EPD te onveilig voor inzage patiënten
Omdat de beveiliging van het elektronisch patiëntendossier onvoldoende is, krijgen burgers voorlopig via internet geen inzage in hun eigen dossier. Patiënten zouden zich eerst via een combinatie van DigiD en sms moeten aanmelden, maar dat volstaat niet meer. Beveiligingsonderzoekers hebben de encryptie van sms inmiddels gekraakt, waardoor het niet meer voor het toegankelijk maken van medische gegevens te gebruiken is. Dat is de conclusie van onderzoekers van de Radboud Universiteit Nijmegen en PriceWaterhouseCoopers (PWC), die de zaak voor CDA-minister Ab Klink onderzochtten en waar Webwereld over bericht.
“Het beschikbaar komen van een werkende opstelling (ontvanger, PC, publiek beschikbare software) die SMS berichten kan onderscheppen levert een reële kwetsbaarheid op voor EPD- DigiD", stellen de onderzoekers. Daardoor kan het publiek vertrouwen in het EPD verliezen. Reden voor minister Klink om burgers voorlopig geen digitale toegang tot hun EPD te geven. Een goed alternatief is namelijk nog niet voorhanden.
Encryptie
“Totdat er meer duidelijkheid bestaat over mogelijke mitigerende maatregelen, wordt vooralsnog een pas op de plaats gemaakt met de ontwikkeling van die onderdelen van het Klantenloket die van de beveiligingskwetsbaarheid in SMS afhankelijk zijn, waaronder een patiëntenportaal”, schrijft de demissionair-bewindvoerder vandaag aan de Tweede Kamer. “Immers, voorop staat dat een zo optimaal mogelijk niveau van privacybescherming een absolute voorwaarde is voor het op verantwoorde wijze verschaffen van elektronische toegang tot patiëntgegevens.”
Volgens onderzoeker Karsten Nohl zal ook de sterkere encryptie die in moderne toestellen aanwezig is geen uitkomst bieden. Deze versleuteling heeft namelijk zijn eigen problemen, aldus de onderzoeker tegenover Webwereld. “GSM is stuk en de keuze van het versleutelingsalgoritme beschermt slechts tegen bepaalde aanvallen”
Yaffle
Dat het voor het EPD niet voldoet wil nog niet zeggen dat het voor de ING niet werkt. de SMS is maar een schakel in het systeem en het gaat ook om andere gegevens.
Vraag me af of het zo onveilig is voor algemeen gebruik. Tegen een gerichte aanval is het inderdaad niet bestand maar hoe groot is die kans. Als "ze" echt willen komen ze er toch wel bij en zijn er waarschijnlijk makelijkere wegen tot het dossier.
Als je geld kwijt bent is dat te vergoeden. De banken hebben daar een risicopotje voor waar we met zijn allen aan betalen.We betalen daar met zijn allen aan mee.
MAAR als jouw medische gegevens openbaar zijn geworden zijn deze voor ALTIJD openbaar. Dat is niet meer terug te draaien, nooit meer.
Dat is een gedachten die je wel degelijk moet hebben als je het over geld of over gegevens hebt.
Om die reden heb ik gelijk bezwaar aangetekend toen ik daar de mogelijkheid toe had.
Hoe kun je iets verliezen dat er nog niet was@
Als het voor ons al onveilig is, is het voor hen niet veel veiliger.
Lijkt mij nog steeds veel veiliger dan de centrale database waar duizenden apothekers,artsen,verpleegkundigen bij kunnen. Als iemand echt jouw informatie wil hebben zijn er veel makkelijker methoden, aangezien het een enorme groep betreft. Verder al die duizenden PC in ziekenhuizen en praktijken.. Staan deze allemaal 'gelocked' als er koffie wordt gedronken. Dus trek gewoon een witte jas aan en zie aan welke info je kunt komen..
Deze aktie is alleen maar schijnveiligheid
Daar heb je gelijk in. KPMG & FOX-IT houden regelmatig onderzoeken naar de veiligheid binnen ziekenhuizen, hier voeren ze o.a. een penetratietest uit bij het ziekenhuis. Zover ik weet is het alle keren nog gelukt om ongeautoriseerd binnen te dringen op het computernetwerk van de organisatie..... persoonlijk zou ik daar zelf ook wel een keer een kijkje willen nemen :P
- men maakt een systeem waarbinnen voor alle burgers alle medische gegevens bereikbaar zijn.
- iedereen met toegang tot het systeem kan bij die gegevens.
- de mate van bescherming van al die gegevens van iedereen staat of valt met het idee dat er strenge straffen staan op misbruik (even aangenomen dat de werkelijke misbruik-maker ook aangepakt wordt en niet iemand wiens pas gebruikt is)
Kortom er zijn in de orde van 100'000 mensen in NL die technisch toegang hebben tot al die gegevens en de beveiliging is zo opgezet dat deze in theorie prima werken voor mensen die zich aan de regels houden en dan ook dat iedereen zich aan de regels gaat houden.
Echter je moet je niet beschermen tegen mensen die zich aan de regels en afspraken houden. Potentieel dus in de orde van 100'000 toegangspassen die door derden misbruikt zouden kunnen worden, of door de pashouder onder bedreiging of wat voor manier dan ook.
Via die route heb je toegang tot vele dossiers.
Via een GSM (of gekloond nummer) kun je bij de gegevens van 1 persoon.
Nee dan is het heel logisch dat je die laatste optie als belangrijkste security-gat gaat beschouwen.
Oh en je kunt nog wel vrijwel een complete identiteit overnemen van iemand via die route, omdat dat nog wel je authetificatiemiddel is richting de overheid.
Ligt het aan mij, of rammelt er hier iets?
EPD is zowiezo een historisch archief en zegt vaak niets over de huidige status van een patient. Niet zinvol als ik ziek ben.
Maar goed, als de regelneefjes zoiets democratisch besluiten kan het ook veilig.
Kijk eens in andere landen zou ik zeggen, in plaats van generiek foute oplossingen bedenken.
De basis is een combinatie van kennis en bezit en rechten, dit is prima uit te voeren zonder SMS: b.v. een PIN en Token of een PIN en Chipcard met generieke USB reader zoals in het buitenland.
De status vandaag de dag is dus.. Er is een dossier over mij..
Zij mogen er in, alles delen en erin plaatsen..
Ik kan niet eens bekijken of controleren wat er überhaupt in staat..
Lekker zooitje..
Mijn gevoel in de veiligheid is nu -100%!!
Joop ût Tilburg...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
