Heb je al contact gezocht met André Koot?
Zie http://m.nu.nl/internet/3097396/beveiligingsexperts-eisen-cbp-onderzoek-gehackte-kliniek.html

Amen. Natuurlijk mag je niet zelfstandig 'auditen' zonder toestemming van de organisatie, en natuurlijk zijn dergelijke zaken het werk van professionele penetration testers die het allemaal wel mogen als ze eenmaal een contract hebben afgesloten. Maar weet je wat daarmee het probleem is? Kwaadaardige hackers laten zich niet tegenhouden door het feit dat ze geen contract hebben, en organisaties die niet security-aware zijn - juist degenen die dus het ergst met hun neus op de feiten gedrukt moeten worden - huren geen penetration testers, maar bewaren wel onze gegevens op onveilige wijze. En het moet niet zo zijn dat "wij" dat allemaal oogluikend moeten laten gebeuren omdat we anders "stout" zijn.

Met als kanttekening dat ik de bij dit drama betrokken journalistieke vrijheid hierbij een klein beetje onzinnig vind - Henk Krol had geen journalistieke plicht die zwaarder weegt dan de jouwe of de mijne om hier iets mee te doen, dit komt gewoon neer op burgerrechten en -plichten.

- Rene

Ik ben het niet met je eens.
Henk Krol heeft een wachtwoord van iemand overgenomen en dat gebruikt om rond te kijken in het systeem.
Dat is fout. En dat heeft niks te maken met hoe sterk dat wachtwoord was, want zelfs het sterkste wachtwoord
faalt als je het van iemand afkijkt en daarna zelf gaat intypen.
Ook denk ik dat je verkeerde conclusies trekt uit wat je op TV ziet. Daar heeft men uiteraard een voorbeeldje
gefilmd en niet de echte usernaam en wachtwoord.

Het was niet Henk Krol's taak om te gaan kijken wat hij allemaal kon doen met dat gejatte wachtwoord.
Hij had beter aan de kaak kunnen stellen dat je een wachtwoord makkelijk in handen kunt krijgen zonder dat
je zelf de persoon bent die toegang moet hebben, en daarmee aangeven dat een usernaam/wachtwoord beveiliging
niet goed genoeg is om te dienen als toegangsbeveiliging van gevoelige informatie op internet.

Je leest hier keer op keer die verhalen over "gemakkelijke wachtwoorden" en hoe vaak ze voorkomen, maar waar
de kern van de zaak ligt is dat een wachtwoord gewoon te gemakkelijk in verkeerde handen valt.
Voor gevoelige informatie moet een two-factor authenticatie verplicht gesteld worden.
Daar kun je je beter op richten dan op het kiezen van wachtwoorden die niemand kan onthouden.

Als het in een open brief doen van uitspraken die beginnen met "Ik vind" en "In mijn ogen" al gezien zou worden als onrechtmatige beinvloeding van rechters, en reden om de argumenten niet eens te bekijken, dan is onze rechtspraak onherroepelijk verloren.

Niks mis mee, zolang het maar via de advocaten bij de rechtzaak loopt.
Als rechters zich openlijk laten beinvloeden door meningen van buitenaf
is het hek van de dam.
Degene met de meeste centen (voor zover dat al niet gebeurt) zet "campagnes" op
om hun mening/zienswijze bij de rechters te laten aankomen.

Het probleem bij Krol is echter niet dat hij probeert aan te tonen dat er erg slecht omgegaan wordt met wachtwoorden. Om dat aan te tonen was het genoeg geweest om te laten zien dat hij kon inloggen in het systeem met andermans wachtwoord.

Hij had echter van andermans informatie moeten afblijven. Desnoods had hij zijn eigen dossier moeten inzien. Henk Krol is echter een publiek figuur die als politicus ook een voorbeeldfunctie heeft. Als hij dan ook nog andermans dossiers inziet terwijl hij weet dat hij illegaal bezig is, dan zal een rechter dit niet kunnen negeren en zich strikt aan de wetteksten moeten houden.

Henk Krol heeft zat manieren om dit aan de orde te stellen.
Als DvU hem wegstuurt, dan kan hij vragen stellen als parlementarier.
Bijvoorbeeld in het vragenuurtje.
Hij hoeft daarvoor niet eerst zelf rond te kijken, hij kan gewoon de nuchtere feiten noemen.

Dat is lekker zwart/wit denken.
Als iemand een gat in mijn organisatie vind (dus er nog geen gebruik van maakt om het sterker aan te duiden en misschien daarmee ook andermans persoonsgegevens misbruikt) mag hij dit zeker melden en zullen wij dit dankbaar aannemen en iets mee doen.
Gaat iemand net door dat deurtje dan is voor mij de grens bereikt en zullen wij ons zeker bedenken of we aangifte zullen gaan doen.
Dat je denkt dat niemand iets doet met een goed geplaatste melding is mijn ogen zwart/wit denken.
Ja je hebt wan organisaties maar je hebt ook organisaties die wel goed omgaan met de door jouw aangeleverde informatie.
En daarnaast denk ik moet iemand anders bepalen of iets wanbeleid is of niet, zwakkre wachtwoorden of niet.
Als een bedrijf een enorme technical debt heeft en met man en macht probeert de security op te krikken en ze vallen door de mand door een gat wat op hun roadmap staat, moet je dat dan wanbeleid noemen?

Ik denk het niet, security kost nou eenmaal tijd en geld.

Als iemand bewust zaken negeert zonder goede argumenten dan is dat andere koek.

> Gevolg: de directie van DvU komt weg met haar wanbeleid op het gebied van informatiebeveiliging en we wachten met z'n allen op een volgend vergelijkbaar incident.

Het bestraffen van dhr. Krol staat een onderzoek naar en eventuele boete voor DvU niet in de weg. Het is overigens onwaarschijnlijk dat een rechter de schadevergoeding voor DvU toewijst voorzover de gemaakte kosten in alle redelijkheid ook al van te voren gemaakt hadden moeten worden.

De kosten van het invoeren van RSA-tokens zullen dus niet bij een schadevergoeding worden toegekend. De kosten die DvU heeft gemaakt om de verrichtingen van dhr. Krol te onderzoeken mogelijk wel. Dat lijkt me redelijk.

> Hij heeft dus geprobeerd om het te melden bij DvU, maar die stuurde hem weg.

Volgens mij kwam deze melding pas na het inzien van dossiers.

De receptie van DvU heeft dhr Krol niet 'weggestuurd', maar gevraagd om de melding op schrift te stellen. Dat lijkt me een redelijk verzoek.

Extra media-exposure is altijd meegenomen. Geldt voor Krol alsook voor de Winter.

Sterke brief, echter ik denk ook dat Peter gelijk heeft.

Wat ik echter nog steeds niet zie is dat mensen geen -Social media- gezamelijk inzetten om iemand te steunen en in dit geval een rechter te "dwingen beter na te denken" over een zaak, en om eens stil te staan hun burgers er over denken.

Deze zaak is eigenlijk niet zo heel complex, maar door de rechter worden er dingen aangehaald om hackers af te schrikken. Waar de rechter niet naar kijkt is wat als een black-hat deze gegevens gaat misbruiken, en past de methode
op Henk Krol alvast maar toe.

Als alle Nederlanders het niet eens zijn met een uitspraak dan lijkt het mij alleen maar slim om een soort van website petitie te starten of dat iemand eens in 2013 een site opricht om burgers de gelegenheid te geven om een weerwoord of standpunt aan te kunnen dragen. Zolang deze website niet bij iedereen bekend is zullen er ook maar weinig mensen gebruik van maken waardoor het doel niet bereikt gaat worden.

Vindt je dat de overheid soms niet de juiste regels hanteert, en wil je het grote publiek daarin betrekken dat heb je dus
twee dingen nodig. 1} Een website waar mensen bezwaar kunnen maken tegen iets. 2} Social media MEER inzetten om
mensen gelijk op te hoogte te kunnen brengen, en een soort van handtekeningen actie te kunnen starten.

Jaja deze website bestaat al namelijk: http://petities.nl/petitie/new

Waarom gebruiken we deze niet masaal?
Waarom verspreiden we deze niet masaal met Twitter, Facebook e.d. ?

Alleen dan staan we een stuk sterker, en laten we onze stem horen.

Het middel is er alleen niemand doet er iets mee.
En als we er al iets mee doen, dan doen we het niet op grote schaal.

Dus in 2013 zijn we nog steeds niet in staat om met zo iets om te gaan.

Als je echt in Nederland iets wil veranderen dan laten we het ook gebruiken.

Niets wijst erop dat de gebruiker gedwongen wordt om z'n nieuwe wachtwoord te veranderen. En als hij dat al doet, dan wijst niets erop dat daar bijzondere complexiteitseisen aan gesteld worden.

De getoonde dialoogbox suggereert wel dat de gebruiker regelmatig gevraagd zal worden zijn wachtwoord te wijzigen. Dat helpt tegen shouldersurfers als je dat elke keer doet direct nadat iemand je wachtwoord afgekeken zou kunnen hebben (hoeveel patiënten heeft een dokter per dag?), in alle andere gevallen vergroot verplicht wachtwoordwijzigen in mijn ervaring het risico.

Ook interessant: Java ondersteuning nodig in webbrowser - dus zo lek als een mandje (tenzij de gebruiker aanvullende maatregelen neemt, of een recente Firefox gebruikt).

M.b.t. genoemde "voordelen":
• Als PC's uitsluitend via een VPN toegang zouden hebben, had Krol de hack niet zomaar elders kunnen uitvoeren
• Een volledig beveiligd en gecontroleerd systeem: dat is dus onwaar. In het persbericht staat namelijk niet "Direct nadat ons volledig beveiligde systeem zichzelf controleerde en een inbraak ontdekte..." maar "Onmiddellijk nadat Diagnostiek voor U de mediaberichtgeving via een journalist van het ANP vernam..."
• Laten we vooral printvriendelijke PDF rapporten met patiëntgegevens naar elkaar gaan e-mailen (onversleuteld natuurlijk, met forwards naar hotmail/live/google etc. Uitwisselen via dropbox of pastbebin kan natuurlijk ook).

Nb. dat in bedoelde rapporten patiëntengevens staan kun je afleiden uit de grijs gemaakte namen in http://www.diagnostiekvooru.nl/secure/resources/umail-april-zorgdomein-special.pdf (er is 1 naam volledig leesbaar gelaten, maar die is mogelijk van de auteur van de publicatie: http://nl.linkedin.com/pub/anja-geertsen/10/777/900).

Dit lees ik als: "Gelukkig ging het bij dit incident niet om één van de groepaccounts (want dan had Henk Krol alle patiëntenrecords in kunnen zien), maar ging het om een verloskundige met maar een beperkt aantal klantjes".

De vraag is of dat waar is (en was) natuurlijk. Misschien had Henk toch wat meer dan 17 accounts moeten proberen...

Bizar dat ze daar de politie voor nodig hebben. Iedereen die maar een beetje verstand van computers heeft kan je vertellen dat je dit soort incidenten in de toekomst kunt voorkomen door je niet alleen op een username+wachtwoord te baseren voor authenticatie.

Ten slotte, als je wat verder zoekt en leest dan denk ik dat dit het topje van de ijsberg is en het EPD (of openEPD) al dan niet samen met ZorgDomein (zie http://www.zorgdomein.nl/nl_nl/zorgdomein/faq-algemeen/ en "FAQ beveiliging" daaronder) niet meer zijn tegen te houden. Zolang je met standaard PCtjes, onversleutelde e-mails, authenticatie slechts door username/wachtwoord en enorme aantallen mensen die erbij kunnen zit, zullen onze gegevens, ondanks talloze Krollen, gewoon over straat blijven rollen (rijmt leuk hè).

Of wacht, het wordt alleen maar erger...

Edit 00:54: typo's/kleine aanpassingen/rijmelarij erbij

Dat kan gaan meevallen voor Krol, want wat kost het om de verrichtingen te onderzoeken?
Ik zou denken, aanloggen met 12345 12345, dat is voor de meeste mensen te doen en dan even kijken bij welke informatie je kunt. Voor een IT-er is dat een uurtje werk denk ik zo.
Rapportje van maken.
4 uurtjes werk. IT-ers worden niet (meer) zo goed betaald als bankdirecteuren, dus het zal niet meer kosten dan 350 euro.