Door 4amrak:
had niet mogen gebeuren, is toch gebeurt, had niet mogen kunnen is toch mogelijk... tja, die theorie en praktij weer he :). btw fabrikant had usb kunnen disablen default in apparaat, beheerder had beter in kunnen richten, gebruiker had beter kunnen denken etc. oh en vergeet de dief niet, als die er niet was dan... tja de gehel kenet dus weer, meerdere faken op meerdere plekken en nu komt die karma, ja ja eenvoudige logica, de fabrikant dus OOK (<-- zie je die benadrukking, ook, betekent dus niet alleen, en gedeeld betekent dus ook niet exclusief) to diffcult i guess.
Iemand met een echte wetenschapsachtergrond had het issue geanalyseerd en dan pas conclusies getrokken.
Wat weten we:
- het is apparatuur van Roche aangeschaft door het ziekenhuis
- Deze apparatuur is goedgekeurd voor medische toepassingen dan kom je langs de FDA en de Nederlandse tegenhanger(s). Daar zijn wetten voor
http://wetten.overheid.nl/BWBR0002697/2016-08-01 je komt dan bij https://www.igz.nl/ uit.
- Het onderhoud op apparatuur van Roche is door Roche Diaognostics ofwel de fabrikant zelf uitgevoerd.
Wat kun je nagaan:
- Onderhoudsvoorschriften van Roche apparatuur zijn niet openbaar, mogelijk is er wat concurrentie op de markt maar voor de thuisgebruiker hacker is er drempel voor de gesloten Roche opzet.
- De ICT security is medische apparatuur is ondermaats. Ik kan de keuringseisen van IGZ niet 123 nagaan. Het zou een interessant wetenschappelijke onderzoeksvraag zijn zie b.v. https://www.security.nl/posting/516894/Onderzoekers+vinden+duizenden+lekken+in+pacemakersystemen
- De onderhoudsmonteur van Roche heeft met een USB stick zijn door Roche opgelegd onderhoudsacties uitgevoerd.
Welk merk USB stick gebruikt is van de action Sandisk Toshiba Samsung NXP of wat anders maakt niet uit. Het enige wezenlijke: er is niet geinvesteerd in USB sticks die automatisch encrypten. Ja die bestaan ook. https://nl.hardware.info/reviews/6583/2/encrypted-usb-flashdrive-review-drie-beveiligde-sticks-getest-korte-introductie-kingston-en-integral
Wat voor vragen zou je als wetenschapper moeten stellen:
- Wat is de reden dat het ziekenhuis en/of Roche het te melden als datalek?
Als de dief met een zwijggeld is gekomen dan is er echt data gelekt.
- Waarom heeft het IGZ geen eisen voor de apparatuur m.b.t. cybersecurity als er zoveel mee mis kan gaan?
Je hebt over beheerder, die speelt na de analyse geen rol in dit verhaal.
Je hebt het over de gebruiker, dat is het ziekenhuis als koper van die apparatuur. Die is er van uit gegaan dat de leverancier en IGZ hun taken wel goed gedaan zouden hebben.
4amrak ik zie geen wetenschapper in je. Het ziet er niet zo uit, je gedraag je er niet naar en de smaak van post kloppen niet. Dan zal het met "de eend" vaststellingsprotocol in het hoofd, als eerste conclusie met een statistische betrouwbaarheid wel geen wetenschapper zijn.
Het klopt wel met dat je er enkel op uit bent om 1 merknaam te bashen en ander alternatief op te hemelen als feilloos
Bewijs nu eens degelijk met een goede onderbouwing dat het anders is.