf Knoll. Voor het geval je last hebt van een gevalletje “identity-theft”. De een zijn beveilingsprobleem is de ander zijn brood.
Een mega ICT operatie en patiënten moeten bezwaar tegen deelname maken via de post. Kan het niet wat moderner? Gelukkig: als al eens voorgesteld hier, laat Klink nu onderzoeken of het mogelijk is met je DigID bezwaar aan te tekenen. Eerder werd hier gereageerd dat online bezwaar aantekenen/intrekken eind 2009 was voorzien.
De zuurpruimen zullen ongetwijfeld ook DigID weer niks vinden, want het DigID is natuurlijk ook zo lek als een mandje en dus niet veilig…
Update: op de oude papieren wijze hebben nu volgens nu.nl 95.000 mensen hun bezwaar ingediend. Dat is wel een enorme pens werk om netjes te verwerken. Allemaal papieren formulieren die netjes in het Landelijk Schakelpunt opgevoerd moeten worden, ga er maar aan staan…
BOEM! De informatiebeveiliging in ziekenhuizen is niet op orde. Vanavond citeerde Nova al uit een morgen te publiceren rapport van de Inspectie voor de Volksgezondheid en het College Bescherming Persoonsgegevens. Het rapport beschrijft hoe het is gesteld met informatiebeveiliging in ziekenhuizen. En dat ziet er niet best uit.
Sinds de actie van publiciste Karin Spaink (alweer drie jaar terug), signalen van anderen én een complete norm (NEN7510) is er niet veel veranderd.
Twintig ziekenhuizen werden onderzocht en nergens was de informatiebeveiliging helemaal op orde. De informatiebeveiliging is zo slecht dat bij alle onderzochte ziekenhuizen de wettelijke norm overtreden wordt.
Zolang de ziekenhuizen de patiëntengegevens niet goed beveiligd hebben kan er volgens de onderzoekers ook niet gewerkt worden met het elektronisch patiëntendossier (EPD). Daar moeten alle zorgverleners eind volgend jaar op aangesloten zijn.
Ondertussen pikken diverse media het al op (AD, Volkskrant) zonder dat het rapport is te lezen. Morgen meer, als het rapport – neem ik aan – wel online komt te staan. Wat een geweldige timing ook weer. Dit geeft de burger niet veel moed…
Je zou bijna gaan denken dat ik het op ICTzorg.com gemunt heb, maar dat is echt niet zo. Dat even vooraf. Vorige week kwam niet zo gelukkig een lek aan het licht op de website www.infoepd.nl. Dat gat is inmiddels gedicht. Maar hoe lek zijn andere sites eigenlijk? Heb een beetje rondgekeken en de meeste sites zijn netjes dichtgetimmerd. Het gevonden lek was een zogenaamde XSS-exploit, iets wat technisch eenvoudig op te lossen is. Maar ja… ICTzorg.com, die het lek als nieuws bracht terwijl het alweer gedicht was, die zijn wél lek. Klik hier om te zien hoe lek die site zelf is. Ach, zo erg is het daar niet, maar als je zo’n bericht publiceert, denk je dan niet… goh… hoe zou dat bij ons zijn?
Gaan we dit hier ook krijgen? Hackers jatten in de VS miljoenen medische dossiers en vragen “losgeld”. Wordt het niet betaald, dan worden de dossiers openbaar gemaakt. Akelig… Op een speciale website van de getroffen firma, Express Scripts, worden eigenaren van de dossiers op duidelijke wijze geïnformeerd. Het zou om onder meer persoonlijke informatie gaan, zoals sofi nummers, maar ook om medische details, waaronder vooral het medicijngebruik. Express Scripts is een bedrijf dat onder meer zorgt voor aflevering van medicijnen in opdracht van zorgverzekeraars en bedrijven. Datadiefstal is niet nieuw, overigens, maar op deze schaal is wel fors. De FBI zit er nu bovenop.
Overigens vroeg ik me af wie daar dan achter zou zitten. Misschien een toevallige vondst, verdwaalde USB stick… Laatst zag ik de briljante tussendoor film van de gebroeders Coen, Burn After Reading, waarin twee fitness trainers bij toeval stuiten op een CD met hele geheime “security shit”. En dan slaan ze aan het chanteren. Heerlijke zwarte komedie en wel een beetje toepasselijk.
Gisteren las ik het op security.nl in een reactie op dit artikel, en ik twijfelde of ik het hier moest posten. Maar het lek is al gemeld en weer gedicht. De website www.infoepd.nl, waar patiënten, zorgverleners en o.a. leveranciers over het EPD worden geïnformeerd, bleek een zogenaamd XSS-lek te hebben. Met XSS oftewel cross-site-scripting is het mogelijk stukjes code (zoals Javascript) in een website te stoppen. Via de zoekfunctie van de site kon door een eenvoudige aanpassing code aan de website worden toegevoegd. Heel gevaarlijk? Niet direct. Via de website kun je niet bij het EPD komen of iets dergelijks, dat valt mee. Er “lekt” niets weg. Maar in theorie is het met dit foutje wel mogelijk om inloggegevens te “kapen”. Niet echt goede reclame voor zo’n website, maar het probleem is alweer opgelost… Doorlopen mensen… nothing to see here.
Ignorance is bliss! Kort door de bocht artikel van de Telegraaf, met opnieuw de mening van Fox-IT. Kennelijk is het EPD “lek” en makkelijk te hacken. Het artikel gaat zelfs zo ver te stellen dat er straks zelfs een kans is dat je dossier gewijzigd wordt en als “eind 2009″ je zelf in je dossier kunt kijken (wat maar zeer de vraag is) is “het hek helemaal van de dam”. Jakkes, een kritische blik is goed, maar lees alsjeblieft eerst eens iets over de materie voor dit soort rare dingen te roepen. Of nog beter, kraak de UZI pas, hack die computer van een huisarts dan, laat dan ook zien dat het lek is.
Op radio 1 vandaag een interview met Ronald Prins, ondernemer en medeoprichter van de firma Fox-IT. Het bedrijf profileert zich als “digitaal forensisch onderzoeksbureau” en is een gevestigde naam in security land. Het doet onder meer werk voor de overheid op het gebied van security scans, PKI, smartcards en dergelijke. Het gesprek kort samengevat.
Beveiliging zal ongetwijfeld goed geregeld zijn, maar hackers hebben potentieel belang bij het kraken van (bijvoorbeeld) de PC van de huisarts/apotheker, zodat ze bij medische data kunnen. Welk belang? Wat dacht je van doorverkopen van data van mensen die gescand moeten worden voor topfuncties? Of het chanteren van mensen met medisch gevoelige informatie? Of, en die vond ik wel origineel, het vinden van gevoelige info van beroemde personen: zijn die borsten echt of niet? Ik zie het al helemaal voor me. Een hacker die op zoek gaat naar borstfoto’s van bijvoorbeeld Georgina Verbaan. En dan niet via Google, maar gewoon rechtstreeks uit haar medisch dossier. Oeps! Gelukkig is zo’n scenario niet echt realistisch, vooralsnog. Prins verwacht niet dat individuele particuliere personen veel hebben te vrezen van dit soort scenario’s.
Dat vond ik meteen jammer aan het gesprek. Op het einde pleit Prins voor meer gezonde achterdocht bij ICT projecten bij de overheid. Dan zou hij hier ook veel meer kritische noten kunnen kraken, maar hij blijft erg mild. Want hoe veilig is de UZI pas nu eigenlijk? Welke risico’s zijn er eigenlijk voor de patiënt? Voor de zorgverlener? Wat kan er allemaal mis gaan? Is het echt zo veilig als wordt gesteld en hoe is dat dan onafhankelijk vastgesteld?
Jeetje, hoe houd je het allemaal bij… Na het doemdenk artikel van Erik Westhovens is het nu (weer) de beurt aan Albert Vlug van NICTIZ in (weer) Computable. Vorige week ging het nog over de architectuur van het EPD, nu vooral over de beveiliging ervan. Echt nieuws levert het niet op. Wel bijzonder om in hetzelfde artikel meerdere malen te lezen dat die verbindingen allemaal heel veilig zijn. Kennelijk is er een noodzaak om dat extra te benadrukken. De reacties op het stuk zijn zoals wel vaker eigenlijk interessanter, zoals deze van R. Heinen:
Er worden in dit artikel twee goede vragen gesteld en twee slechte antwoorden gegeven. Het eerste antwoord is helemaal geen antwoord op de vraag, maar een standaard riedeltje dat opgedreund wordt. Het antwoorde op de tweede vraag is inconsistent. Als het LSP alleen een verwijsindex is, dan loopt de communucatie van de beveiligde dossiers niet via de LSP hetgeen stijdig is met het gegeven antwoord. Als het LSP niet alleen een verwijsindex is, dan heeft het LSP alle gegevens om de beveiliging van de dossiers op te heffen en de dossiers in te zien. Ook is er in het antwoord sprake van de beveiliging van de verbinding en niet de gegevens zelf.
Een pittige opinie bijdrage van beveiligingsexpert Erik Westhovens, weer op Computable: “Doemdenken over het EPD”. Lezenswaardig, en een erg grappige plaat erbij… tenzij het werkelijkheid wordt natuurlijk.
Om de zoveel tijd lees of hoor je weer over een verdwenen USB stick, CD-ROM of hele laptop vol met medische data. Laatst was het in Engeland ook weer raak. In dit geval raakte een senior manager van een ziekenhuis een laptop kwijt met de gegevens van ruim 20.000 patienten erop. De laptop was beveiligd met een wachtwoord, maar de data op de harde schijf was niet versleuteld. Dat bewijst maar weer eens dat een wachtwoordje alleen niet genoeg is. Zodra je fysiek toegang hebt tot een machine (bijvoorbeeld door hem uit een geparkeerde auto te stelen), kun je er iets mee. Het versleutelen van data zou dat kunnen voorkomen. Inmiddels is de manager in kwestie ontslagen, zo ernstig neemt men de zaak op. Opvallend is dat je zelden hoort dat dit in Nederland met medische data misgaat, terwijl het juist in de VS en Engeland vaak raak is.
Een paar jaar terug was het nog niet bepaald gemeengoed, maar de laatste tijd schieten ze als paddestoelen uit de grond: de Personal Health Record websites. De hype is helemaal compleet. Handige, gebruiksvriendelijke, slimme, gratis, zeer beveiligde websites, waar je je hele medische hebben en houden kwijtkunt. Een interessante ontwikkeling, absoluut, maar er zitten wat minder positieve kanten aan:
Welke site moet je nemen? Je kunt kiezen uit Google Health, de Microsoft Health Vault, maar ook bij sites uit Nederland, zoals Medilog.nl, de Gezondheidsmeter en het patiëntenportaal van de NPCF (hoewel die website nu met geen woord rept over dat portaal). En dat zijn er nog maar een paar, er zijn er zeker meer. Je kunt niet van je dokter verwachten dat hij al die websites kent, daar op inlogt en jouw dossier bekijkt.
Hoe is het met de beveiliging gesteld? Hoe weet je zeker of de partij(en) achter een website te vertrouwen zijn? Hoeveel data wordt er van je verzameld? Wat wordt daarmee gedaan? Wat gebeurt er als de site of het bedrijf erachter failliet gaat? Dit zijn logische vragen en er is niet altijd duidelijk antwoord op te geven.
De kwaliteit van gegevens is een aandachtspunt. Is het wel verstandig je gegevens zo “vrij” en laagdrempelig in te vullen? Het is wel makkelijk om een hele lap tekst in te vullen over je medische problemen, maar wat kan je daarmee? En wie controleert of wat je zegt waar is? Je kunt ervoor kiezen bepaalde informatie niet te geven, is dat wenselijk? Het is deels subjectief.
Ik geloof dat er markt voor dit soort dossiers is, maar er nog wel wat hobbels zijn te nemen om ze in Nederland te laten aanslaan.
Medisch Contact bericht na de lancering van Google Health over de mening van Internet deskundige Henk van Ess, onder meer bekend van de zoekmachine-website www.voelspriet.nl. De oplossing van Google – en van Microsoft – is niet veilig te noemen. Enkele interessante citaten:
Wat met mensenhanden is gemaakt, kan met
mensenhanden worden afgebroken. Alles is vroeg of laat te ‘kraken’ of
kan door menselijke fouten op straat komen te liggen. Dit geldt
overigens ook voor de huidige papieren patiëntendossiers. Herhaaldelijk
laten kranten zien dat iemand zomaar een ziekenhuis kan binnenlopen en
de dossiers kan inzien, al dan niet na enige social engineering.
En verderop:
Google Health is een commercieel initiatief
en heeft geen overheidsbescherming. Dat zegt nog niets over de mate van
beveiliging, maar wel over de mate van rekenschap. In geval van
datadiefstal hoeft Google dit niet openbaar te maken.
