Tapes met 13 miljoen patiëntgegevens gestolen
Niet hackers of cybercriminelen, maar verloren en gestolen back-up tapes en computers waren het afgelopen jaar in de Verenigde Staten voor de grootste medische datalekken verantwoordelijk. Het Amerikaanse ministerie van Volksgezondheid heeft een "breach tool" online gezet, die het aantal incidenten van het afgelopen jaar in kaart brengt.
Bij de vijf grootste datalekken gingen de gegevens van 13 miljoen patiënten verloren. Het ging onder andere om namen, adresgegevens, geboortedata, social security nummers, verzekeringsinformatie en medische dossiers.
Encryptie
Het grootste lek vond plaats bij Tricare, een gezondheidsprogramma voor militairen. In september werden de onversleutelde back-up tapes met de gegevens van 4,9 miljoen deelnemers aan het programma gestolen. De diefstal van een onversleutelde desktopcomputer bij Sutter Health, zorgde ervoor dat de gegevens van 4,2 miljoen patiënten op straat belandde.
Verloren onversleutelde back-up tapes en harde schijf van Nemours en Health Net, waren bij elkaar verantwoordelijk voor het verlies van 3,5 miljoen patiëntgegevens. Een gestolen computer met de onversleutelde gegevens van een half miljoen patiënten bij Eisenhower Medical Center maakt de top 5 compleet.
Versleutel die data die je backupt en je raakt alleen een restore-mogelijkheid kwijt wanneer de tape verdwijnt.
Dit zou wereldwijd verplicht moeten worden voor data met persoonsgegevens.
Een desktop computer zou ook geen patiënten-gegevens mogen bevatten. Dat trek je dan maar vanaf een server.
En voor een server is het ook helemaal niet erg dat systeembeheer de versleuteling actief moet ontsleutelen bij het booten. Dan ben je alleen maar een stuk infrastructuur (en dus tijd/geld) kwijt wanneer 'ie gejat wordt, of toevallig bij het grof vuil aan de straat komt te staan.
Tegenwoordig kun je AES-versleuteling op een moderne i5 laptop-CPU al met enkele GB's per sec. uitvoeren, dus waarom wordt dat niet vaker gebruikt. Er is geen technische reden meer om het achterwege te laten.
Versleutel die data die je backupt en je raakt alleen een restore-mogelijkheid kwijt wanneer de tape verdwijnt.
Dit zou wereldwijd verplicht moeten worden voor data met persoonsgegevens.
Een desktop computer zou ook geen patiënten-gegevens mogen bevatten. Dat trek je dan maar vanaf een server.
En voor een server is het ook helemaal niet erg dat systeembeheer de versleuteling actief moet ontsleutelen bij het booten. Dan ben je alleen maar een stuk infrastructuur (en dus tijd/geld) kwijt wanneer 'ie gejat wordt, of toevallig bij het grof vuil aan de straat komt te staan.
Tegenwoordig kun je AES-versleuteling op een moderne i5 laptop-CPU al met enkele GB's per sec. uitvoeren, dus waarom wordt dat niet vaker gebruikt. Er is geen technische reden meer om het achterwege te laten.
Beschikbaarheid en vertrouwelijkheid zijn 2 zaken die lijnrecht tegenover elkaar staan. En bij backups wint beschikbaarheid het in 99 van de 100 gevallen. Als je data gaat encrypten loop je een extra risico op dataverlies. Verlies de key, en je bent de data kwijt. En tijdens een recovery is zo'n risico onacceptabel.
Desktops hebben nog altijd swapfile/partities en temp-files waar gegevens in kunnen achterblijven. Dus die zal je wel moeten encrypten.
Een server waar je actief handelingen moet uitvoeren tijdens het booten? Jij hebt zeker nog nooit een datacentre plat zien gaan. Zie je het al voor je, honderden servers waar een key moet worden ingevoerd? En terwijl IT daar mee bezig is zitten duizenden anderen niets uit te voeren. En iedere keer als er een kernel-update uit komt moet dit gedaan worden?
Misschien dat ze bij de CIA en andere plekken waar ze met staatsgeheimen e.d. wat aan dat soort maatregelen hebben, maar voor de rest van de wereld zullen ze meer kwaad dan goed doen.
Versleutel die data die je backupt en je raakt alleen een restore-mogelijkheid kwijt wanneer de tape verdwijnt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
