image

Kwart ziekenhuizen gebruikt geen beveiligde verbinding

vrijdag 6 januari 2017, 11:27 door Redactie, 6 reacties

Een kwart van de ziekenhuizen maakt geen gebruik van een beveiligde verbinding. Daardoor worden gegevens die patiënten op een webformulier invullen onversleuteld verstuurd. Dat blijkt uit onderzoek van Women in Cybersecurity (WICS) waar Trouw over bericht.

Voor het onderzoek werden 97 websites van ziekenhuizen onderzocht. Bij 25 ziekenhuissites was er geen beveiligde verbinding aanwezig. Verder bleek dat 11 ziekenhuizen de https-verbinding niet goed hadden geconfigureerd, waardoor het versleutelde verkeer alsnog kwetsbaar is. Organisaties zijn bij het versturen van 'bijzondere persoonsgegevens', zoals informatie over iemands gezondheid, verplicht om een versleutelde verbinding te gebruiken. De aanwezigheid van een ssl-certificaat, dat voor een beveiligde verbinding en het identificeren van de website wordt gebruikt, zegt echter niets over de veiligheid van de website zelf.

Reacties (6)
06-01-2017, 13:10 door Anoniem
Misschien leuk om te melden dat een formulier op de website van Trouw ook niet is beveiligd. http://www.trouw.nl/service/contactformulier-telefoonnummer-en-mailadres-wijzigen%20
En daar wordt ook om persoonsgegevens gevraagd.
06-01-2017, 13:23 door Anoniem
Enzovoort enzovoort, enzo.........
De klungelarij, onkunde, zorgeloosheid, geen respect voor data van patienten, en ga zo maar door.
Om te huilen want er is geen einde aan
06-01-2017, 13:53 door Anoniem
Ja de incompetentie en onkunde vieren weer hoogtij in ons kikkerland.

Als je geen geld wil spenderen aan beveiliging
en alleen op korte termijn om het 'binnenlopen' van je management denkt,
krijg je dit.

De kosten gaan nog altijd voor de baat uit en de rekening zit onder in de zak.

En dan hopen dat het net zo lang goed gaat als dat het goed blijft gaan.

Tot dat het een keer heel goed fout gaat.

Waarom hebben ze die vrouwelijke WICS niet gelijk in dienst genomen?

Laten die dames de boel maar eens lekker doorspitten, de onveiligheid mitigeren,
zorgen dat er security headers goed volgens best pratices zijn geïnstalleerd,
oude code is vervangen of van een update of patch voorzien,
Kijken of SRI hashes juist zijn geïmplementeerd,
certificaten juist geïnstalleerd en wat dies meer zij.

stack-dev-0-dames! veilig(er) maken die hap!. Laat ze een poepie ruiken!
06-01-2017, 16:31 door Anoniem
Door Anoniem: Misschien leuk om te melden dat een formulier op de website van Trouw ook niet is beveiligd. http://www.trouw.nl/service/contactformulier-telefoonnummer-en-mailadres-wijzigen%20
En daar wordt ook om persoonsgegevens gevraagd.

Dit is een goed voorbeeld van hoe onderzoek door onkundigen makkelijk kan leiden tot onterechte beschuldigingen!
Als je dat formulier bestudeert zie je dat het formulier zelf weliswaar niet encrypted is, maar het inzenden van het
formulier (POST actie) is WEL beveiligd met https. Dus als je meekijkt zie je wel het formulier maar niet de
persoonsgegevens. Hooguit een man-in-the-middle die het formulier tijdens het ophalen modificeert zou kunnen regelen
dat het naar een andere bestemming wordt gestuurd die het dan wel kan bekijken, maar op dat vlak is er vaak toch al
wel een en ander mogelijk.

Wie weet is dat bij die ziekenhuis onderzoeken ook wel mis gegaan...
08-01-2017, 01:14 door Anoniem
Ik ben niet onder de indruk van het onderzoek als de resultaten zijn zoals Trouw het brengt. In plaats van dat het echt om veiligheid gaat lijkt het WICS en Trouw toch meer te gaan om de ophef en aandacht trekken. Waarom ik die mening heb?

Ruim een derde van de websites van ziekenhuizen is slecht beveiligd. Bij een kwart van de sites ontbreekt een beveiligde verbinding zelfs helemaal, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd.
Een groot aantal van de sites zonder https heeft en had geen webformulier om persoonsgegevens te versturen. Maar dat melden ze niet. Kan je wel beweren dat het ontbreken van https een risico is, maar aan alles kleeft een risico. Dit is als klagen dat voetgangers onvoldoende beschermende kleding dragen in het verkeer. De vraag is of een risico acceptabel is in combinatie met het gebruik.

Patiënten moeten bij een op de drie ziekenhuizen hun gegevens via een slechtbeveiligde verbinding versturen
Moeten? Een patient heeft overal keuze om via een andere weg te communiceren. Telefonisch overal, post kan ook en afhankelijk van het onderwerp kan email ook gebruikt worden. De vraag is of patienten zelf verantwoordelijkheid nemen om een zorgvuldige keuze te maken. Het moeten noemen gaat veel te ver.

Dat de beveiliging van de sites bij zoveel ziekenhuizen niet goed is geregeld, laat zien dat beveiligingsproblemen in alle vaten van het ziekenhuis zitten
Dat je websites van ziekenhuizen ontdekt zonder https of met zwakkere https dan aanbevolen maakt het nog geen beveiligingsprobleem. Een goede onderzoeker zet een vermeend gebrek aan beveiliging in het juiste perspectief. Zie ik niet terug in de uitspraken en beweringen.

Waarschijnlijk krijg ik hier kritiek op. Er zijn genoeg figuren die perse https willen omdat het kan, omdat https veiliger is en veiliger is altijd beter, omdat het niet zo ingewikkeld is als vroeger, enz. Ik heb weinig met zulke eisen. Er schort zeker veel aan de beveiliging en omgang met persoonsgegevens in de zorg. Maar dat is geen argument om dan willekeurig gebrek aan https als iets heel heel ergs te benoemen zonder eerlijk te zijn wat het uit maakt.

Websites zonder https zijn niet per definitie onveilig. Websites met perfecte https bij contactformulieren zijn niet perse veiliger (weet u of de data na de website per mail of vpn verder gaat?). Benoem aub wat echt onveilig is met een goede onderbouwing in plaats van mensen wijs te maken dat iets wat veiliger kan onveilig is en het allemaal heel heel erg is.
08-01-2017, 15:49 door karma4
Door Anoniem: .....
Websites zonder https zijn niet per definitie onveilig. Websites met perfecte https bij contactformulieren zijn niet perse veiliger (weet u of de data na de website per mail of vpn verder gaat?). Benoem aub wat echt onveilig is met een goede onderbouwing in plaats van mensen wijs te maken dat iets wat veiliger kan onveilig is en het allemaal heel heel erg is.
De dames zullen een standaard pen-test zoals beschikbaar met kali-Linux gebruik hebben. Het geeft een beeld van bekende aanvalsvectoren waar de betreffende website geen rekening mee gehouden heeft.
Aangezien het standaard pen-testen betreft hadden de ziekenhuizen dat gewoon zelf al kunnen doen en daar intern wat over zeggen.

Als je op zoek gaat naar responsible disclosure policies met contacten dan blijkt daarvan ook weinig van niets te vinden. Waar het op duidt is dat richtlijnen zoals https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html niet dan wel onvoldoende in beeld zijn bij de bestuurders van de ziekenhuizen.
Een dataclassificatie met beschrijving van wat wel en wat niet gedaan wordt kan je met zo'n externe melding / extern bericht meteen weerleggen. Dat deze reactie niet gegeven wordt / kan worden is iets om goed over na te denken.

Ziekenhuizen bouwen de meeste software niet ze kopen een his in b.v. https://www.zorgvisie.nl/ict/nieuws/2013/10/amc-en-vumc-kiezen-definitief-voor-epic-1391186w/ besteden de operatie uit https://www.computable.nl/artikel/achtergrond/magazine/5251650/5215853/amc-en-vumc-draaien-epd-buiten-de-deur.html Wat kost zoiets nou leeuwarden betaalde https://www.computable.nl/artikel/nieuws/zorg/5733496/250449/invoering-epd-epic-kost-mc-leeuwarden-30-miljoen.html . Het AMC geeft minder financiële cijfers maar met https://www.vumc.nl/afdelingen-themas/7069120/75361/VUmc_JV-2014-totaal-def.pdf zijn ze laaiend enthousiast dat epic alle informatieperikelen gaat oplossen. Iets of datagovernance beleid over de security ontbreekt.
Ergo, mijn conclusie: ze vertrouwen de externe leveranciers op hun woorden maar doen niets dan wel veel te weinig aan de eigen verplichtingen. Niets nieuws het opvolgen van NEN7510 wordt al vele jaren vooruitgeschoven als te moeilijk te technisch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.