Ja, en moet je eens lezen hoe ze zelf zeggen die security op orde te hebben!
Als jouw security dan op orde was, waarom was die HD dan niet beveiligd en kon het ook nog gestolen worden?

Wie goed leest merkt dat de Patiëntenfederatie rept over meer verdwijningen van spullen dan alleen een HD. De organisatie hult zich overigens wel in stilzwijgen over welke voorwerpen nog meer in andersmans handen terecht zijn gekomen.


Meer is hier te lezen:
http://www.zorgictzorgen.nl/beginnersfouten-bij-verlies-patientgegevens-door-patientenfederatie-nederland/

Gestolen of kwijt geraakt?

Waarom werk je als organisatie met externe harde schijven? Je zet toch alles op een goed beveiligde netwerkserver?

De Patientenfederatie zit dan ook in een spagaat.
Als de schijf verloren is, is de kans dat de data misbruikt zal worden klein(er), nl niet met voorbedachte rade.
Als de schijf gestolen is, is de kans op misbruik echter een stuk groter, nl wel met voorbedachte rade.

In beide gevallen heeft de PF iets uit te leggen:
1. Waarom geen beveiliging op deze datadrager?
2. Waarom was deze datadrager nodig? Waren er geen andere opties om te migreren?
3. Waarom 2 verhuizingen tegelijker tijd? Zijzelf verhuisden, en ze wisselden van ICT-leverancier. Hiermee creeer je extra complexiteit. En dus wordt de kans op problemen groter.
4. Zijn er regelementen die beschrijven hoe binnen de PF met persoonsgegevens/datadragers om gegaan moet worden?
5. Zo ja, is daar dan naar gehandelt?

Ik hoop dat het AP eens een goede straf gaat opleggen. Het wordt tijd dat er een voorbeeld gesteld gaat worden binnen de Zorg. Laat dat dan de PF maar zijn.

Ik neem aan dat de directie van de PF nog wel hun bonus voor goed functioneren krijgt dit jaar?

En waarom versleutel je ze niet? Maar ja, versleutelen vereist ook sleutelbeheer.

De zorg over beschikbaarheid is nog altijd het grootst, die over vertrouwelijkheid, laat staan integriteit leidt hooguit tot verbaasde blikken.

Het verschil tussen zeggen dat je om privacy geeft en de kille realiteit en er kennelijk geen bal om geven.

Ik heb ook externe harde schijven, maar de HD's die vertrouwelijke informatie bevatten zijn allemaal met AES versleuteld.
Dus wie ze steelt heeft er niets aan.

Aldus de PF in hun FAQ over het incident:


Weer een gevalletje Diginotar.
Die hadden ook op papier alles op orde. Toch ging het mis omdat de beschreven procedures niet gevolgd werden.
Dat je geslaagd bent (en een papiertje hebt) betekent nog niet dat je kan rijden, blijkt maar weer.


Bij de PF zal het ongeveer zo gegaan zijn:

Na de salariskosten voor het personeel en gratificatie (bonus) regelingen voor de directie, wordt het restant van het jaarlijkse budget waarschijnlijk als volgt verdeelt:
- Allereerst de leuke speeltjes (zoals de nieuwste iphone, ipad, en dure leasebak), want je moet niet onderdoen voor je gesprekspartners bij overheid, zorg en besdrijfsleven.
- Vervolgens inhuur van "expertise" bij bevriende clubjes.
- Als er dan nog geld over is, inhuur van de goedkoopste oplossing voor de ICT behoefte van de PF. Want ICT is onbelangrijk/oninteressant. Alleen maar een kostenpost op de begroting. En zolang de auditors hun OK geven is toch alles rozegeur en manenschijn.

Papier is geduldig, en de werkelijkheid weerbarstig.

Kan de PF ook aantonen wat zij allemaal vooraf gedaan heeft om dit incident te voorkomen?
En dan bedoel ik niet alleen maar wat beschreven procedures, maar wat zij in dit geval vooraf werkelijk gedaan hebben.
Kunnen ze aantonen dat het GEEN gevalletje nalatigheid is?

Nee maar als de sleutel kwijt raakt heb je er zelf ook niks meer aan.
Dat is niet erg als het jouw schijven zijn maar als het de backups van een of ander bedrijf of organisatie zijn (en dat
is hier vast het geval) dan kijkt men daar weer anders tegenaan.

Diginotar had niet alleen alleen een procedure probleem. Hun design was vanaf de core al bagger. Het lag dus niet alleen aan de beschreven procedures. En waarschijnlijk waren de procedures gewoon goed..... Technisch was het alleen bagger.

Wat het hier exact is, daar is met de huidige informatie eigenlijk niets over te melden

Het ergste van het hele verhaal is nog:
Naar aanleiding van het incident heeft de Patiëntenfederatie besloten om alleen nog met beveiligde externe gegevensdragers te werken.

NU pas? Echt, ik kan er in deze tijd met met hoofd niet meer bij dat er nog bedrijven/instanties zijn die zo met persoonlijke gegevens omgaan. Er zit echt maar één ding op en dat is wettelijk verplichten om dit soort data versleuteld op te slaan (gespecificeerd aan welke minimale eisen de beveiliging moet doen) en, in het geval dat blijkt dat dit nagelaten is, de verantwoordelijke strafrechtelijk vervolgen.

Wat is het verschil tussen jouw stelling en mijn stelling?

De medewerkers van Diginotar volgenden de procedures waar ze op ge-audit werden niet. Dus op papier zag het er allemaal goed uit, in de praktijk niet.

Dat lijkt erg veel op wat er nu bij de Patientenfederatie aan de hand is.
Ze zeggen zelf dat ze in 2016 gecontroleerd zijn, en geslaagd. Er zijn dus procedures. Die behoren iets te zeggen over de omgang met persoonsgegevens en de beveiliging daarvan.
Aangezien we nu een harde schijf hebben met onbeveiligde persoonsgegevens die vermist wordt, is er duidelijk iets fout gegaan bij het opvolgen van hun procedures.

Klinkt in ieder geval alsof de effecten, zo niet de oorzaken, bij beide organisaties op elkaar lijken.


Of je moet denken dat de auditors de fout in gegaan zijn?

Digitaal met privé gegevens op internet moeten ze verbieden dit roep ik al jaren

Maar de overheid en anderen luisteren niet vreselijk is dat ik overweeg een schadeclaim

Beginnersfouten site?

Is dit geen beginnersfout?
www.zorgictzorgen.nl gaat naar http://www.zorgictzorgen.nl/

Ga je naar contactpagina dan kom je op https en vanaf daar terug blijft je op https.
Maar de landing gaat niet goed zonder redirect naar de https versie.

Wat zou er verder nog aan beginnersfoutjes te vinden zijn?
tests zijn wisselend, kan deze kritische site beter?

https://observatory.mozilla.org/analyze.html?host=www.zorgictzorgen.nl

https://observatory.mozilla.org/analyze.html?host=www.zorgictzorgen.nl#third

https://www.ssllabs.com/ssltest/analyze.html?d=www.zorgictzorgen.nl&latest

Vooral bedenken dat we twintig jaar geleden nog pas net begonnen met internet bij zulke organisaties en wat het internet sindsdien veranderd is, wat aantoont hoe wij nog met onvolwassen techniek werken alsof het volwassen techniek betreft.

Hoewel techniek nu uit begint te kristalliseren, heeft de implementatie ook onbehoorlijk en vooral op winstgronden plaatsgehad. Dat is voornamelijk: digitale techniek zou vooral een stap verder moeten zijn in het opengooien van informatie stromingen, transparantie, niet het afsluiten van informatie. We hebben de focus van gebruik vooral op het laatste gelegd, het afsluiten van informatie, wat dus niet zozeer is waar de techniek eventuele voordelen biedt.

Voor het beter beveiligen van informatie stromen met behulp van digitale techniek behoort gevoelig gebruik gescheiden te worden waarbij rekening gehouden wordt met onder andere Radio Frequency Interference. Op grond van een prioriteits- en risico- analyse zijn er wat methodes waaronder versleutelen (mits sleutels niet over netwerk opgebouwd/gedeeld worden), (hoeft niet alleen hardware matig) route scheiding en hardware matige signaal beheersing zoals met diode firewalls.

We hebben met de gerealiseerde omgevingen tegenwoordig nu eenmaal te werken met de bomen voor het bos, de gecommuniceerde behoeftes ook over gecentraliseerde firewalls en afzwakken versleuteling en/of toelaten achterdeuren in protocollen (waar al meer dan bekend achterdeuren bestaan) voor onder andere criminaliteitsbestrijding laten duidelijk zien hoe het oog bij implementatie en gebruik onvolwassen techniek groter was dan de maag, statistieken omtrent misbruik zoals virussen betonen dit ook.

Het afzwakken versleuteling wil overigens niet zeggen dat veiligheidsdiensten hier al methodes omheen hebben, daarvoor zijn ze ook veiligheidsdiensten. Echter, wordt bij bepaalde zeer sterke algoritme combinaties en minder dynamische sleutel opbouw/gescheiden hoofdsleutels (die dus niet over het netwerk gedeeld zijn/worden), (risico)dreigingen ontdekt, zijn diensten al gauw beperkt tot fysiek volgen of op andere wijze sleutel bemachtigen. Het gaat hier dus over niet gestandaardiseerd encryptie gebruik, sterk sleutel- en omgevingsbeheer, wat dusdanig kostbaar is en tijd in beslag neemt dat onder andere dit de redenen van diensten zijn om afzwakking van encryptie te bevragen. Ook bij nieuwere meer ingewikkelde techniek als bijv. Forward Secrecy en inmiddels nog steeds OTR zijn beschikbare toepassingen nog steeds dermate kostbaar dat ze operationeel door veiligheidsdiensten in het voldoen van veiligheidsbehoefte als storend worden ervaren.

Voor de patienten federatie;

Tja, nog steeds niet volwassen techniek, geen uitgekristalliseerde technische mogelijkheden betekend dat ook de wetgever technisch achter het net vist, laat staan de meestal minder bedeelde van wetgever afhankelijke organisaties als deze.

Nu blaten veel mensen over de versleuteling die gebruikt had moeten worden, maakt u zich niet zo druk, geeft u om privacy, noem dan het volgende argument;

alle toegelaten encryptie minima zijn min of meer binnen vijf jaar kraakbaar via quantum computing en voor gewiekste kenners het meeste al via aangepaste cloud toepassingen. De minimale encryptie eisen voor bedrijven zijn dus niet toereikend om privacy enigszins te kunnen waarborgen, dat betekend dat was de schijf wel versleuteld geweest, met name volgens de minimale eisen, dan is dat eenvoudigweg waardeloos op dit ogenblik. Zelfs tot en met AES256 voor de donkere steegjes, dat is; buiten de veiligheidsdiensten alhoewel op zeer kleine schaal, afhankelijk van sleutelopbouw methodiek. In vrijwel alle gevallen is dit ook binnen vijf jaar waardeloos, dus hoe kan zulks nog als standaard gelden?

Zie hier, onvolwassen techniek toch gewoon gebruiken met zelfs heel gevoelige functies, met deze toch wel voorspelbare gevolgen.

Een standaard die ingesteld kan worden behoord menselijkerwijs MINIMAAL de komende kwart eeuw stand te houden, dat kan praktisch van geen enkele methode gesteld worden.

Daarnaast zijn het de burgers zelf die het toelaten, en dan achteraf praten, meestal zonder afdoende verstand erover. De politiek moest wel mee, al was het slechts om mee te kunnen met andere landen en kosten te besparen, want stelt u zich eens voor wanneer zij niet met digitale techniek besloten te werken, enig idee? De burger betaald dan wel de kosten, wat de meestal graag met voordeeltjes bediende kiezer zich meestal niet laat welgevallen.

Neem 't me niet kwalijk, security.nl en bezoekers, dat ik deze onderwerpen zo uitgebreid aanhaal. We hebben politiek en bewustzijnstechnisch -vooral ook bij hackers- collectief een groter probleem dan aangaande encryptie en afgesproken dat te bespreken, toch?

Bij hackers? Tja, vertel ze maar eens dat een 'Rechner' of: computer, geheel niet kan rekenen, maar alleen kan combineren. Of dat werkelijk asymmetrische versleutelmethodes niet bestaan. Of begin eens over rechtsongelijkheid die met omzeilen privacy wetgevingsproblematiek en implementeren onvolwassen techniek ontstaat door ontwikkeling van versleuteling. Of noem eens iets als pyrogenics, psychotronics. En kijk niet op van het gescheld zonder vragen stellen wat dan regelmatig ontstaat, of het rondsproeien van nauwelijks inhoudelijk begrepen napraterij, want velen blijken vaak eerder in hun bevestiging zoekende status perceptie van hacker (enzo) liever gepikeerd dan dat ze geinteresseert zijn in de inhoud of oorzaken daartoe. Ook om hackers uit te leggen dat er bij staatsgeheimen en ingekochte 'wetenschap' niet altijd bronnen ter controle rondgaan, zeker niet tegenwoordig en al helemaal niet bij de nieuwste techniek (dacht u niet dat veiligheidsdiensten dat ook voor zich houden tegenwoordig, hoe ongezond ook, bijvoorbeeld in hun concurrentiepositie met andere diensten van niet altijd bevriende landen? En dat met veiligheidsdiensten die gebrekkige geopolitieke bende opvangen steeds vaker hun werken noemen?), hou op schei uit, die meeste types die zich hacker noemen zitten nog ergens met hun atari zichzelf spannend te verklaren tegenover mensen die dat dan ook nog kennelijk spannend vinden.

Dat schreef ik er dan nog even bij, want belangrijk zoals het mij lijkt.

Dat ze voortaan zorgen dat alleen beveiligde gegevensdragers gebruikt worden suggereert dat dat tot nu toe geen onderdeel van de procedure was. Dat roept de vraag op wat er in 2016 precies onderzocht is, vanuit welke expertise en met welke diepgang.

Ik reken het Diginotar trouwens zwaarder aan dan de Patiëntenfederatie. Waarom? Omdat Diginotar als kernactiviteit ICT had waar qua beveiliging de hoogst mogelijke eisen aan gesteld moeten worden. Bij de Patiëntenfederatie is ICT niet hun kernactiviteit maar een hulpmiddel dat ze inzetten. ICT is (in ieder geval aan consumenten) decennia lang verkocht alsof het iets is dat goed gaat zonder dat je er verstand van hoeft te hebben, en daardoor zijn veel mensen die het vanuit die verwachting op hun werk in zijn gaan zetten behoorlijk op het verkeerde been gezet door de verkooporganisaties van de computer- en softwareindustrie. Daar ligt in mijn ogen dus ook een deel van de verantwoordelijkheid voor de huidige toestanden. Als ze ICT uitbesteed hebben dan is maar de vraag of ze zelf de kennis in huis hebben om te beoordelen of een aanbieder wel zo degelijk is als die zich voordoet.

Het resultaat is er niet minder erg om, en de verantwoordelijkheid die ze hebt voor gevoelige gegevens neemt er niet door af, maar ik snap wel hoe het komt dat er zoveel naïviteit over computerbeveiliging is, en ik snap ook dat die naïviteit niet zomaar uit de samenleving geggepoetst wordt omdat een minderheid snapt hoeveel beter het moet, een minderheid die dat nauwelijks aan een leek uit kan leggen omdat die leek meestal het referentiekader en het soort denken mist dat nodig is om er iets van te snappen. Bij Diginotar was een dergelijke naïviteit volstrekt niet begrijpelijk, daar ging de kernactiviteit zelf over zeer degelijke ICT en extreem goede beveiliging ervan.

Directeur Dianda Veldman van de Patiëntenfederatie betreurt het verlies van de harde schijf. 'Wij hebben de bescherming van persoonsgegevens hoog in het vaandel staan. En we hebben onze ICT goed beveiligd. Dat laten we geregeld controleren.Deze harde schijf is gebruikt om tijdens de overgang van de ene ICT-leverancier naar een andere de gegevens over te kunnen zetten. De externe schijf was onvoldoende beveiligd. Daarom is het verdwijnen van de schijf heel vervelend’.

Ik zou ook ernstig twijfels hebben bij de instantie die de audit doet.

@ zaterdag, 00:06 door beatnix - Bijgewerkt: xzaterdag, 00:49
Bedankt voor de grote lap tekst.
Om te kunnen volgen wat je probeerde te zeggen, heb ik een samenvatting van de verschillende alinea's proberen te maken:

- 20 jaar internet ingebruik. Onvolwassen techniek.
- ipv ontsluiten informatiestromen, afsluiten van informatiestromen.
- Rekening houden met RFI.
- Verzwakken beveiling door achterdeuren en afzwakking versleuteling.
- Bij sterke versleuteling hebben veligheidsdiensten hinder.
- PF vist achter het net???
- Kalm.
- Encryptie is binnen 5 jaar kraakbaar. Minimale eisen dus niet toerekend voor waarborging encryptie. Minimale eisen van nu tot 5 jaar waardeloos. Ook voor niet veiligheidsdiensten.
- Voorspelbare gevolgen.
- Standaard nodig die kwart eeuw stand houdt.
- Burgers laten dit toe zonder kennis van zaken. Burger heeft wel de lasten maar niet de baten.
- Grote lap tekst over hackers (als addendum)


Maar wat probeer je nu eigenlijk te zeggen?


Dat het de PF niet te verwijten valt dat ze geen encryptie gebruikt hebben omdat de bestaande encryptie binnen 5 jaar waardeloos is?
Waarom zou dat een verontschuldigend argument zijn om geen enkele encryptie te gebruiken? Iets is beter dan niets. En zelfs dat heeft de PF nagelaten.


Kun je misschien nog een eigen samenvatting geven in 5 zinnen.

Ja ISO conform, dat is iedereen toch?
Periodiek een verhaaltje typen, een pro forma audit die van te voren gepland is afwerken en het management is tevreden.
Helaas is alles wat IT voor is "hoger" slechts een kostenpost.
Ook met goede bedoeingen en actieve pogingen om opsec wel te goed te krijgen kom ik nergens.
Ik blijf, niet alleen voor bij IT wanbeleid maar voor alles wat met bedrijfsvoering te maken heeft, voor persoonlijke aansprakelijkheid van de aandeelhouders van een rechtspersoon, maar dat gaat er waarschijnlijk niet komen. Directie en leiding komt altijd wel weg richting een nieuwe leuke baan.
Het journaille heeft het ook deze keer ook weer laten afweten, maar dat is een andere zaak,
Groeten uit Delft

Nu verwijs ik wel eens naar de IEC/ISO 27k en NEN7510 richtlijnen. Directeur Dianda Veldman spreekt zichzelf tegen dat bescherming persoonsgegevens hoog in het vaandel staat. Zo'n audit met goedkeuring is pas het beginpunt voor ict security niet het eindpunt. Dat is de kern van de ISO27001. De GDPR AVG is aanvullend en stelt een aantal andere eisen. Ze kunnen elkaar versterken als je het goed doet. Niet als je enkel de papiertjes in huis wil hebben.

en dus kun je ook een veilig eindpunt bereiken zonder de iso hoepels die een false sense of security geven omdat het puur papier werk is :).

Nope dat gaat dan weer niet je kunt pas rennen als je eerst hebt leren kruipen en dan het lopen eigen hebt gemaakt.
Die iso hoepels geven het beginpunt aan van leren kruipen.
As ICT er.
- als "ISO dan security goed" niet waar is.
- is niet het zelfde Geen ISO dan security goed.
Probeer de boolean logica maar eens. Dan heb ik niet eens over de three value logic in een DBMS

@karma,

Maar wat moet er dan gebeuren, dat we minder van dit soort data-lekken gaan zien in plaats van meer?

De pijn wordt kennelijk niet gelegd waar die hoort, bij diegenen die aan dit soort ellende hun fiat hebben gegeven met hun krabbel, de eind-verantwoordelijken dus.

Wel een ventje van 13 met een pakje Pools knalvuurwerk dreigen, dat hij zijn hele verdere beroepscarrière wel kan vergeten na inbeslagname en op het Journaal vertellen dat ie niet met een Buro Halt strafje wegkomt, maar een flinke taakstraf krijgen zal.

Echter het hier besproken soort "digitaal privacy gevaarlijk knalvuurwerk" wordt dan weer niet evenredig bestraft.

Voor dit soort verantwoordelijken zou er eigenlijk een publiek toegankelijke Hall of Shame moeten komen,
dan kunnen zij vanwege de aangerichte publieke schade ook niet verder functioneren en hun verdere carrière kan bemoeilijkt worden op zijn minst. Het zou wel zo eerlijk zijn naar de slachtoffers toe.

Helaas zal dit nooit gebeuren. Waarom niet?
De personen die deze maatregel moeten nemen (politici), zijn de personen die vervolgens vooraan in de rij gezet zouden worden om daar publiekelijk "aan de schandpaal genageld" te worden.

Catch 22.

En zolang de politici geen verantwoordelijkheid nemen, blijven we een tandeloze AP behouden en zullen de meeste bestuurders van organiaties die met gevoelige gegevens te maken hebben, weinig op hebben met security en privacy waarborgen.

We nemen een slok, doen een plas en gaan weer over tot de orde van de dag. totdat het volgende incident plaats vindt.

De enige manier waarop politici misschien aggressievere maatregelen nemen is als zij zelf of hun familie zwaar geraakt worden door zo'n datalek.
Iets van koe en dempen van de put als het te laat is.

je bent weer ongefundeerd stellig in je uitlatingen.

soms zijn dit soort dingen gewoon een kanon op een mug en lijkt alles op papier in orde maar in de praktijk gaat het mis omdat er teveel met papier gehannest wordt en te weining met de inhoud en de werkelijke wereld. maargoed, om dat te erkennen moet je daadwerkelijk met beide benen in het veld staan en 'je handen vies maken'. en niet de dag spenderen met iso spread sheet papiere tijgerij dus! blijf niet vast zitten in die papieren fantasie wereld en denk eens buiten de kaders! je komt over als een typische bureaucraat vergader tijger die altijd met het vingertje naar een ander weet te wijzen.

Het commentaar geef ik omdat ik met de voeten in de klei sta en de handen vies maak. Het is de werkelijke wereld.
Dat wat thuishobbyisten dan wel onaangepaste os nerds het allemaal veel beter weten, tja het is in de spiegel durven kijken.

Die bureaucraten en bijeenkomsten aflopers voor de meest fantastische ideeën ken ik ook. Ze profiteren van de miscommunicatie tussen de beslissers en het werkelijke werk. Wat is jouw ervaring in grotere organisaties (+30 jaar?)
Kan ik nog een aan toevoegen kleinere organisaties. Wat denk je, gebeurt allemaal van het zelfde alleen moet het vaker en meer adhoc we zien later wel.

Overigens de NEN7510 is gratis en verplicht voor zorg / medisch. Geen enkele belemmering om je in het doel wat bereikt moet worden te verdiepen. Zonder doel is het roepen "het hoort zo" richtingloos geschreeuw.