Ziekenhuis verliest USB-stick met data 14.000 patiënten
Een Amerikaans ziekenhuis is een USB-stick met de gegevens van 14.000 patiënten verloren. Naast patiëntgegevens bevatte de stick ook informatie van 200 werknemers van het Oregon Health & Science University Hospital. Het gaat onder andere om sofi-nummers, adresgegevens en namen van de werknemers. Van 702 patiënten werd ook meer persoonlijke informatie buitgemaakt
Encryptie
Het apparaatje werd begin juli per ongeluk door een werknemer in een tas meegenomen. Deze tas werd tijdens een inbraak gestolen. De USB-stick was niet versleuteld, maar wel met een wachtwoord beveiligd. De gegevens zouden in een "ongewoon formaat" zijn opgeslagen en alleen met software zijn te openen die niet normaal op pc's aanwezig is.
Aangezien er bij de inbraak ook andere spullen werden gestolen gaat het ziekenhuis ervan uit dat de USB-stick niet het doel van de dief was. De 702 patiënten worden per brief ingelicht.
Fout 2. Hoe kan het dat er USB sticks worden gebruikt die niet ge-encrypt zijn?
Dus... de security policies zijn niet op orde of worden niet nageleefd. Vermoed het eerste.
Haal die on-the-fly op uit de database aan de hand van een uniek recordnummer.
En als die USB stick werd meegenomen wie zegt of ontkracht dat er (door de medewerkster) niet ook een laptop werd meegenomen met die 'niet-normale' software die gegevens opslaat in een 'ongewoon' formaat.
En zo ongewoon zal het allemaal niet zijn als die 'niet normale' software toestaat deze bijzondere data op een usb-stick te bewaren.
Dan heb je namelijk privacy en veiligheid niet erg hoog in het vaandel staan.
Dergelijke gegevens vallen onder de hoogste privacy norm van de WBP en mogen helemaal niet op zo'n stick staan.
En áls er dus zo'n usbstick verloren wordt, hoeveel USB sticks zijn er dan die niet verloren worden maar ook patiëntgegevens bevatten, dat moeten er duizenden zijn....
Veiligheid en privacy zijn groot goed voor iedereen. Maar die medewerkers in het ziekenhuis hebben ook wel protocol te volgen om hoe met die gegevens omgaat. Dus de gegevens kunnen beter op een beveiligde server opgeslagen worden waar dan ook iedereen niet bij kan komen zonder wachtwoord en inloggegevens. Het is ook vrij bekend dat ICT soms laf is om aan de beveiliging te werken zoals bijvoorbeeld een hardeschijfruimte toe te kennen aan bevoegden met middel van versleuteling van de bestanden. Dan heb je ook minder kans op gehackt te worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
