Waar staat die cloud? Is het een afgeschermd Nederlands serverpark of een colo locatie met fysieke barrieres tussen hun servers en andere klanten zoals het hoort?

"Wie weet wie er in realtime incheckt in een ziekenhuis zonder logging omdat een arts of baliemedewerker even je zorgpas controleert?"


Snap je vraag, maar staat los of het "on-premise/lokaal" of in de "cloud" staat.
Als niet cloud was geweest kan dit net zo een probleem zijn.

Is de data in goede handen als het op een server staat in een kantoorpand?

Waarom zou het in minder goede handen zijn nu het in een zwaar(der)bewaakt datacenter staat?

Je wil dus eigenlijk vragen: Is Pinkroccade integer genoeg om met de data/patiënt gegevens van burgers om te gaan. Dan kunnen we alleen kijken naar behaalde resultaten uit het verleden, en die zijn van Pinkroccade gewoon goed te noemen.

Heb jij bewijs dat dit niet zo is?


En wat wil je hiermee precies zeggen?
De meeste issues die je vermeld zijn zowel on-prem als dat een cloud aanwezig zijn. En zijn prima af te schermen en te auditen. Waarschijnlijk zelfs een stuk beter, dan als je het zelf on-prem gaat hosten.

Dus wat is het verschil hier hierin?

https://www.pinkroccade-healthcare.nl/product/mijnquarant/
Als we even de site bekijken van de pinkcoccade mijnquarant, dan zien we al diverse andere GGZ instellingen die hier gebruik van maken.

Dus wat is nu precies je punt?
Het lijkt nu wel als of je het er niet mee eens bent, en maar op Internet gaat klagen om je gelijkt proberen te krijgen (waarbij je helemaal geen case hebt).

De Nederlandse overheid heeft maar drie miljoen drie-en-zeventig duizend gelekte dokumenten. Waar maak je je dan toch druk om. Het is toch inmiddels al dweilen met de kraan open.

CEO en managers hebben bij slecht nieuws reputatie management en burgers en medewerkers zijn al lang middel tot een doel: profijt en bonusgroei. Dag privacy handhaving met dank aan EU.
Jodocus Oyevaer

In de GGZ nemen ze altijd de verkeerde beslissingen op het gebied van IT. MijnQuarant is gemaakt met windows technologie en werkt dus alleen met een windows werkplek met voldoende resolutie. Voortborduren op wat anderen ontwikkeld hebben is er dus niet bij. Complete afhankelijkheid van Microsoft en Pink Foei. Kan wel minder geld naar die sector toe als ze dit kunnen betalen.

Het wachten is op een drive-by infection van windows of MSoffice (ja dat is ook nodig als je voor deze monopolisten ga). Ik heb er gewerkt je wil niet weten hoe vaak mijn windows gecrasht is terwijl een klant zat te wachten.

Bijna alle software producten die dit soort (medische) functionaliteiten bieden werken met Windows Desktops. Met een redenen, want de klanten welke de software willen gebruiken, draaien allemaal op Windows.

Dus waarom zou je als leverancier iets ontwikkelen, waar je klanten geen vraag naar hebben?

Maar heb jij goede alternatieven die de zelfde functionaliteit kunnen bieden, dat niet op Windows draait?

Waarom zou dat gebeuren een drive by infection? Het kan inderdaad voorkomen, dat is niet te ontkennen. Maar MSOffice is nu eenmaal de software die gebruikt wordt bij alle bedrijven en werkt gewoon heel goed. Alternatieven die de zelfde integratie en mogelijkheden bieden zijn er bijna niet.
En zoveel drive by infection gevallen, valt ook wel mee. Gewoon je omgeving goed inrichten. En misschien komen je crashes wel voor vanuit hoe de omgeving beheerd is? We hebben hier toch echt niet zoveel crashes als jij doet vermoeden.

Ik beheer Windows omgevingen van 1 t/m 20K aan werkplekken, zowel alleen als met diverse collega's.
En we hebben toch echt niet zoveel drive by infection issues als jij hier aangeeft.

Wat zou je overigens allemaal kunnen doen wanneer je fysiek toegang hebt tot deze server? En wat kun je met de routers die aangesloten, en vrij toegankelijk, zijn op het netwerk?
Met een beetje kennis en de juiste apparatuur lijkt het mij mogelijk om dit eenvoudig te kunnen tappen. Aangezien ze beschikken over een open wifi netwerk, is die data versturen naar buiten ook nog eens kinderspel.

En aangezien bovenstaande daadwerkelijk gebaseerd is op een GGZ-instelling die nog IE, Google en ongure onlinediensten van derden gebruiken, lijkt het mij dat de beveiliging sowieso niet op orde is.

Dit zegt misschien meer over jouw aversie van Windows!

Als je de site van pinkroccade iets beter bekijkt; https://i.ibb.co/LR7jjqg/pinkroccade-privacy.png had je gezien dat ze daar privacy niet echt heel erg serieus nemen.

Dit soort bedrijven, die dus jouw data klakkeloos delen met Google, moet je geen patiëntendossiers in handen geven.

Daarom zitten dit soort componenten achter gesloten deuren, zodat access gelimiteerd is. En liefst nog net logging wie er ini is geweest.

Kan heel simpel en gemakkelijk goed en veilig aangeboden worden.

Opbasis waarvan doe jij deze constatering? IE, Chrome en ongure onlinediensten? En dat ze daarom de beveiliging niet inorde is?

Ik zie een ook gedachtes die nergens onderbouwd worden.

Klanten vragen ook niet om windows maar om een platformonafhankelijke oplossing. Die levert Pink niet. Dat ze nu nog steeds Pink hebben is omdat die verkeerde keuze in het verleden is gemaakt. Deze Vendor Lock zorgt er zelfs voor dat gebruik van LibreOffice onmogelijk is. Er had al lang sanctie moeten staan op het niet gebruiken van ODF als bestandsformaat. Als klant kan je ook gewoon een docx krijgen. Zelfs PDF is geen gemeengoed.


Wordt professioneel beheerd (outsourced). Beheerders krijgen altijd de schuld als het met windows niet goed gaat. Hoe zou dat toch komen? Te moeilijk? niet te doen (updates gaan zo vaak mis). Dat men binnenkort gegijzeld wordt door ransomware is een reële optie, hebben we hier namelijk al diverse keren op security.nl kunnen lezen (Nederland, Engeland, Amerika enz)

Psygis Quarant van Pinkroccade zit kneiterhard vast aan de Microsoft browser. Hierdoor neemt Parnassia het niet zo nou met de privacy van cliënten. https://www.rtlnieuws.nl/technieuws/artikel/3695741/microsoft-overtreedt-privacywet-met-verzamelen-privedata-windows-10

Klanten kiezen een product op basis van requirements of een best value oplossing.
En misschien levert Pink deze niet, omdat de markt er niet om vraagt? Als er een markt voor was, zal er vast wel een leverancier ingestapt zijn met een software product wat er aan voldoet.

En de meeste gebruikers weten niet eens wat odf is. Dus waarom zou je dit dan gebruiken voor je communicatie?

Beheerders doen wat de klant wilt of nodig heeft of gevraagd heeft.
Als de klant een legacy applicatie heeft draaien en niet wilt updaten, maar als je daarom updates kunt installeren. Is dit dan de beheerder zijn probleem? Moet de beheerder het dan maar door drukken en gewoon maling hebben aan de klant zijn systemen?
Beheerders krijgen inderdaad altijd de schuld, maar eigenlijk ligt het nooit aan hun. Managers en de klant bepaald wat er gedaan wordt.

Dat is inderdaad een mogelijkheid. Dat wil niet zeggen dat het morgen ook gebeurt.
Er stort ook wel eens een vliegtuig neer, dat wil niet zeggen dat morgen alle vliegtuigen neer storten. Het gaat eigenlijk gewoon altijd gewoon goed, maar het gebeurt wel eens.

Ik surf hier nu even met chrome op, en ik zie toch geen problemen. Wat is er dan kneiterhard precies?

Je hebt het stukje ook gelezen? Iets met Windows home en Pro. Terwijl iedereen die er een beetje verstand van heeft, weet dat je juist hiervoor Windows Enterprise moet gebruiken. Daarmee kan je het meeste uitzetten.
Laatst heeft Microsoft opbasis van advies (verplichting) van de overheid aanpassingen gedaan.

Daarnaast zijn er vodoende mogelijkheden om dit op andere manieren nog verder dicht te zetten.

Het had zover niet hoeven komen in nederland,
maar huidige politicie en nieuwe politieke binnenkomers die verandering willen in de huidige mainstream politiek,
worden uitgelachen en uitgejouwd,als extreem rechts of links,en blijf het vaak zoals het is of erger.

Er word alleen nog gekeken naar het gedrag en de emoties op het gezicht van die politieke nieuwkomers,
en hoe zij het uitdragen,het gaat allang niet meer over de boodschap die zij vertellen,ook al hebben zij hun feiten
uit feitelijk onderzoek verkregen of uit de krant of welke bron dan ook,dat doet er niet meer toe (zeer ernstig).

Willen wij als burgers er wat aan doen ga naar de stembus,en vecht voor je land

De helft van de burgers gaat niet naar de stembus.(2019)

Jan

Ik zie voornamelijk 4 verwijzingen naar Google. Kan beter, maar ook niet overdreven slecht.
Maar op de hoofdsite staan er meer. Maar het is een verkoop / informatie site. Dus ook niet erg vreemd.

Daarnaast is publieke website niet te vergelijken met het patiënten dossier, daar zitten hele andere requirement of afhankelijkheden in. Ik hoop dat zelfs een anoniem dat hier begrijpt.

Niet echt een goed onderbouwde stelling moet ik zeggen. Meer kroeg of verjaardag praat, klinkt namelijk wel stoer om zo, niet goed onderbouwd te praten.

"Cloud" is gewoon een paar servers, data staat altijd op servers.
Je maakt je druk om dingen waar je je eens op moet inlezen,

De mensen van mijn GGZ afdeling lopen inmiddels als "robots" door de straat.

Dit komt omdat stemmen geen zin heeft. De pendulum zwaait naar links en is men ontevreden dan 4 jaar later naar rechts en dan weer naar links. In het klokwerk verandert er verder niets (ik zie zelf geen vooruitgang voor mij dus ik benoem het maar) het is net een Clockwork Orange.

Elke partij is geinfiltreerd, dat zie je aan Forum en die administratie meneer met teveel controledwang. Die krijgt nu gewoon een baantje in de 1ste kamer waar hij op verzoek van bedrijven in de vorm van commisariaten wetten erdoorheen kan "lobbyen".

Ik zeg hoe het zit want ik heb er niks aan om mij niet uit te spreken in tegendeel dit zal alleen maar meer worden tot de situatie (voor mij thans) is veranderd.
.

Als zorggegevens op straat liggen bijv op pastebin dan is er waarschijnlijk grote paniek en komt er bij de mensen op eens een veiligheidsbewustzijn. Zorg en financiele data is heilig voor de Nederlander.

Hopen maar dat zoiets niet gebeurt en de cloud veilig is.

Is er ook. B.v. webbased en backend Linux https://www.medicore.nl/epd-ggz-instellingen/ of https://www.crsinternet.nl/
Omdat het verplicht is. https://www.forumstandaardisatie.nl/standaard/odf en waarom zou je sommige cliënten negeren ?
Er worden ook mensen heel oud met roken, maar de meeste gaan er aan dood.
Security.nl staat er vol mee en dat is natuurlijk maar een topje van de ijsberg. Totaal genegeerd door het windows oligopolie waar jij vast deel van uit maakt. Misschien kan je nog een linkje geven over de Psygis requirements.?

Doe even een link van de requirements.
Privacy is niet opgelost. Onderzoek wordt overgedaan. https://autoriteitpersoonsgegevens.nl/nl/nieuws/microsoft-verbetert-privacybescherming-nader-onderzoek-nodig Blijkbaar heb jij er belang bij dat je het zo klakkeloos overneemt dat het wel goed zit.

Kunnen we niet controleren. Applicatie is closed source.

Beetje arrogante opmerking van je. Lees zelf eens wat. Het draait in de cloud op een VM. Een VM van iemand anders die op dezelfde hypervisor draait kan data inzien als je geen maatregelen neemt.

En komen die gelekte documenten uit een cloud of uit een on-prem omgeving?

En daarom heb je audits en ISO certificeren, NEN normen. Er is dus controle genoeg.

En opensource bied inderdaad de mogelijkheid om de broncode te bekijken. Maar hoeveel personen doen dit nu echt werkelijk? Gezien de fouten de nog wel eens gevonden worden, blijkt er toch iedere keer het nodige fout in te zetten.

En VM van iemand anders kan inderdaad data van iemand anders in zien. Maar dat hoeft niet. Alle moderne hypervisors hebben hiervoor beschermen mogelijkheden.

En er is nog een hele goed mogelijkheid..... Gewoon dedicated clusters per klant gebruiken. Er draait dan nooit een "andere" VM op de hypervisor. Probleem opgelost, en het zou mij niets verbazen als dit gebruikt zou worden in dit soort omgevingen.
En het is best een veel gebruikte configuratie. Je wilt bijvoorbeeld een Internet facing server vanuit security eigenlijk ook niet op de zelfde hypervisor hebben draaien als je domain controllers (of andere servers).

Dat is mooi. Maar blijkbaar voldeed het het dus niet aan de eisen die men stelde. Ik zie bijvoorbeeld dat pinkroccade veel meer producten heeft. Misschien was dit een redenen omdat goed integratie een eis was?

Waarom er niet gekozen was voor deze producten, is niet zomaar iets voor te zeggen. Maar blijkbaar was dit een betere keuze.

Het is ook een hele mooie standaard. Maar een feit is ook dat bijna iedereen MS Office gebruikt en de meeste gebruikers helemaal niets van computers snappen. Dus je kan ook als bedrijf de vraag stellen, als we iets willen communiceren met onze klanten, doen we dit dan op en manier waarbij we extra vragen krijgen, of waarbij ze het niet lezen? Of gebruiken we iets ander wat iedereen snapt. PDF zou dan natuurlijk een goed alternatief kunnen zijn, maar is slecht als formulier te gebruiken. MS Office is dan een logische keuze, aangezien dit de meeste patiënten ook gebruiken. Uit eindelijk moet iets werkbaar zijn.
Maar als je er om vraagt, zal men zeker een odf formaat moeten leveren.
Hoe bedoel je deze?

Je hebt in dat stukje ook het woord mogelijk gelezen?
En als het niet voldoend, dan zal Microsoft daar gewoon gehoor aan geven en is het probleem weer opgelost, net zoals ze aan de onderzoek aanpassingen gedaan hebben:
https://tweakers.net/nieuws/154646/rijksoverheid-mag-windows-10-en-office-blijven-gebruiken-na-avg-aanpassingen.html

Ik ben heel kritisch. Maar ik neem niet zomaar iets van iemand aan, die duidelijk een hele andere agenda heeft en voornamelijk met oogkleppen naar alles kijkt. Men moet ook gewoon kunnen werken. Dat vergeten sommige namelijk nog wel eens.

EPD is hoe dan ook een gedrocht waarbij de data op straat ligt. Of het nou via Pink Roccade is of via een ander...
Dat het allemaal op windows draait, maakt het nog wat triester. Een hardened versie van OpenBSD is dan een betere keuze.

Goede onderbouwing. Klopt natuurlijk totaal niet.

OpenBSD is een prachtig OS, je ziet het bijna alleen nergens. Is perfect voor routers of firewalls. Maar voor applicatie hosting kan je beter FreeBSD gebruiken.
Daarnaast wie zegt dat het allemaal op Windows draait? De client wel, maar wie zegt dat de backend op Windows draait? Nog afgezien de Windows Backend ook gewoon goed en veilig neer te zetten is. Net zoals een Windows Desktop.

Je mening is eigenlijk triester. Sorry....

Dweilen met de kraan open... Daarvoor is dan een speciale Authoriteit (AP) ingericht, ambtenaren die dweilen. Een soort patch. Net zoals dijkbewakers (en de hulp van het volk cq vrijwilligers inroepen) als het te droog begint te worden, ook financieel. Ik hoop dat dit land nog eens goed onder water loopt, dan is men missschien wat NAT maar wel wakker.

Het is mij inmiddels wel duidelijk dat de overheid gewoon geplunderd wordt door speciale interest groepjes van allerlei pluimage dus ik hoef niet meer met de vinger naar 1 richting te wijzen zoals ik dat vroeger deed. Of nog erger: helemaal ongelicht "de overheid" de schuld geven. Het is gewoon dom dat ik zelf geen entree heb gevonden om mee te profiteren van die enorme taxpoet waar slimme managers handig van stelen tegen een leuk uurloon waar anderen een week voor werken.

Ik ben gewoon niet goed bezig met mijn gehoorzaamheid en liefdadigheid.

Ja, de slimmere jongens werken nauwelijks, maar lopen zo wel binnen. Big Commerce heilig verklaard, algoritmen zorgen dat het geld daar terechtkomt. Privacy is dood of wordt alleen met de mond beleden. Gaat goed zo.
J.O.

Even globaal concluderen als volgt?
........................
Dat is mooi. Maar blijkbaar voldeed het het dus niet aan de eisen die men stelde. Ik zie bijvoorbeeld dat pinkroccade veel meer producten heeft. Misschien was dit een redenen omdat goed integratie een eis was?

Waarom er niet gekozen was voor deze producten, is niet zomaar iets voor te zeggen. Maar blijkbaar was dit een betere keuze.
........................

Dat als men uiteindelijk voor OS n koos om de cloud-servers op te draaien en dat dat blijkbaar de betere keus was is een niet meer dan een aanname.
Net als stellen dat de zon niet meer schijnt omdat ie achter de wolken / clouds is verdwenen een verkeerde aanname is.
De zon schijnt altijd en ICT systemen zijn altijd lek, alleen verschijnen de afzonderlijke lekken slechts af en toe in beeld.

Door al dit gedoe zou je bijna weer Cliënt worden van GGZ Parnassia

Da's een vrij inhoudsloze vraag, zonder kennis van de technische details en verdere beveiligingsmaatregelen. Je kan net zo goed hier vragen of jou huis goed is beveiligd, zonder enige toelichting.

Het zijn daar niet bepaald engelen die bij de ggz werken. Het draait weer om de winst natuurlijk.

Het draait overal en immer om winstoptimalisatie.

Of stel eens de volgende vragen:
Is het GGZ EPD van Parnassia in goede handen in met papieren patiënten dossiers?
Is het GGZ EPD van Parnassia in goede handen in met digitaal on-prem systeem?

Eerder demonen. Zou de systeembeheerder van de EPD of de mirror (backup) database toegang kunnen hebben tot alle patientengegevens zonder logentry in de auditing tabellen?

Auditing:

Een patient loopt een ziekenhuis of apotheek binnen. Zorgpas wordt afgegeven en een medewerker checkt het systeem. In de database wordt direct een auditing entry aangemaakt (datum, tijd, patient, opvrager van de gegevens dus naam arts of medewerker receptie).

Verhaal wetgeving:

Patient kan zelf een verzoek indienen en inzien welke arts of zorgverlener zijn EPD heeft geraadpleegd. Dit is controle op auditing door de patient zelf.

Hoe zit het met de systeembeheerder van de EPD? Als die evil intent heeft? Kunnen inlichtingendiensten bij deze info zonder auditing log? Is er een realtie mirror database voor failover?

Het is de systeembeheerder in elke situatie die zich boven elke policy en veilige wijze van handelen waant.
Daarom zij het van die geliefde punten voor een aanval. Ja een databasebeheerder kan meer data en meer informatie zien dat wat voor gebruiker dan ook. Net zoals een automonteur je auto grondig de vernieling in kan helpen.
Je lost dat enkel op door een scheiding van verantwoordelijkheden met her en der encryptie zodat een persoon voor de DR wel de machines werkend kan krijgen maar zelf de informatie niet in kan (encryptie).

Wat de verwerkingsverantwoordelijke daarover heeft afgesproken is leidend.
Stel je vraag in dat juiste kanaal voor jouw situatie. Hier blijft het giswerk speculatie en het zou kunnen zijn dat.

https://www.pinkroccade-healthcare.nl/diensten/back-up-servers/

Hoe zit dit precies met het papieren dossier? Iedereen loopt zomaar even binnen en snuffelt in de papieren zonder enige logging.
Was een stuk makkelijker kan ik je melden, dan in het EPD.

Was dit ook mogelijk met een papier dossier?

Maar er zijn genoeg mogelijkheden voor database failovers, replicaties of DR.

Er wordt steeds meer geautomatiseerd wat ik in ook in mijn stad merk. Ze hebben hier bij apotheken en doctors een systeem voor meditatie-aanvragen, dat kan nu alleen nog maar via internet. 5 jaar geleden hadden ze nog telefonisch contact. Bij die apotheek plakken de wachtwoorden op POST-IT notes op schermen. Ik wees ze erop en ze vonden het geen probleem. Net zoals ze het geen issue vonden dat ik met een lulverhaal medicijn informatie van anderen kon verkrijgen. Ze vragen niet om idenficitatie. Met een geboortedatum haal je gewoon alle info op, van iedereen. Ze werken er op basis van vertrouwen of zo. Ik ben al van apotheek geswitched.

Het electronisch systeem heeft een derde (en vierde: IT) in de schakel. De derde is een extern administratiekantoor. Deze hadden een stagiere in dienst die een mutatie fout heeft getypt waardoor er bij de apotheek opeens allemaal rare medicatie op mijn account stond. Toen naar de dokter. Die kreeg hetzelfde voor ogen op zijn computer en denkt dus dat ik op die vreemde medicatie zit. Een hele discussie dus dat er ergens en fout is gemaakt en een hoop ellende.

Het enige wat deze mensen wakker schudt is een enorm datalek zodat ze van allerlei burgers klachten krijgen dat hun "prive" shit op straat ligt. Niets is prive natuurlijk maar misschien kijken ze dan beter wel naar de ICT.

Ik weet nu de wachtwoorden en IP adressen van hun systemen omdat die gewoon op alle terminals geplakt zaten.

Het EPD zal net zo'n triest verhaal zijn, de auditing is het enige wat je een beetje kan steunen. De rest hangt af van de systeembeheerder die altijd root is. Als je een systeem wilt compromiteren ga je altijd voor de systeembeheerder vooral als het landelijk is en met auditing zoals je ook hebt bij de banken (nog niet alle banken).

Ook de telecom bedrijven mogen eens aan auditing gaan doen. Te veel mensen kunnen er gaan werken en grabbelen in databases. Die auditing logs zijn handig voor de inlichtingendiensten. Misschien haal je er nog een paar loopjongens voor een bananenrepubliek uit bij Tmobile, KPN etc want ik merk zelf dat er vooral bij deze 2 bedrijven nog andere problemen spelen die niet kloppen maar waarschijnlijk zijn deze niet van "vijandige aard" alhoewel elke aanval op mij zelf vijandig is.

Meestal omdat dit minder fout gevoelig is, sneller is, en veiliger is.

Niet slim en verre van ideaal. Maar dit issue bestaat al jaren en is niet van de laatste jaren.

Kon vroeger ook al gewoon en is dus ook niet iets wat met de automatisering te maken heeft.

Kon vroeger ook al gebeuren. Juist met correcte automatisering had dit volledig voorkomen kunnen worden. De fout is door een mens gemaakt.

Ik eigenlijk alleen maar issues, die je vroeger ook al had, zonder al die automatisering. Maar eigenlijk de problemen die je noemt, kunnen heel gemakkelijk met automatisering opgelost worden.

Met IP adressen kan je niet zoveel. Wachtwoorden zijn slordig, maar er kan meer beveiliging bij. Maar dit is niets nieuws.

Bij een goede inrichting is de systeembeheerder geen root. En zelfs zijn acties kunnen volledig geaudit worden.
Geen sterke argumenten, eerder weinig kennis van hoe je iets goed moet inrichten.

Daarom moet het systeembeheer goed ingericht zijn. Iets wat heel goed kan met de huidige technieken.

Doen ze ook.

Weet je wel waarover je eigenlijk praat? Er zijn maar weinig mensen die direct zomaar database toegang hebben. Voor de meeste gaat alles gewoon via applicaties, en dus logging.

De Nederlandse inlichtingendiensten hebben al toegang. En eventueel vijandige inlichtingendiensten... Daar zijn auditlogs helemaal niet belangrijk voor. Die gaan direct voor backend systemen.

Tja.. Ik weet eigenlijk niet eens wat ik hierop moet zeggen. Slaat namelijk nergens op.

Eigenlijk wat ik voornamelijk constateer:
* Je hebt verkeerde en onjuiste informatie.
* Doet aannames en conclusies op basis van gedachten hoe je denkt dat het werkt of in elkaar zit, maar niet op basis van feiten.
* Je weet niet wat de mogelijkheden zijn tegenwoordig op technisch gebied. Of hoe ze toegepast worden.
* Vroeger was het echt niet veel beter. Eerder slechter. Men wist het alleen niet.

@ Gisteren, 13:49 door Anoniem

Mooi verhaal,goede antwoorden. Met IT en technologie los je de problemen op.

Maar er is veel politiek gepraat over security maar default security practices daar worden geen trainingen in gegeven. Ik krijg van Telcos en artsen zo info over patienten als ik dat wil en dan zeg ik: u mag mij dit helemaal niet vertellen en dan wordt de schouder opgehaald. Gemak boven allles.

Een strak digitaal regime doet soms wonderen.

En vijandelijke staatsactoren gaan direct voor de backends maar daar zouden de Nederlanders toch bovenop moeten zitten tenzij die hun eigen collegas niet kunnen vertrouwen in Den Haag, Rijswijk of Zoetermeer of waar ze zitten.

Hoe zouden ze zoiets oplossen eigenlijk?

Allemaal dure secure cloud en firewall oplossingen maar klanten kunnen bij bedrijven zo binnenwandelen en aan de computers. Dit zit je echt overal. De gemiddelde medewerker is niet bezig met security maar met deadlines halen of klanten afwerken. Je kunt ze wel trainingen aanbieden maar men "weet het allemaal wel" en gaat er vanuit dat alles goed blijft gaan.


Die vorige poster probeerde misschien mensen uit de tent te lokken. Dat is gelukt. Ben het met je eens dat met goede automatisering een hoop extra veiligheid wordt geboden. Domme analogie: meer cameras in de straten tegen inbrekers maar andersom kan tech ook nadelig zijn (berichtjes op Facebook vanaf je vakantie adres).

Er zou een verplicht "computer rijbewijs" met optionele security modules moeten komen voor iedereen werkzaam in dit land. Dit kan de politiek makkelijk regelen, het krikt het niveau overal op, het schept nieuwe banen en stimuleert de economie, voorkomt low/entry level bedrijfsespionage en men heeft de kans om een centrale autoriteit op te zetten voor hack/security meldingen anders dan aangiftes doen bij politie. Een soort AP maar voor cybersecurity, waarbij je elk bedrijf op een mailinglist kunt zetten gekoppeld aan CERT meldingen die relevant zijn voor hun systemen ( opt-in systeem, matrix keuze lijstje met waar men alerts over wil krijgen). Zo kan deze autoriteit ook de meest kritische bedrijven snel afbellen (contactpersonen geregistreerd) bij een grote dreiging.

Het is de verwerkingsverantwoordelijke en die taken zo oplegt aan de uitvoering op de vloer.
Het zijn adviseurs procesmanagers en it nerds die de werkzaamheden op microniveau zo voorschrijven en door de verwerkingsverantwoordelijke als beslissing laten nemen. Dat het niet praktisch uitvoerbaar en niet realistisch genoeg is is een reden om de boel buiten de deur te doen (cloud service). Security moet geen aparte handeling bij het gebruik zijn het moet ingebakken zitten in het design ofwel procesontwerp.

Veel bedrijven doen uit het oogpunt van de avg al een aparte computerveiligheidstraining. Dan zijn ze ingedekt met een afvinkpunt voor een auditor. Vinkje bij personeel heeft cybersecurity training gevolgd.
Een grote dreiging communiceren loopt al veel het ncsc. Zorg valt niet onder de kritische infrastructuur .

Ook geen verschil met moderne technieken of oude zoals het vroeger gebruikt werd.

De patiëntveiligheid in ziekenhuizen
staat onder druk doordat de digitale
uitwisseling van medische gegevens vaak
onmogelijk is.

Artsen kunnen niet bij de
gegevens:de elektronische dossiers van
ziekenhuizen,artsen en soms zelfs van
afdelingen binnen hetzelfde ziekenhuis
communiceren niet met elkaar.

Uit een rondvraag van de federatie van
medisch specialisten blijkt dat vrijwel
alle artsen die reageerden hiermee te
maken hebben.4 op de 5 zeggen dat het
de patiëntveiligheid onder druk zet en
in acute situaties gevaarlijk is.

Ook dubbele diagnostiek en verspilling
van zorggeld zijn mogelijk gevolgen.

Wie krijgen nu de schuld "de burgers die liever geen EPD gebruiken",
of de ICT en de eindverantwoordelijke voor de juiste medische gegevens-uitwisseling

NL-NU2019

We kunnen niet eens met computers omgaan en dat in een samenleving waarbij steeds meer mensen functies krijgen op plaatsen en toegang tot systemen maar waar de menselijke factor (het brein) allesbepalend is in de security of insecurity van anderen. Ondertussen worden er successen geboekt bij het hacken van de hersenen van ratten wiens gedrag op afstand te beinvoeden is, via MIT:

https://www.lewrockwell.com/2013/07/daniel-g-j/the-brain-hacking-project/

Er zijn verwachtingen dat er binnen 5 jaar een commerciele applicatie is waarmee je met je gedachten direct je smartphone kunt bedienen, lekker handig want dat typen en swipen is ook niet echt fijn op zo'n klein scherm. En jij maakt je zorgen om jouw privacy van zorggegevens? Je leeft een beetje in de jaren 90.

Of misschien niet natuurlijk, ik heb dezelfde ervaringen.

Neem dan ook even alle ervaringen van open data op servers mee. Daar zitten de grootste lekken en de grootste schade.
Een werkstationnetje van een enkele werknemer is niet zo relevant.

Parnassia, bekend van Peter R de Vries..heerlijke instelling :)

Dat was die van de dinsdagen toch?

@ topic starter

Heb je al eens gekeken naar de intelpro checker op Github voor een hint hoe ze denken? https://github.com/rhaja4

Leuke naam heb je trouwens

Cees

Beroepshalve, als security engineer en pentester, ben ik bij de meeste Nederlandse ggz instellingen binnen geweest en het is overal een evengroot drama. Het probleem is de managementcultuur binnen deze clubs. De enige oplossing daarvoor is dat het grandioos mis gaat waarna (hopelijk) de overheid gaat ingrijpen.

Je bedoelt een soort (insider of extern evt) datalek waardoor informatie op straat komt?

Soms is een beetje schade inderdaad nodig om de ogen te openen, en daarna degelijke auditbare software te introduceren en het volk via Kamerdebatten en de media "op te voeden" net zoals dat ging in het debat "wat is een sleepnet?".

Ook apotheken, artsen, ziekenhuizen, scholen, zorgverzekeraars. De grootste threat is de insider threat.

Niemand luistert, iedereen is met zichzelf bezig. Overal zijn kleine lekjes en mensen die info (niet geaudit) doorspelen tegen betaling. Het is echt overal deze heimelijke corruptie.

Het stopt pas als mensen wakker worden en er meestal gaat dat pas als hun "prive" op straat ligt.

Ken je deze nog? https://d8news.com/turkey-mernis-citizen-database-leak-1045

"Turkish citizens are facing a massive data breach after the national citizenship database became the target of hacktivists. The data dump includes the personal information of over 49 million individuals, including that of Turkish President Tayyip Erdogan."

Wij leven in een vreemde wereld nu, een soort mix tussen 1984 en Brave New World. Het wordt alleen maar erger. Bij de AIVD frontdesk verdwijnen steeds de memos die er neergelegd worden etc. Zelfs advocaten moeten op hun tenen lopen. Wat is het volgende? Verslaggevers?

De oplossing van een onveilige samenleving is juist meer (betere) IT. Betere auditing, vakkundig personeel etc. Maar vooral de auditing, transparantie naar burgers en niet zoals men bij overheidsinstanties doet: alles Wob Proof maken, wat de Nationale Politie deed, dus dat de overheid met loopholes aan de slag gaat om zelf te Wet te omzeilen om de "lastige" burger niet te hoeven informeren.

Ik zal mijn client de volgende keer doorsturen naar karma4. IK werk nu bij een overheidsinstantie waar outlook er al 2 dagen uitligt. Weet iemand een overheidsorganisatie waar ze met een Mac werken? of is het overal kommer en kwel?

Ik heb overheidsinstanties gezien met Lotus als mailcliënt. Voor storingen aan mail moet je dat melden via Lotus mail via een plugin. ALs je de zelfde procesmanager daar aan de slag hebt gehad. Zul je ook daar je storing aan mail via mail moeten melden, ALs de mail dan verboden wordt omdat je gegevens zou kunnen mailen en dat als datalek krijgen....
o ja voor tablets phones hetzelfde ook als hebben ze daar Apples voor.
Kan wel even duren.

Zie het positief er kan in ieder geval geen gegevens naar de verkeerde personen gestuurd worden. Het is prima beveiligd zo.

Vraagje, wanneer ga je wat doen aan informatieveiligheid. Beetje sneu om in dat evangelisme van je te blijven hangen.

Netwerksegmentatie, routers IOT met industie 4.0 het lijkt me heel leuk .... tenminste als je het goed doet.

Een groot probleem vooral bij IT security bedrijven en andere gevoelige data is dat steeds meer mensen thuis werken. Niet meer op kantoor binnen de muren van een gebouw. Als de WiFi niet aan staat staat er wel een VPN open, of een firewall of rechtstreeks RDP (meer gezien in de service sector).

En als een veilige oplossing voor flexwerken te duur is dan wordt het in de cloud gegooid. Clouds zijn over het algemeen zeer veilig maar je weet niet wie er meekijkt en daar heb je ook geen toezicht op want cloud = uitbesteed.

Hoezo is Outlook niet veilig?

Er is niet een oorzaak, er is een heel scala aan oorzaken en ook die elkaar versterken.

De mensen met de relevante kennis zijn niet de mensen, die de beslissingen nemen
en tussen die twee zit een wereld van inkomstenverschil, die de eerste categorie nog machtelozer
en irrelevanter maakt.

Outsourcing en expertise-verlies derhalve een grote factor van het greep verliezen op wat in de eigen tent gebeurt.
Het complexe en niet voldoende aan diverse expertise in huis hebben, speelt ons op alle fronten parten inmiddels.

We moeten meer mensen hebben, die aan een analyse kunnen zien waar het fout zit.
Code freaks, linters, fuzzers, technische IT met b*llen.

Flexwerkers zitten thuis met tegen een deplorabele beloning, hoe maak ik mijn uurtjes zonder enig verantwoordelijkheidsgevoel. Manana-houding.

Corruptie en criminaliteit zit binnen in vrijwel elke tent in Nederland, Narcostaat nummer 1,
het is erger dan je denkt.

Witte boorden criminaliteit, witwassen, onderzoek frustreren als het in strijd is met de grootgraai.
Honorabele onderzoekers worden ontslagen en komen nooit meeer ergens aan de bak.

Geen"man een man, een woord een woord" mentaliteit, maar eerloosheid met uit winstbejag gedreven oneerlijkheid.
Van nu af, verbeter de wereld en begin bij u zelf, Kijk in de spiegel, de beste bron van zelfkennis.

We weten het in ons hart allemaal, we doen er echter niet veel mee met deze kennis van zaken.

Jodocus Oyevaer

Ik zou wel wat grootgraai willen hebben. Maar niet dienen tegen een deplorabel bedrag. Het tij kan keren. Het kan ook verkeren. Met rust aan je kop en weg van de WiFi en andere zendboxen kun je pas beginnen met self-development. Uiteindelijk het hoogste doel natuurlijk zolang we hier rondlopen.

Corruptie is overal. Maar ja.. die wetenschap wordt uitgebuit door derden met vooral stress op de onderklasse. En dan is het revolutie. Kijk maar naar de gele hesjes. Wegkijken is soms gezonder voor je zelf. Gewoon met je eigen ding bezig zijn.

Behalve als je geen volledige vrijheid hebt in beweging of denken (te veel achter de smartphone, PC en WiFi) dan kun je altijd nog protesteren. Ik leeg me er bij neer. Hopelijk slaap ik dan beter.