Ziekenhuis verliest USB-stick met data 14.000 patiënten
Een Amerikaans ziekenhuis is een USB-stick met de gegevens van 14.000 patiënten verloren. Naast patiëntgegevens bevatte de stick ook informatie van 200 werknemers van het Oregon Health & Science University Hospital. Het gaat onder andere om sofi-nummers, adresgegevens en namen van de werknemers. Van 702 patiënten werd ook meer persoonlijke informatie buitgemaakt
Encryptie
Het apparaatje werd begin juli per ongeluk door een werknemer in een tas meegenomen. Deze tas werd tijdens een inbraak gestolen. De USB-stick was niet versleuteld, maar wel met een wachtwoord beveiligd. De gegevens zouden in een "ongewoon formaat" zijn opgeslagen en alleen met software zijn te openen die niet normaal op pc's aanwezig is.
Aangezien er bij de inbraak ook andere spullen werden gestolen gaat het ziekenhuis ervan uit dat de USB-stick niet het doel van de dief was. De 702 patiënten worden per brief ingelicht.
Fout 2. Hoe kan het dat er USB sticks worden gebruikt die niet ge-encrypt zijn?
Dus... de security policies zijn niet op orde of worden niet nageleefd. Vermoed het eerste.
Haal die on-the-fly op uit de database aan de hand van een uniek recordnummer.
En als die USB stick werd meegenomen wie zegt of ontkracht dat er (door de medewerkster) niet ook een laptop werd meegenomen met die 'niet-normale' software die gegevens opslaat in een 'ongewoon' formaat.
En zo ongewoon zal het allemaal niet zijn als die 'niet normale' software toestaat deze bijzondere data op een usb-stick te bewaren.
Dan heb je namelijk privacy en veiligheid niet erg hoog in het vaandel staan.
Dergelijke gegevens vallen onder de hoogste privacy norm van de WBP en mogen helemaal niet op zo'n stick staan.
En áls er dus zo'n usbstick verloren wordt, hoeveel USB sticks zijn er dan die niet verloren worden maar ook patiëntgegevens bevatten, dat moeten er duizenden zijn....
Veiligheid en privacy zijn groot goed voor iedereen. Maar die medewerkers in het ziekenhuis hebben ook wel protocol te volgen om hoe met die gegevens omgaat. Dus de gegevens kunnen beter op een beveiligde server opgeslagen worden waar dan ook iedereen niet bij kan komen zonder wachtwoord en inloggegevens. Het is ook vrij bekend dat ICT soms laf is om aan de beveiliging te werken zoals bijvoorbeeld een hardeschijfruimte toe te kennen aan bevoegden met middel van versleuteling van de bestanden. Dan heb je ook minder kans op gehackt te worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
