Een genante vertoning van het ministerie van VWS rond een beveiligingsonderzoek naar het EPD: onderzoeker Guido van ’t Noordende van de Universiteit van Amsterdam onderwierp het huidige EPD aan een nader onderzoek en kwam met een aantal bevindingen die er niet om liegen, die vervolgens door het ministerie onder de tafel werden weggeschoffeld. Van ’t Noordende werd weggezet als oppervlakkig en ondeskundig.
Volgens onderzoeker Van ’t Noordende kan iedereen met een UZI pas (de toegangspas voor alle medewerkers in de zorg) uiteindelijk bij alle patiëntgegevens, door een intrinsiek zwak ontwerp rond de delegatie van rechten. Ook de afwezigheid van technische middelen in de communicatie draagt aan dit probleem bij. “AORTA (het landelijke EPD) fully relies on security of the GBZ (Goed Beheerd Zorgsysteem) systems delegation tables, and, if required, on inspection of LSP (Landelijk SchakelPunt) audit logs after the fact”. De kern van dit probleem is dat het Landelijk Schakelpunt LSP feitelijk geen middelen heeft om een mandatering door een arts – de formele vereiste voor toegang – te verifiëren, maar wél de toegang tot de patiëntendossiers verschaft. Dus controle vóóraf is niet mogelijk en achteraf alleen als er een aanleiding toe is – en het kost een boel moeite. Dat is intrinsiek een zwakke aanpak; je zult niet structureel alle logentries bekijken. Dat is duur. Er zullen altijd financiële afwegingen meespelen als er het idee is dat een event in het EPD nader bekeken moet worden. Forensisch onderzoek is immers nog duurder. En dat idee moet ook nog eens ergens vandaan komen.
Minstens even dodelijk zijn de keuzes die gemaakt zijn in de toepassing van HL7 (het communicatieprotocol voor uitwisseling van patiëntgegevens). “An important assumption of the trust model that underlies authorization in the EPD, is that one can always address the responsible physician (overseer) when something goes wrong. However, our analysis of the internal protocols shows that this assumption does not hold, because any overseer can be filled in in a HL7v3 message without involving the physician”. “Employee UZI passes can be used to sign tokens on behalf of arbitrary overseers. In fact, the overseer field is not even included in the token, so it could be tampered with by anyone without the signer’s knowledge – a fact which could allow an employee who conspired with an attacker to deny involvement with the attack in court”. De “system delegation tables”, de kern van de toegangsbeveiliging, zijn hiermee irrelevant.
Omdat er geen end-to-end authenticatie bij het opvragen van patiëntgegevens gebruikt wordt, kan een aanvaller ook nog ongezien zijn werk doen. “The attack may be particularly powerful because delegation can also be used to claim a treatment relationship, as far as the LSP is concerned”. In de AORTA specificaties zijn wel oplossingen hiervoor opgenomen: “XML headers to support end-to-end authentication protocols and (payload) encryption” maar blijkbaar worden dit soort basale beveiligingsstappen op dit moment niet uitgevoerd.
De intrinsieke zwaktes van het EPD zijn dus de afgelopen jaren overeind gebleven en daarbovenop zijn zwakke implementaties gestapeld. Het systeem is uiteindelijk gebouwd op de veronderstelling dat de gebruikers betrouwbaar zijn en dat alle deelnemende partijen hun ‘Goed Beheerde Zorgsystemen’ 100% dichtgetimmerd houden. Een beveiliging die van dit soort veronderstellingen uitgaat, is geen beveiliging maar wat Bruce Schneier zo treffend aanduidt als ‘Security Theater’.
Het ministerie van VWS verwijst de kritiek echter naar de prullenbak en stelt dat het onderzoek slecht onderbouwd is en verkeerde conclusies trekt. "Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn". Helaas maakt dit pijnlijk duidelijk dat het ministerie van Volksgezondheid weinig kaas heeft gegeten van de waarde van penetratietesten en audits. Een penetratietest kan namelijk alleen bewijzen dat er op een specifiek moment een gat in de beveiliging zit, nooit dat er géén gaten zijn. Als er geen gat wordt gevonden kan de tester hooguit aangeven welke gaten er – op het moment van de toetsing - niet zijn, wat echt iets heel anders is dan dat er geen gaten zijn. En dat laatste is nu net wat VWS wél veronderstelt.
Van ’t Noordende: “Bovengenoemde toetsmethoden geven geen enkele garantie voor de veiligheid van het systeem. Als het EPD waterdicht zou zijn, zou dit het eerste systeem ter wereld zijn. Het punt is dat wanneer er een inbraak in het systeem plaatsvindt, de beveiligingsarchitectuur van het EPD de mogelijke schade moet kunnen beperken. Dit is in het huidige ontwerp niet het geval”.
Ook de kritiek dat de controle op door artsen gemandateerde medewerkers onvoldoende is, veegt het ministerie van tafel. De huidige, decentrale, registratie van mandatering is een bewuste keuze geweest, juist omwille van de veiligheid, schrijft het ministerie.
Informaticus Van 't Noordende kan zich terecht niet vinden in de kritiek van het ministerie. Hij beraadt zich op een reactie waarin hij de stellingname van het ministerie zal weerleggen. Opvallend in de hele affaire is dat de Nictiz, het landelijke expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert en dat vanaf het prille begin betrokken is bij de technische realisatie van het EPD, het onderzoek in NRC Handelsblad juist "zeer zorgvuldig” noemt.
Het ministerie stelt verder dat doorvoeren van de end-to-end authenticatie (wat Van ’t Noordende bepleit) zal leiden tot een “significante toename van de complexiteit van de implementatie GBZen met mogelijke nieuwe implementatie-, beheer- en beveiligingsrisico's.” Met andere woorden zeggen ze dat ze niet kundig genoeg zijn om een standaardbeveiligingsfunctie aan te zetten. We hoeven dus ook niet te rekenen op end-to-end versleuteling, wat blijkbaar op dit moment ook niet nodig – of te moeilijk - wordt gevonden.
Nu wil de nieuwste loot in ons politieke landschap, de piratenpartij, van het hele EPD af. Begrijpelijk, als je deze vertoning ziet. Daarmee zou het EPD dat andere prestigeproject, de kilometerheffing, volgen. In Engeland is het landelijk EPD al begraven, omdat het de macht van de bouwers te boven ging. Dat risico lopen we hier te lande ook, gezien de keuzes om ‘moeilijke’ beveiliging maar achterwege te laten. Echter, niet alleen de beveiliging is lastig – in een groot systeem als het EPD zijn er wel meer moeilijke dossiers. Hieruit concludeer ik dat een compleet projectfalen niet uit te sluiten is.
Dat moeten we hier niet willen. Het is immers niet dat een landelijk EPD geen goed plan is, het is dat het huidige EPD niet goed is. Het moet op een aantal kritieke punten keihard op de schop, onder meer rond de toegangsbeveiliging. En als dat te moeilijk is voor de mensen die het nu moeten regelen, dan moeten er maar andere, meer competente mensen op gezet worden.
Van de opmerkingen van beveiligingsgoeroe van der Staaij in het NRC over het EPD moeten we het in ieder geval niet hebben. Hij stelt dat het allemaal best wel meevalt met het EPD, en heeft zulks ongetwijfeld ook in de Kamercommissie gemeld: “Stel, een corrupte ziekenhuismedewerker is uit op de medische gegevens van een bekende Nederlander. Wat zou die persoon moeten doen om die gegevens te achterhalen? Allereerst zou hij een UZI-pas van iemand moeten zien te bemachtigen, de pas waarmee toegang tot het EPD kan worden verkregen”. “Dan zijn er echter ook nog het loggingmechanisme van het EPD en een keur aan forensische technieken, waarmee achteraf kan worden nagegaan wie wanneer welke gegevens heeft benaderd”. Van der Staaij veronderstelt dat de corrupte medewerker blijkbaar zelf geen pasje heeft, dat de auditoren helderziend zijn en dus weten wanneer en waar ze moeten onderzoeken dat er iets mis is gegaan. Bovendien wordt de corrupteling geacht technisch een onbenul te zijn. Een indrukwekkend aantal aannames.
Bovendien, stelt Van der Staaij, is er in de praktijk weinig echte dreiging, omdat hem weinig gevallen bekend zijn van diefstal van medische gegevens. “Op dit moment – nu er nog geen EPD is – is het namelijk veel gemakkelijker om aan vertrouwelijke patiëntgegevens te komen. Papieren dossiers liggen letterlijk voor het opscheppen, veel pc’s in zorginstellingen voldoen nog lang niet aan de moderne beveiligingseisen en het risicobewustzijn bij zorgverleners, zoals al eerder is aangehaald, is laag”.
Ik zie alleen niet hoe het EPD dit zal veranderen. Het risicobewustzijn van medewerkers in de zorg zal met het EPD niet spontaan stijgen, en de pc’s in zorginstellingen zullen niet structureel veilig worden – daar zorgt het EPD niet voor. Het GBZ gaat immers over servers in het koppelvlak naar het EPD, en helemaal niet over pc’s of de rest van het netwerk. Het betoog van Van der Staaij snijdt dus geen hout.
Ik zal mijzelf nog eens herhalen: papier is in alle gevallen oneindig veel veiliger dan digitaal, zelfs als iedereen altijd alles laat slingeren – inclusief USB-sticks en op pc’s die wijd openstaan. Wil een aanvaller een papieren dossier stelen, dan zal hij het eerst moeten vinden en er fysiek de hand op moeten leggen om het te kopiëren of te ontvreemden. Digitalisering maakt het geheel veel kwetsbaarder, omdat kopiëren simpeler wordt. Het probleem dat overblijft is het vinden van de digitale data, een probleem dat de verwijsindex van het landelijk EPD echter keurig oplost. De aanvaller hoeft dus alleen een netwerkverbinding en enige technische skills te hebben – waar de informatie is, is duidelijk.
Als je op dit moment een enkel medisch dossier op papier of uit een slecht beveiligd systeem wilt stelen, zal het nog wel lukken, maar alle dossiers van alle Nederlanders krijg je niet bij elkaar. In het EPD-tijdperk werkt het anders: als je er één hebt, kun je ze maar zo allemaal hebben. De UZI-pas met pincode is overigens alleen nodig als je via de voordeur aan wilt vallen. De praktijk van 30 jaar hacken is dat de meeste mensen het raam wel weten te vinden.
In plaats van een persoon die het pand binnenloopt of er al werkt, zijn er bij een digitaal systeem twee miljard mogelijke aanvallers die met z’n allen technisch veel meer kunnen dan welke set pentesters dan ook. Het gaat ook niet alleen om technisch begaafde hackers. In plaats van enkele tientallen personen die een papieren of USB-variant kunnen laten slingeren, zijn er immers enkele honderdduizenden die slordig met hun sleutels kunnen zijn, sleutels die toegang geven tot alle patiëntendossiers, in plaats van tot een beperkte set. Daarom moet centraal bewaarde gedigitaliseerde informatie per definitie heel veel beter bewaakt worden dan dezelfde informatie op papier of in decentrale vorm. Hiervoor is een beetje klassiek autorisatiebeheer voor systemen waar de informatie op zou moeten staan, zoals in het huidige EPD, zelfs in de beste vorm al een erg magere aanpak.
En eigenlijk missen we het grootste probleem; de beveiligers kijken maar naar een beperkt aantal scenario’s. Diefstal van informatie is heus niet het enige aanvalsscenario waar je bij de beveiliging van het EPD rekening mee moet houden. Met het weghalen van een allergie voor pinda’s uit iemands medisch dossier kun je een perfecte moord plegen. En er is ongetwijfeld meer te verzinnen. Maar dat licht is zo te zien nog niet gaan branden bij de goegemeente die zich over het EPD heeft gebogen.
Als klap op de vuurpijl stelt Van der Staaij in het NRC: “tegen corrupte medewerkers is vrijwel geen enkel informatiesysteem bestand”, waarmee hij impliceert dat je daar dan ook maar niet al te veel moeite voor moet doen. Het is met een systeem met uiteindelijk een paar honderdduizend gebruikers – zoals het EPD – dan ook een feitelijk advies om de beveiligingsillusie maar helemaal op te geven. Als dat echt zo is, dan kun je de hele EPD exercitie maar beter begraven, samen de digitale belastingaangifte en alle bancaire systemen voor betalingen.
Nu zul je dergelijke complexe systemen inderdaad nooit 100% waterdicht krijgen, maar je kunt een heel eind komen. Het is in ieder geval geen reden standaard zaken achterwege te laten. Er bestaat een hele categorie van systemen die niet alleen geacht worden tegen de gebruikers bestand te zijn, maar zelfs tegen de beheerders. Dit is wat wel aangeduid wordt als Military Grade Security. Zo ver hoef je wellicht niet te gaan, maar reken maar dat je de huidige inherent zwakke en indirecte beveiliging van het EPD een stuk beter kan krijgen.
Van ‘t Noordende doet hiervoor een aantal zeer waardevolle aanbevelingen, onder meer:
Wat je moet doen is de behandelrelaties herleiden uit andere systemen. Immers, als organisatie heb je je informatiehuishouding op orde en houd je bij wat je mensen zoal doen. Op basis hiervan zouden dan dynamisch autorisaties toegekend (‘geprovisioned’) moeten worden. Voor de hand liggend is aan te sluiten op DOT 2010, de opvolger van het DBC-systeem (Diagnose-Behandel-Combinatie) dat in het kader van de “prestatiebekostiging” ingevoerd wordt. Als je daarin vastlegt welk behandelteam – of zelfs maar welke afdeling – bij een patiënt (lees BSN+DOT-code) betrokken is en van wanneer tot wanneer, dan heb je voldoende broninformatie voor dynamische autorisaties. Als je je informatiehuishouding hiervoor niet voldoende op orde hebt, is een geavanceerd systeem als een lokaal EPD al niet te verantwoorden.
Een goede technische methode zou zijn om een Claims Based aanpak te plaatsen bovenop het bestaande statische rollenmodel, waarbij het landelijk schakelpunt alleen valideert (met een token) of een aanvrager op dat moment een behandelrelatie met de patiënt heeft, alvorens toegang te geven. Daarmee houdt het ziekenhuis nog steeds grip op de data. Het gaat wat ver om hier Claims Based Autorisation uit te leggen, voor degenen die er nooit van gehoord hebben, maar het biedt een hele zwik mogelijkheden die ten tijde van het bedenken van het EPD (in 2003) nog niet ‘bewezen’ waren, maar inmiddels wel. En ruimschoots.
Op dit moment vragen de beveiligingseisen voor het EPD niet om een dynamische autorisatie op basis van actuele gegevens. Bij deze oorspronkelijke eisen ligt uiteindelijk de oorzaak van het zich verder ontvouwende EPD beveiligingsdrama: om te beginnen zijn er vanaf het begin lage beveiligingseisen gesteld. Deze zijn bepaald naar het belang van de gebruikers van het systeem in plaats van naar het belang van de informatie in het systeem. In deze discussie hebben de zorginstellingen zich als informatie-eigenaren opgesteld, terwijl de echte informatie-eigenaren – de patiënten – niets gevraagd werd. Vervolgens is er te weinig kennis, terughoudendheid bij zaken die ‘moeilijk’ klinken, te weinig budget en tijd, zodat er steeds meer zaken ‘uitgesteld’ zijn naar ‘een volgende release’ dan wel openlijk geschrapt. Het EPD lijdt sterk onder de klassieke projectdynamiek waarbij alles wat ingewikkeld of moeilijk is omwille van het champagnemoment (de deadline) overboord gaat. Er is immers een minister bij betrokken, en die wil resultaten zien. In deze lijn past het afserveren van een degelijke analyse, zoals die van Van ’t Noordende, naadloos.
Met andere woorden: eerst is een beveiligingsniveau gekozen dat ver onder het minimum ligt, waar dan met de kaasschaaf nog wat vanaf werd bezuinigd. Vervolgens zijn er tijdens de daadwerkelijke implementatie nog hele stukken beveiliging vervallen omdat het niet op tijd lukte. Door de looptijd is de beveiligingsarchitectuur intussen ook nog zwaar verouderd en irrelevant geworden. Alle alarmbellen zijn vakkundig genegeerd. Het resultaat van dit alles is om ziek van te worden. Niet te ziek hoop ik, want dan kom je in het EPD, en dat kan ik je voorlopig dringend afraden.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Deze posting is gelocked. Reageren is niet meer mogelijk.