Lekken in software voor patiëntendossiers gepatcht
In software voor het bijhouden van elektronische patiëntendossiers zijn verschillende kwetsbaarheden gepatcht waardoor een aanvaller gevoelige patiëntgegevens kon stelen of patiënten kon mailen, zo laat het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit weten.
De kwetsbaarheden bevonden zich in de Electronic Health Record (EHR) webapplicaties van de Amerikaanse leverancier drchrono. Via cross-site scripting (XSS) en cross-site request forgery (CSRF) was het mogelijk om nieuwe gebruikers in de software aan te maken, waaronder beheerders, alle data te lezen en patiënten e-mails te sturen. Om de aanvallen uit te voeren had een aanvaller een ingelogde gebruiker, bijvoorbeeld een arts, naar een pagina moeten lokken waar de aanvalscode op aanwezig was.
"Door een gebruiker een speciaal geprepareerde pagina te laten bezoeken, kan een aanvaller bijna alle EHR-data bemachtigen, waaronder gevoelige patiëntgegevens en persoonlijk identificeerbare informatie", aldus het CERT-CC. De kwetsbaarheden werden begin deze maand gepatcht. Of de software ook in Nederland wordt gebruikt is onbekend. Wel staat het pakket vermeld in de Digitale Zorggids.
EPD is en blijft een waardeloos en gevaarlijk systeem.
Waarmee de enige juiste conclusie is dat zelfs met alle huidige best current practices, de verkrijgbare techniek gewoon niet goed genoeg is voor dit soort toepassingen op publieke netwerken. Hetzelfde geldt voor, bijvoorbeeld, electronisch stemmen. We moeten gewoon toegeven dat wat we presteren ondermaats is, en niet blijven proberen de schijn op te houden. Pas daarna kunnen we ons bezinnen hoe nu verder. Dat we dan de geprojecteerde (en grotendeels uit de duim gezogen, zoals altijd) voordelen van verregaande verdigitalisatie niet kunnen plukken doet daar niets aan af. Het grondbeginsel moet zijn: Vooraleerst, doe geen kwaad. Veroorzaak dus ook geen informatieschade.
Net als de bij de FSB dus weer typemachines aanschaffen en dossiers in een niet-papierloos kantoor opslaan. Ook papieren dossiers kunnen gestolen danwel gekopieerd worden, maar dan gaat dat niet met een x-aantal dossiers tegelijk naar de andere kant van de oceaan.
Overigens, het bedrijf dat achter het LSP zit gaat rechtstreeks over de grens, maar onze volksvertegenwoordiger houdt vol dat alles veilig is... Burgers zijn maar lastig!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
