Tja, als je van te voren niet nadenkt moet je achteraf onnodig veel investeren.

Wat een onzin, alsof een EoL-apparaat (dat niet in directe verbinding staat met het WWW) ervoor zorgt dat data kwetsbaar is.
Om wat voor apparaten gaat het eigenlijk? Een werkstation kan van alles zijn, van een schermpje waar afspraken op te zien zijn, tot een 15 jaar oude MRI-scanner.

Dat het CPB zich voortaan fijn bezig gaat houden met systeemfouten, zoals dat verkapte EPD, de NS met z'n OV-track-pas, de overheid met allerlei (illegaal) gekoppelde systemen, etc. etc.

Of daar in ieder geval meer aandacht in zoekt dan deze situatie, waarbij ogenschijnlijk alleen theoretisch mogelijk problemen zouden kunnen ontstaan. Daarbij vind ik nog wel het ergste dat het Ziekenhuis niet eerst in staat wordt gesteld om de problemen op te lossen, voordat de media benaderd wordt. Dit werkt, IMHO, data-diefstal juist in de hand!

Groene Hart is overigens een oude bekende: https://www.security.nl/posting/38323/Ziekenhuis+lekt+gegevens+493_000+pati%C3%ABnten

Groene Hart is overigens een oude bekende: https://www.security.nl/posting/38323/Ziekenhuis+lekt+gegevens+493_000+pati%C3%ABnten

Als ze nu gewoon zeggen dat het om het geld te doen is wat naar die hoge piefen gaat i.p.v. het voorleggen van een onzin verhaal.

In theorie en vanaf de zijlijn is het allemaal makkelijk, maar in de praktijk hangt zo'n ding voor je het weet aan het
netwerk (bijvoorbeeld om patientgegevens in te lezen bij een behandeling, om de foto's meteen in het dossier te stoppen,
e.d.) en als je de applicaties meer en meer naar cloudoplossingen of andere externe hosting verplaatst dan heb je voor
je het weet internet toegang nodig voor de normale werkzaamheden met die scanner.

Dan is het nog wel op te lossen met een goede proxy die alleen toegang geeft tot noodzakelijke sites, maar het is dan
niet meer vanzelfsprekend en het is schokkend hoe vaak internet toegang helemaal niet tot op dat level beveiligd is.
(je zou ze de kost moeten geven waar er vanaf het LAN gewoon NAT toegang naar internet is, ook bij andere bedrijven
dan ziekenhuizen)

Natuurlijk had ook dit ziekenhuis met de tijd mee moeten gaan en tijdig moeten migreren.

Maar dan heeft het CBP nog wel ff wat te doen, want er draaien nog heel wat Windows 2000, XP en zelfs NT en 95 machines in het land. Ook bij de overheid...

Als je het verhaal eerst leest, dan wist je dat het juist om die computers met een internetverbinding ging:


Dus op het moment dat er geen internet toegang is, is het probleem ook weg.

Misschien moet je het document van het Cbp eerst lezen. Zie http://www.cbpweb.nl/downloads_rapporten/rap_2014_netwerkbeveiliging-groene-hart-ziekenhuis.pdf. Er is structureel heel erg veel fout bij deze organisatie op gebied van informatiebeveiliging. Dat kan 1001 oorzaken hebben, zoals prioriteit van het management, geen awareness, verantwoordelijkheden en bevoegdheden niet ingevuld, geen geld, noem maar op. Punt is: juist de beveiliging van de patientinformatie is van enorm belang. Niemand wil dat heel de wereld mee kan lezen bij dit soort zaken. Ik zal het rapport niet gaan samenvatten, maar je haren gaan overeind staan als je het rapport leest. Andere partijen die de privacy ook schenden staan hier volledig los van. Om wat voorbeelden te noemen:

(1) Enkele security gebreken speelden al sinds 2010, toen er een security onderzoek heeft plaatsgevonden. Dat is 4 jaar geleden. Wanneer het management niet capabel is om securitylekken binnen 4 jaar te adresseren (en God weet hoe lang de lekken toen al aanwezig waren), dan is er sprake van een structureel probleem.
(2) Netwerkzonering is niet doorgevoerd. De kans dat hier een netwerkarchitect bezig is geweest acht ik vrij klein. Soms komen die mensen toch van pas, met name bij een veilige inrichting van het bedrijfsnetwerk.
(3) Lifecycle management processen voor software bestaan niet, of in ieder geval niet voor de Windows 200 machines. Ze geven zelfs aan dat ze niet weten wat voor besturingssoftware ze hebben draaien, doordat ze het beheer niet zelf uitvoeren. Dat geeft ook een fraai kijkje in de controlemaatregelen die ervoor moeten zorgen dat een organisatie in control is op gebied van externe leveranciers. Dat geven ze verderop in het document zelf ook toe.
(4) Door de gebrekkige infrastructuur wordt antivirus uitgeschakeld, doordat deze anders systemen omver kan trekken. Oftewel, low-profile virussen op die systemen (goed mogelijk vanwege gebrekkige patching) zal door niemand worden opgemerkt.
(5) ...

Ik kan nog wel even doorgaan, maar de strekking is duidelijk: een management zonder affiniteit met informatiebeveiliging, zonder kennis van zaken en zonder een duidelijke taakbeschrijving op gebied van risk management, zelfs na het incident van enkele jaren geleden, waarbij honderdduizenden klantgegevens vrij benaderbaar waren via Internet. Dat is niet met wat technische lapmiddelen, die in het document worden beschreven, op te lossen. Dat vereist een totaal andere houding, ander gedrag en aanzienlijk meer kennis van zaken opgebied van risicomanagement, processen en outsourcingkwaliteiten.

PS: Het jankverhaal van het management in hoofdstuk 4 is helemaal fraai. Sinds 2010 (en misschien al ruim voor die tijd) is het een chaos, maar er moet toch nog even gezegd worden dat de richtlijnen waartegen getest zijn pas in 2013 zijn goedgekeurd en dat ze het niet helemaal eens zijn met de Cbp werkwijze. Inderdaad, maar de kennis en toepasssing van die richtlijnen was al gemeengoed in 2006, ruim voor het bekend worden van de eerste beveiligingslekken, dus verzin eens wat anders en ga eens netjes om met andermans privégegevens, oelewappers!

De aanleiding van het CBP-onderzoek was dat in 2012 tientallen medische dossiers en gegevens van honderdduizenden patiënten via internet toegankelijk zijn geweest. De eerste zin van het CBP-rapport, waar ik dit aan ontleen, geeft al een reden om te denken dat ze hun IT-beveiliging niet goed hadden geregeld. En als je even verder grasduint in het rapport kom je al snel tegen dat a) het netwerk niet gesegmenteerd is en dat alle apparaten elkaar kunnen 'zien', b) er apparaten bijzitten die niet door het ziekenhuis zelf van updates kunnen worden voorzien en waarvan ze zelfs niet weten onder wel besturingssysteem ze draaien, en c) dat veel van die apparaten met het internet verbonden zijn.
Op 14 juni 2013 heeft het ziekenhuis al aan het CBP al toegezegd maatregelen te treffen. Ze hebben dus ruimschoots meer dan een jaar de tijd gekregen om de problemen op te lossen.

Hint: kijk even wat verder voordat je begint te roepen dat iets onzin is. Mij kostte het minder tijd dan het schrijven van deze reactie, je bent maar twee muisklikken van het rapport verwijderd hier.

Ik kijk er niet van op. Heb zelf voor een ziekenhuis gewerkt en beveiliging was een non-issue. Daar zou men ter zijne tijd nog wel een werk van maken was de reactie toen ik er een opmerking over maakte. Helaas voor hen kwam een worm, welke al twee jaar bekend was, op bezoek en besmette het netwerk in zo'n mate dat externe consultancy nodig was om alles weer te herstellen.

De typische management houding onderhoud plegen en zorgen dat alles op orde is kost geld.
Wordt door iemand geconstateerd dat het niet goed is dan moet je die als boodschapper de schuld geven.

Zelfregulatie is een non-sense idee. Er staat ook dat er bij veel meer organisaties iets niet goed zit.
Kom om CBP doorbijten met de tanden laten zien.

Als ook de AFM/DNB hun werk echt zouden doen, dan komt dat ook bij de financiële instellingen naar boven.
Voor overhiedsorganisaties geld het zelfde, wie controleerd die?

Het is dan ook te hopen dat de medische apparatuur niet via een systeem wat draait op windows 2000 of XP op de een of andere manier aan het internet " geknoopt " zit.
Lijk me niet handig als bestralings apperatuur, morfine- of andere medicijnpompen of software waarmee pacemakers en dergelijke worden ingesteld een eigen leven gaan leiden .

Dan zult je vast blij worden van HVAC controllers op een NT4 machine met ini bestandjes ..... Wil je de OK koud of warm hebben? :-)