Minister: Java-plug-in nog nodig voor software zorgaanbieders
Het overheidsadvies aan zorgaanbieders om hun browser niet te updaten is gegeven omdat de software in de zorg nog steeds van Java gebruikmaakt. Browserupdates die de ondersteuning van Java uitschakelen kunnen er dan ook voor zorgen dat de software van zorgaanbieders niet meer werkt.
Dat heeft minister Schippers van Volksgezondheid op Kamervragen van D66 laten weten. Vorige maand werd er een e-mail gestuurd aan zorgaanbieders die van het UZI-register gebruikmaken. Het Unieke Zorgverlener Identificatie Register (UZI-register) is het door de minister van Volksgezondheid aangewezen register van zorgaanbieders. Het wordt beheerd door het CIBG, een uitvoeringsorganisatie van het ministerie van Volksgezondheid. Het UZI-register is de certificatiedienstverlener die certificaten uitgeeft voor de unieke identificatie en authenticatie van zorgaanbieders in de zorg.
Voor het laten inloggen van zorgaanbieders wordt er van Java- en ActiveX-onderdelen gebruik gemaakt. In de betreffende e-mail aan zorgaanbieders waarschuwde het CIBG om browsers op de computer niet te updaten, aangezien die vanaf oktober de vereiste Java- en ActiveX-onderdelen niet meer ondersteunen. D66-Kamerleden Verhoeven en Dijkstra wilden weten waarom er niet eerder stappen genomen zijn om de huidige situatie te vermijden, aangezien het al sinds januari bekend is dat browsers hun Java-ondersteuning stoppen.
"Ik ben op de hoogte dat het stoppen van de ondersteuning al sinds januari 2016 bekend is. Het probleem speelt tussen de leveranciers van softwarepakketten en de afnemers van deze pakketten (zorgaanbieders). Omdat er signalen waren dat de softwareleveranciers dit probleem niet overal onderkend en opgelost zouden hebben, is besloten actie te ondernemen", aldus Schippers.
Eigen verantwoordelijkheid
Volgens de minister hebben zorgverleners een eigen verantwoordelijkheid als het gaat om het beveiligen van de eigen ict-omgeving. "Het is belangrijk dat zorgverleners zelf de afweging maken tussen beveiliging en mogelijke beperking in functionaliteit. Om deze afweging te kunnen maken heeft het CIBG besloten via de betreffende de mail de zorgverleners te informeren", schrijft Shippers. "Ik ben mij bewust van het belang van beveiligingsupdates en zal in beginsel altijd adviseren beschikbare beveiligingsupdates van browsers en bijhorende plug-ins te installeren."
In de e-mail die het CIBG verstuurde wordt geadviseerd om automatische updates niet meer te laten plaatsvinden. Dit betekent volgens Schippers dat deze updates alleen kunnen plaatsvinden in een gecontroleerd proces waarbij ook getest wordt of het pakket waar de zorgaanbieder mee werkt, ook na de update blijft werken. "Op basis van een eigen risico inventarisatie dient de aangeschreven zorgverlener te beoordelen op welke wijze hij het advies van het CIBG implementeert", laat de minister verder weten (pdf).
Schipper meldt ook dat het Nationaal Cyber Security Center (NCSC) van de overheid niet bij het advies van het CIBG was betrokken, maar zich nu wel met het dossier bezighoudt. De verplichting om Java te gebruiken zou voor het einde van dit jaar moeten zijn opgelost.
Daarin staat toch, dat een plug-in de functionaliteit mag uitbreiden, maar dat alle informatie zonder plug-in toegankelijk moet zijn?
Dit was zo bij versie 1 van de richtlijnen, is er iets veranderd sinds versie 2?
Daarin staat toch, dat een plug-in de functionaliteit mag uitbreiden, maar dat alle informatie zonder plug-in toegankelijk moet zijn?
Dit was zo bij versie 1 van de richtlijnen, is er iets veranderd sinds versie 2?
Man, man, man, wat zit er toch voor dom volk in die organisaties?
Die organisatie hebben hun IT voorziening ingekocht en zich laten adviseren door IT dienstverleners, denk je ook niet? Grote, dure projecten, waarin keuzes worden gemaakt, die niet zomaar veranderd kunnen worden met de snelheid waarmee de cyberwereld verandert. Aan de andere kant, de leveranciers zouden binnenkort wel eens alle klanten uit de branche kunnen verliezen als ze hun spullen afhankelijk houden van onbetrouwbare componenten. Werkplekken bij de klanten willen updates draaien, maar weer niet volledig, dus ingrijpen, wordt vrij snel onbeheersbaar.
een webbrowser zonder daarbij Java of ActiveX te gebruiken?
een webbrowser zonder daarbij Java of ActiveX te gebruiken?
Oh? Is dat wat ze doen? Smartcards, USB devices...
Tja... Dat staat nog in de kinderschoenen lijkt 't: https://www.w3.org/2012/webcrypto/webcrypto-next-workshop/papers/W3C_HID_Global_Submission.html
Ok, weer het bekende verhaal dus. De overheid is dom, de overheid snapt er niks van, de overheid houdt zich niet
aan de richtlijnen, maar als puntje bij paaltje komt heeft men hier eigenlijk ook geen betere oplossing.
de Java applicatie waarover wordt gesproken is niet een Java applet die via de problematische Java-plugin wordt uitgevoerd! Het gaat hier om een Java applicatie, die buiten de browser draait en die een lokale web server aanbiedt.
Laat je de titel van dit artikel dan weer terug aanpassen?
Dat is wel zo consequent.
Of mag onterechte positieve beeldvorming over onveilig java dan weer wel blijven staan?
Vermoedens kleuren 'geurig' donkerbruin.
Altijd hetzelfde met die java fanbase.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
