Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Aansprakelijkheid ziekenhuis bij aanbieden WiFi

12-03-2010, 10:16 door Anoniem, 29 reacties
Beste mensen,

Wij willen graag in het ziekenhuis draadloos internet aanbieden. Alleen we weten niet precies wat de rechten en plichten zijn en hoe we aansprakelijkheid kunnen voorkomen bij misbruik. Het doel is om een openbaar netwerk aan te bieden zonder beveiliging zodat er minder administratieve processen plaats vinden voor het ziekenhuis. Administratieve processen zijn; inlogcodes uitgeven, etc.

Is het bijv. voldoende wanneer een patiënt zijn browser opent en dan direct een scherm ziet met een aantal punten waarop hij aangesproken wordt. Zoals er kunnen geen rechten worden ontleend aan deze dienst of dergelijke.

Op het internet hebben wij niet zoveel kunnen vinden. Heeft iemand enige ideeën of tips voor ons?

Alvast bedankt!

Gr. Tolga
Reacties (29)
12-03-2010, 10:53 door Sys32
Hoort een ziekenhuis geen systeem/netwerkbeheerder in huis te hebben? Om dit te kunnen realiseren.
12-03-2010, 11:49 door Preddie
Beste Tolga,

wat jij of jullie willen is niet mogelijk. Je bent en blijft namelijk altijd verantwoordlijk voor jou eigen verbinding met het internet.

Er zijn wel technieken om standaard een beleid te tonen wanneer men verbinding maakt met het netwerk, maar wat is beleid zonder dat er controle en sanctie mogelijkheden zijn. Je zou daar bijvoorbeeld wel in kunnen zetten dan een gebruiker het ziekenhuis niet aansprakelijk kan stellen op het moment dat zijn laptop gehackt wordt als hij verbinding maakt met het netwerk van het ziekenhuis.

Een netwerk zonder beveiliging lijkt me zo en zo niet zo slim, puur alleen al omdat alle gegevens gewoon als platte tekst door de lucht worden gestuurd en de kans dat je afgeluisterd wordt bij het inloggen is gewoon groot op die manier.
daarnaast heb je nog een probleem met authenticatie wanneer je een open netwerk hanteert, dit probleem komt vooral aan het ligt wanneer je sancties wilt uitdelen op het moment dat het beleid wordt overtreden, als je dan niet weet wie achter wel ip zit wordt het moeilijk een sanctie op te leggen.....
12-03-2010, 12:15 door Anoniem
Misschien is het handig dat iemand die gebruik maakt van jullie wifi-netwerk voordat er verbinding wordt gemaakt akkoord moet gaan, dat jullie op generlei wijze verantwoordelijk zijn of aansprakelijkheid aanvaarden.

Top dat jullie wifi gaan aanbieden!
12-03-2010, 12:18 door SirDice
Waarom kies je niet gewoon voor een KPN hotspot ofzo? Dan heb je er ook verder geen omkijken naar. Ik neem aan dat jullie ook zo'n winkeltje hebben voor snacks, snoep, tijdschriften etc. Die kan mooi pre-paid kaartjes verkopen.
12-03-2010, 12:39 door Anoniem
Ik wil graag stellen dat je altijd aansprakelijk bent voor eventuele misbruik van je draadloze netwerk. Vastgelegd is in zowel wet als jurisprudentie dat het ontbreken van enige vorm van toegangsbeveiliging je aan te rekenen is bij misbruik van de door jou ontsloten diensten. Een disclaimer heeft geen enkele wettelijke basis en beschermd je niet.

Het is klantvriendelijk om zulk een toegang te bieden, maar vanuit een ziekenhuis had ik toch wat meer bewustzijn inzake risico management verwacht. De suggestie om een apart netwerk van een commerciële aanbieder in huis te halen is dan ook met klem aangeraden.

En mocht er achter komen dat 'mijn' ziekenhuis een openbare onbeveiligde netwerk heeft, zal ik de eerste zijn die aangifte zal doen bij onder andere het CBP en de zorg autoriteit.

Frans.
12-03-2010, 12:51 door Anoniem
het handigste en ik zie het veel in hotels in het buitenland.
- Inloggen met persoonlijke gegevens
- Uitgeven Publiek IP aan WIFI Client
- Registreren wie wanneer welk IP had.

Kan natuurlijk ook met private IP's maar dan moet je alles wat vanaf het private IP (in bijvoorbeeld een proxy of FW) loggen en dit bewaren.

Mijn ervaring met instanties in nederland, maar ook met bijvoorbeeld FBI is dat er al snel genoegen genomen wordt met de opmerking "public access with NAT so we don't know who originated this session"
Juridisch zal het niet kloppen (en zul je moeten registreren) maar in de praktijk werkt het.
12-03-2010, 15:12 door Anoniem
Door Anoniem: het handigste en ik zie het veel in hotels in het buitenland.
- Inloggen met persoonlijke gegevens
- Uitgeven Publiek IP aan WIFI Client
- Registreren wie wanneer welk IP had.

Kan natuurlijk ook met private IP's maar dan moet je alles wat vanaf het private IP (in bijvoorbeeld een proxy of FW) loggen en dit bewaren.

Mijn ervaring met instanties in nederland, maar ook met bijvoorbeeld FBI is dat er al snel genoegen genomen wordt met de opmerking "public access with NAT so we don't know who originated this session"
Juridisch zal het niet kloppen (en zul je moeten registreren) maar in de praktijk werkt het.
Veel hotels in het buitenland (en nederland) nemen het niet zo nauw met de privacy en al helemaal niet met de aansprakelijkheid. Waarom, omdat het in die landen veelal slechter is geregeld dan in Nederland. Daarnaast zijn de woorden privacy en USA samen in een zin, vloeken in de kerk.
Trouwens, een hotel is geen vergelijk met een ziekenhuis toch.

Frans.
12-03-2010, 15:17 door Anoniem
Bij de MacDonalds heb je nu ook gratis WiFi. Geen idee hoe dat is geregeld.

Inloggen met patientnummer lijkt me ook een idee. Misbruik is dan te herleiden tot patient. Wellicht alleen controle of patientnummer is opgenomen of bestaat.

Publiek Provider is erg duur. Hotspots tot 5 euro per uur..... Maar als je toegang krijgt met kraskaart kun je toch ook misbruiken ?
12-03-2010, 15:52 door SirDice
Door Anoniem: Bij de MacDonalds heb je nu ook gratis WiFi. Geen idee hoe dat is geregeld.
T-Mobile of KPN.

Publiek Provider is erg duur. Hotspots tot 5 euro per uur..... Maar als je toegang krijgt met kraskaart kun je toch ook misbruiken ?
Klopt maar dan ben je als ziekenhuis zijnde daar niet verantwoordelijk voor.
12-03-2010, 16:15 door Anoniem
Zet een netwerkje op los van het ziekenhuis netwerk. Neem een particulier internetlijntje. Zet tussen het inet en het wlan netwerk een proxy met radius en een portal software. Config het zo dat mensen altijd kunnen connecten naar de protal server en dan een overeenkomst moeten acepteren. zorg er voor dat de proxy goed logd wie wat doet en ook ervoor zorgt dat bepaalde sites niet bereikbaar zijn en dat men alleen door die proxy naar buiten kan.
Hiermee kun je je het beste indekken wat mogelijk is. denk niet dat je het beterder kan maken ja okee met wachtwoorden enz maar dat word een administratieve nachtmerrie
12-03-2010, 16:28 door Anoniem
Ik was er vanuit gegaan dat het natuurlijk een apart netwerk zou worden. Dan heb je toch altijd een netwerkleverancier ( KPN, T_Mobile ofzo ). De vraag is welke maatregelen moet je nemen om te zorgen dat je weinig zorgen hebt ( qua beheer ) maar zoveel mogelijk niet verantwoordelijk voor verstuurde spam enzo.

Via Hotspots kun je ook anoniem mail versturen dus het kan wel.
12-03-2010, 18:56 door Anoniem
Er zijn bedrijven die gespecialiseerd zijn in het realiseren van netwerktoegang voor gasten, bijvoorbeeld Quarantainenet (www.quarantainenet.nl). Ze zijn met name in het onderwijs actief maar hebben ook enkele academische ziekenhuizen als klant. Misschien dat zij je meer kunnen vertellen over de juridische vraagstukken?
12-03-2010, 21:33 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 23:12 door Anoniem
Er zijn diverse providers waaronder KPN die een netwerk kunnen leveren en beheren. Dan ben je gelijk van de beheerskosten af, en zoals in het bovenstaande laat je de snackbar "internet-tikken" verkopen. De kosten zijn mij niet bekend.

Wij hebben een draadloos netwerk van Cisco. Dat kan alles waar je zelf om vraagt. Er moet alleen nog een firewall bij naar je internet (Fortigate 200 bijvoorbeeld), en daarin regel je waarin, en hoe snel iedereen overal naar toe kan, en welke services je aanbied. Door het gebruik van speciale dns servers of opendns kun je grof bepalen waar iedereen naar toe mag op het internet.

Het netwerk bestaat uit PoE swiches, acces-points, en een wireless lan controller. Daarbovenop als je dat wil kun je nog een (virtuele) controle/management server inrichten, waar je de toegang tot het wlan regeld. Vrij simpel en door de bali kunnen account uitgegeven worden waarvoor betaald wordt. Wij hebben een vrij uitgebreid syteem, voor zo'n 50k€.
13-03-2010, 00:08 door Anoniem
Kijk anders eens bij "Fon": http://www.fon.com
Wifi-routers zijn spotgoedkoop. Fonero's kunnen daar gratis internetten en anderen hebben òf een vrij kwartiertje òf kunnen met credit-cards uren/dagen tegoed kopen. Kan het ziekenhuis er ook nog wat aan verdienen.
Veel restaurants en anderen in de horeca maken hier gebruik van, zoek maar op http://maps.fon.com/ en klik daar een fon-spot aan.

Personeel/patient kan toegang verkrijgen via het beveiligde signaal (wpa) met een wachtwoord, anderen via het openbare kanaal. Doordat wordt ingelogd met een email-adres is (theoretisch) de gebruiker altijd te achterhalen in geval van misbruik.
Het openbare kanaal kan worden afgeknepen, zodat spam-runs nauwelijks zin hebben, het duurt dan te lang.
Het systeem zicht redelijk waterdicht in elkaar, zie de uitleg op de fon-pagina. Als het eenmaal draait, heb je er verder geen omkijken naar. De software van de router wordt door Fon automatisch ge-updated, indien noodzakelijk.

Voor hulp in het nederlands is http://www.fonboard.nl beschikbaar.

Last but not least: Fon is voor iedereen beschikbaar, dus ook (juist) voor particulieren. Kortom: ideaal voor het doel van de vraagstel(st)(l)er.
13-03-2010, 00:34 door Anoniem
Oeps! Iets te snel op "Plaats reactie" gedrukt.
Kijk op http://www.fon.com/en/info/security v.w.b. de veiligheid. De uiteindelijke verantwoording blijft bij het ziekenhuis, maar Fon neemt het leeuwendeel hiervan voor haar rekening. Spoort ook misbruikers op e.d. d.m.v. email-adres. 100% waterdicht is het dus nooit, maar dat is met alles m.b.t. ICT.

Neem wel de goedkope router https://shop.fon.com/FonShop/shop/NL/ShopController?view=product&product=PRD-018
Desnoods een paar verspreid over het gebouw. Anders gelijk een antenne erbij bestellen. https://shop.fon.com/FonShop/shop/NL/ShopController?view=product&product=PRD-ANT01 , dan krijg je ook nog eens korting.

Bij mij draait de router al ruim 2 jaar aan één stuk probleemloos...
13-03-2010, 01:02 door Anoniem
Kijk op http://www.security.nl/artikel/28398/1/Juridische_vraag%3A_Hack_programma%27s%2CGeenStijl%2C_Open_WiFi_en_poortscannen.html
en scroll even naar "Vraag over Open WiFi:", alwaar Arnoud E. himself ook een zinvol antwoord geeft.
Ook hier: http://www.security.nl/artikel/26362/1/Juridische_vraag%3A_Mag_je_meeliften_op_WLAN%3F.html krijg je goede info over juridische perikelen m.b.t. Fon.
Nu wel genoeg reclame gemaakt, d8 ik zo. (grin)

Redactie: is het mogelijk, dat u de 3 losse posten van mij in één kader weergeeft? Bij voorbaat dank.
13-03-2010, 10:38 door ej__
Doe niet moeilijk en kies een oplossing zoals in het VUmc waar KPN het heeft overgenomen. Het is gratis Internet maar gebruikers moeten wel inloggen. Voor zover ik weet is het inmiddels een wettelijke eis dat openbare netwerken herleidbaar zijn.

EJ
13-03-2010, 11:46 door Anoniem
Nog een mogelijkheid > http://www.free-hotspot.com/press_release49.htm < welke ik gevonden heb via > http://blog.fon.com/nl/ < ;-) gr. leenvr
13-03-2010, 13:40 door bernd
Ik zou er in ieder geval een portal voorzetten waardoor elke sessie wordt gestart met een disclamer en een reglement. Zorg ervoor dat alle verkeer door een firewall gaat en internetbankieren niet mogelijk is (man in the middle attack). laat verder alleen poort 80 en 443 open, zodat normaal browsen mogelijk is, maar je wel het meeste p2p en botnetverkeer/uitgaande spam tegenhoudt. Als mensen willen mailen, gebruiken ze maar de webmail van de eigen provider.

het initiatief vind ik erg mooi maar ik denk dat het belangrijk is om het zo op te tuigen dat het ten eerste eenvoudig in gebruik is én niet of weinig beheerd hoeft te worden.
13-03-2010, 15:41 door [Account Verwijderd]
[Verwijderd]
13-03-2010, 18:31 door MrBil
Door rookie: Is WIFI straling wel wenselijk op een locatie waar zieke en zwakke mensen moeten herstellen?
Kan geen kwaad.
13-03-2010, 19:01 door Jachra
Mogelijkerwijs zijn er ook nog wettelijke bepaling waaraan je moet voldoen. Het kan zijn dat jullie met deze actie gelijk worden gesteld als zijnde ISP. Dan dien je dus ook een behoorlijke logging bij te gaan houden conform de wettelijke gestelde eisen.

Zoals boven al is gemeld. Dat WiFi netwerk moet je gewoon uit besteden.
13-03-2010, 20:03 door Anoniem
als je het zelf doet:

poort 80 en 443 open en eventueel poort 25 afvangen en routen via een eigen mailserver

pop3(s) en imap(s) kunnen ook open, alsmede ook poort 22 (ssh)


en inderdaad alles op een eigen vlan/netwerk. desnoods haal je ergens een apart adsl lijntje vandaan om het daaroverheen te routeren.


Het is leuk en nobel om het zelf te doen maar als je problemen wil afschuiven zou ik het inderdaad uitbesteden
15-03-2010, 08:53 door sjonniev
"Het doel is om een openbaar netwerk aan te bieden zonder beveiliging zodat er minder administratieve processen plaats vinden voor het ziekenhuis"

Ga dit toch in vredesnaam niet zelf doen. Besteed dit uit. Als ziekenhuis-IT afdeling heb je wel wat anders aan je hoofd zou ik zo zeggen...
15-03-2010, 10:18 door Anoniem
Een goede site om info te verkrijgen is:
http://www.iusmentis.com/
Deze site gaat over internetrecht en technologie
15-03-2010, 15:25 door Anoniem
Door rookie: Is WIFI straling wel wenselijk op een locatie waar zieke en zwakke mensen moeten herstellen?
Zeker! blije mensen herstellen sneller en de meeste mensen worden blij van gratis internet.
15-03-2010, 17:00 door [Account Verwijderd]
[Verwijderd]
16-03-2010, 11:14 door Anoniem
Bedankt voor alle reacties! We waarderen het zeer dat jullie tijd vrij hebben gemaakt om te reageren op onze vraagstuk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.