Onderzoek: Meeste zorgsites zonder https-verbinding
Een meerderheid van de zorgsites maakt geen gebruik van een beveiligde https-verbinding, zo blijkt uit onderzoek van de Open State Foundation onder ruim 22.000 websites. Https zegt niets over de veiligheid van de website zelf, maar zorgt voor een versleutelde verbinding tussen de website en bezoekers en helpt bij het identificeren van de website. Daarnaast garandeert https de integriteit van de uitgewisselde data.
Van de onderzochte websites ondersteunt 39 procent https, wat neerkomt op zo'n 8600 websites. Van deze websites blijkt dat de https-verbinding bij bijna 1800 websites niet wordt afgedwongen. Gebruikers lopen zo alsnog onnodig risico, aldus de onderzoekers. Van de onderzochte websites van verloskundigen, aanbieders van geestelijke gezondheidszorg en thuiszorg ondersteunt 34 procent https. Bij minder dan een derde van deze websites wordt https afgedwongen. Ook websites van fysiotherapeuten (30 procent) en aanbieders van paramedische zorg (24 procent) scoren laag.
Verder blijkt dat iets minder dan de helft van de onderzochte apotheeksites https ondersteunt, waarbij 45 procent dit afdwingt. Bij de websites voor tandartsen, mondhygiënisten en aanbieders van gehandicaptenzorg maakt bijna 40 procent gebruik van https. Een derde van deze websites zorgt ervoor dat alleen de https-versie kan worden bezocht. Websites van ziekenhuizen en huisartsen beschikken het vaakst over een https-verbinding. Driekwart van de 108 onderzochte ziekenhuissites ondersteunt een https-verbinding en 68 procent dwingt dit ook af. Bij de bijna 3500 websites van huisartsen biedt 66 procent een https-verbinding aan, die bij 61 procent wordt afgedwongen.
Onbeveiligde formulieren
Uit een steekproef van de onderzochte websites blijkt ook nog eens dat verschillende zorgaanbieders op onbeveiligde websites online formulieren aanbieden. Zo zijn er aanmeldings- en inschrijfformulieren te vinden op onbeveiligde websites van huisartsen, apotheken, verloskundigen en aanbieders van geestelijke gezondheidszorg. Via deze online formulieren wordt gevraagd naar persoonsgegevens zoals bsn-nummers en medische gegevens. Ook zijn op deze websites zonder beveiligde verbinding online formulieren te vinden voor het aanvragen van (herhaal)recepten en voor het stellen van vragen.
een probleem elders is geen oplossing. dit gebrek aan gebruikt van https is dermate eenvoudig en goedkoop te realiseren dat dit gewoonweg schandelijk is voor de IT bedrijven die dit zo hebben geimplementeerd in het veld!
In principe is dit makkelijk te testen, met name naar een domein toe. De kans dat er medisch geheim in emails voorkomt is waarschijnlijk flink wat groter dan dat van het bezoeken van een willekeurige medische site via HTTP.
En dan is er ook het probleem van de trackers. Daar moet men in de medische wereld ook vanaf. Helaas zijn de meeste sites met medische informatie commercieel, daar is de slagingskans het laagst.
Precies. En het steeds maar weer de aandacht vestigen op https maakt het voor "de gewone man" alleen maar
onduidelijker wat nu een veilige website is. Door dit nieuwsitem hoor je weer in de journaals "verbindingen zonder
een slotje zijn niet veilig en met slotje zijn wel veilig" en daarmee wordt het begrip veilig alleen maar ge-erodeerd.
De veiligheid van de website zelf is veel belangrijker dan die van de verbinding, omdat je met een veiligheidsprobleem
in de website meestal veel meer data lekt dat met het onversleuteld zijn van de verbinding naar de gebruiker.
Geen goede actie dus.
Klopt, maar het is wel een begin.
En met een sniffer tool kun je wel zien wat voor artikel anderen bekijken (als je op hetzelfde LAN zit).
Grappig trouwens dat de AD en Telegraaf dit ook melden op hun website en dat ze zelf ook geen https gebruiken.
Precies. En het steeds maar weer de aandacht vestigen op https maakt het voor "de gewone man" alleen maar
onduidelijker wat nu een veilige website is. Door dit nieuwsitem hoor je weer in de journaals "verbindingen zonder
een slotje zijn niet veilig en met slotje zijn wel veilig" en daarmee wordt het begrip veilig alleen maar ge-erodeerd.
De veiligheid van de website zelf is veel belangrijker dan die van de verbinding, omdat je met een veiligheidsprobleem
in de website meestal veel meer data lekt dat met het onversleuteld zijn van de verbinding naar de gebruiker.
Geen goede actie dus.
Als een (zorg-)website geen https ondersteunt, is de kans dat de website zelf veilig is ook zeer klein, omdat blijkbaar niemand zich voor de beveiliging van de gegevens interesseert. Dus "websites zonder slotje zijn niet veilig" is een zeer goede vuistregel, ook voor "de gewone man". Dat betekent echter niet, dat een "website met slotje" veilig is.
Daarom is het wel degelijk een goede actie. De vraag is, of iemand iets met de resultaten gaat doen...
Ik hoop echt dat de AP volgend jaar snoeihard optreed tegen dit soort prutsers. Die laatste hebben genoeg boter op hun hoofd om de half hongerende wereld te voeden. en ja, ik ken er wel een paar...(prutsers en ego strelers)
<einde>
's avonds even met de auto naast het pand gaan staan en hacken maar.
En met een sniffer tool kun je wel zien wat voor artikel anderen bekijken (als je op hetzelfde LAN zit)
op open wifi netwerken) en bovendien ben je op dat moment ook strafbaar en kan je tot één jaar cel opgelegd worden.
Ik kan dat niet zien, of een formulier over https gaat, maar er zijn genoeg therapeutische praktijken waar dat sowieso niet gebeurt. Dus dan mag je je halve medische voorgeschiedenis in een formulier invullen plus alle persoonsgegevens en dat gaat dan onversleuteld over de lijn. Wat me ook te denken geeft over hoe het vervolgens afgeschermd is op de plaats van bestemming.
Als ik zoiets tegenkom stuur ik altijd een berichtje dat het beveiligd hoort te zijn, en ik krijg altijd een schaapachtig mailtje terug dat daar nog aan gewerkt wordt, of dat ze daar geen geld voor hebben, of dat hun webleverancier hun heeft verzekerd dat het helemaal tiptop veilig is zoals het is.
Ik zal hier wel niet mogen namen en shamen maar het blijft vrij schandalig hoe er in therapieland (en medisch land) met privacy omgegaan wordt. Nou levert lezen op Medisch Contact ook gelijk op dat artsen weinig begaan zijn met privacy, want het gaat om de gezondheid van de patient. Ja, dat klopt, maar die moet daarna wel verder en dan is het vervelend als hij alsnog last krijgt van de gemakzicht van de medische wereld.
Als er echter geen HTTPS gebruikt wordt, maar wel persoonsgegevens over de lijn worden gestuurd, dan weet je dat de organisatie praktisch gezien niet in veiligheid geintereseerd is, en zelfs onrechtmatig handelt.
Waarom heeft deze website HTTPS nodig ?
Er zullen vast genoeg websites tussen zitten zonder HTTPS, waarbij het wel nodig is, maar dit onderzoek gaat wel kort door de bocht, indien men niet let op de vraag of HTTPS al dan niet nodig is op de websites die zijn getest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
