image

Harde schijven met patiëntgegevens uit computers UMC Utrecht gestolen

dinsdag 12 mei 2020, 11:45 door Redactie, 53 reacties

Dieven hebben bij het Universitair Medisch Centrum Utrecht uit tien computers harde schijven gestolen waarop gegevens van zo'n zevenhonderd patiënten stonden, waaronder medische dossiers, burgerservicenummers en namen. De diefstal vond plaats bij de polikliniek interne geneeskunde en de polikliniek allergologie. Naast harde schijven werden ook processoren en geheugenmodules meegenomen.

Twee van de computers zijn noodcomputers voor artsen in het geval andere systemen uitvallen, zo meldt De Telegraaf. De dieven sloegen toe op 18 april. Het uitvallen van de systemen had geen gevolgen voor de behandelingen van patiënten. Het ziekenhuis laat aan RTV Utrecht weten dat de gegevens waren beschermd met een gebruikersnaam en wachtwoord. Zowel patiënten als de Autoriteit Persoonsgegevens zijn door het ziekenhuis geïnformeerd. Daarnaast is er aangifte bij de politie gedaan.

Reacties (53)
12-05-2020, 11:52 door Anoniem
Het ziekenhuis laat aan RTV Utrecht weten dat de gegevens waren beschermd met een gebruikersnaam en wachtwoord.

Dat kan van alles betekenen, inclusief de eigenlijk-geen-bescherming van bijvoorbeeld Windows 98. Zolang er geen encryptie of iets soortgelijks aan hangt kan er eigenlijk niet van bescherming gesproken worden.
12-05-2020, 11:54 door linuxpro
Een diefstal waarbij uit computers alleen de harddisk wordt gestolen? Niemand die dat enigzins vreemd vind... zo wie zo als de schijven niet encrypted zijn weer een aardige flater.
12-05-2020, 11:56 door Anoniem
Door linuxpro: Een diefstal waarbij uit computers alleen de harddisk wordt gestolen? Niemand die dat enigzins vreemd vind... zo wie zo als de schijven niet encrypted zijn weer een aardige flater.
Lezen is moeilijk zeker? Schijven + processors + geheugen modules. Wat is daar zo moeilijk aan te begrijpen!
12-05-2020, 11:59 door Anoniem
Door linuxpro: Een diefstal waarbij uit computers alleen de harddisk wordt gestolen? Niemand die dat enigzins vreemd vind... zo wie zo als de schijven niet encrypted zijn weer een aardige flater.

Hoezo is dat vreemd? dat valt toch veel minder op, dan met een computer naar buiten te lopen het gaat uiteindelijk toch om de data die er opstaat.
12-05-2020, 12:05 door [Account Verwijderd]
Het ziekenhuis laat aan RTV Utrecht weten dat de gegevens waren beschermd met een gebruikersnaam en wachtwoord.
Nou maar hopen dat het een wachtwoord is dat niet makkelijk is te raden.
12-05-2020, 12:17 door Anoniem
Door Anoniem:
Door linuxpro: Een diefstal waarbij uit computers alleen de harddisk wordt gestolen? Niemand die dat enigzins vreemd vind... zo wie zo als de schijven niet encrypted zijn weer een aardige flater.

Hoezo is dat vreemd? dat valt toch veel minder op, dan met een computer naar buiten te lopen het gaat uiteindelijk toch om de data die er opstaat.

Waarom denk je dat het om de data gaat ?

Ik lees dat disken,cpu's en geheugen gestolen zijn. Dat is handzaam pakketje (past in een jaszak - rugzak of boodschappentasje voor alles uit tien compu's ) van de meer waardevolle componenten uit een normale desktop - die ook wel verkoopbaar zijn. Financieel aantrekkelijk genoeg voor een dief(je).
12-05-2020, 12:24 door karma4
Door Anoniem:
Door linuxpro: Een diefstal waarbij uit computers alleen de harddisk wordt gestolen? Niemand die dat enigzins vreemd vind... zo wie zo als de schijven niet encrypted zijn weer een aardige flater.
Lezen is moeilijk zeker? Schijven + processors + geheugen modules. Wat is daar zo moeilijk aan te begrijpen!
Processor en geheugenmodules naast de schijven. Het gaat ze om de hardware opbouw van een ander eigen machine voor de handel of eigen gebruik. De voorlichter is niet echt duidelijk in wat de afscherming precies was. Bij medische apparatuur is de medische juiste werking het eerste wat op orde moet zijn.
Wat ik mis, ze staan zeker niet op bewakingscamerás omdat privacy beschermen van misdadigers belangrijker is dan die van gewone mensen. Als ze wel camera beelden hebben dan mogen die niet gebruikt worden.
12-05-2020, 12:39 door Anoniem
Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc
12-05-2020, 13:16 door Anoniem
Door Anoniem: Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc
Misschien omdat het artikel al aangeeft dat twee van de getroffen computers noodcomputers zijn voor als andere systemen uitgevallen zijn. Als die dienen om als het hele netwerk eruit ligt toch bij patiëntendossiers te kunnen dan staan die patiëntendossiers dus op die noodcomputers.

Dat zijn twee van de tien getroffen computers. Of er op de overige acht ook patiëntendossiers stonden wordt niet duidelijk uit de berichten van De Telegraaf en RTV Utrecht.
12-05-2020, 13:18 door Anoniem
Door Anoniem: Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc
Iemand die zich afvraagt wat caching betekend? 3x raden waarom ze er dus staan.
12-05-2020, 13:25 door [Account Verwijderd]
Toch opmerkelijk hoe er gisteren nog reacties waren over 'met fysieke toegang is alles lek' en dat als het om gevoelige gegevens gaat 'men wel in staat is om te zorgen voor een adequate fysieke beveiliging'. Nu blijkt dat die fysieke beveiliging toch niet altijd voldoende, wordt toch wel weer verwacht dat de gegevens goed beschermd hadden moeten worden met full disk encryptie, geen lokale opslag etc.
12-05-2020, 13:31 door MathFox
Door Anoniem: Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc
Security is ook beschikbaarheid. Het is niet vreemd om een kopie van essentiële gegevens op een nood-PC te hebben.
12-05-2020, 13:35 door Anoniem
Door Anoniem: Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc
Voor twee PC's stond het aardig onderbouwd: "Twee van de computers zijn noodcomputers voor artsen in het geval andere systemen uitvallen"
Voor wat betreft de andere systemen kunnen er ook best goede redenen zijn. Vergeet niet dat je in een ziekenhuis te maken hebt met MRI, Rontgen, etc. Dat soort apparaten gaan echt niet werken over VDI/Citrix, etc.
Zeker bij interne geneeskunde verwacht ik dit soort apparatuur.
12-05-2020, 13:37 door Anoniem
Processor en geheugenmodules naast de schijven. Het gaat ze om de hardware opbouw van een ander eigen machine voor de handel of eigen gebruik
Zou kunnen maar dan moet je wel een moederbord hebben waar dit op past, ik deze diefstal vreemd.
12-05-2020, 13:55 door Anoniem
De computer-gefreakte diefdaders zullen het vermoedelijk hebben geweten en zullen wel bekenden zijn.
"Allerrr-gegoochelogie sim salla bim hocus pocus weg."

Nou nog spijt krijgen en netjes terug toveren die zooi voordat je wordt opgepakt.
12-05-2020, 13:59 door Erik van Straten - Bijgewerkt: 12-05-2020, 14:27
Door Advanced Encryption Standard:
Het ziekenhuis laat aan RTV Utrecht weten dat de gegevens waren beschermd met een gebruikersnaam en wachtwoord.
Nou maar hopen dat het een wachtwoord is dat niet makkelijk is te raden.
Tenzij de schijven versleuteld zijn - wat zelden gebeurt bij desktop- of onder-de -tafel PC's -, zijn gebruikersnamen en wachtwoorden irrelevant. Als je zo'n schijf als tweede aan je eigen PC hangt, kun je probleemloos alle bestanden op die schijf benaderen.

Inclusief gecachte hashes van beheerwachtwoorden, wat de dieven extra mogelijkheden kan geven als ze terugkomen.

Aanvulling: in https://tweakers.net/nieuws/167058/inbrekers-stelen-onversleutelde-harde-schijven-uit-computers-umc.html staat dat de schijven niet versleuteld waren. Tevens geven enkele tweakers aan dat er recentelijk ook computeronderdelen gestolen zijn bij de Universiteit Utrecht (om de hoek): https://www.dub.uu.nl/nl/nieuws/raadselachtige-inbraak-het-kruytgebouw-update (die schijven zouden wel versleuteld zijn geweest).
12-05-2020, 14:19 door Anoniem
Door iatomory: Toch opmerkelijk hoe er gisteren nog reacties waren over 'met fysieke toegang is alles lek' en dat als het om gevoelige gegevens gaat 'men wel in staat is om te zorgen voor een adequate fysieke beveiliging'. Nu blijkt dat die fysieke beveiliging toch niet altijd voldoende, wordt toch wel weer verwacht dat de gegevens goed beschermd hadden moeten worden met full disk encryptie, geen lokale opslag etc.

Dat was ik. Van de adequate fysieke beveiliging van apparatuur bij de politie (inbrekers neerschieten als ze proberen te vluchten met je hardware, dat noem ik adequaat).

Het doel van een ziekenhuis is echter dat de artsen en verplegers snel bij de data kunnen zonder moeilijke wachtwoorden in te voeren of 2FA via een App uit te voeren. Maar dit maakt de fysieke beveiliging in een ziekenhuis alleen maar belangrijker. Dus ik blijf bij wat ik eerder zei over thunderbolt. Ik zie thunderbolt als geen beveiliging. En het is goed dat de politie daar ook bij kan (het uitlezen van je volledige geheugen via de thunderbolt poort).
12-05-2020, 14:53 door Anoniem
Dat er allerlei onderdelen gestolen zijn dat maakt het geheel minder ernstig. Iemand die het gaat om de data gaat echt
niet de moeite doen om RAM en CPU te stelen, die haalt alleen de disk eruit. Kennelijk zijn dit kruimeldieven die de
spullen willen verpatsen of zelf in de PC zetten, en waarschijnlijk worden die schijven gewoon geformatteerd.
12-05-2020, 15:06 door SPer
Door Anoniem:
Door iatomory: Toch opmerkelijk hoe er gisteren nog reacties waren over 'met fysieke toegang is alles lek' en dat als het om gevoelige gegevens gaat 'men wel in staat is om te zorgen voor een adequate fysieke beveiliging'. Nu blijkt dat die fysieke beveiliging toch niet altijd voldoende, wordt toch wel weer verwacht dat de gegevens goed beschermd hadden moeten worden met full disk encryptie, geen lokale opslag etc.

Dat was ik. Van de adequate fysieke beveiliging van apparatuur bij de politie (inbrekers neerschieten als ze proberen te vluchten met je hardware, dat noem ik adequaat).

Het doel van een ziekenhuis is echter dat de artsen en verplegers snel bij de data kunnen zonder moeilijke wachtwoorden in te voeren of 2FA via een App uit te voeren. Maar dit maakt de fysieke beveiliging in een ziekenhuis alleen maar belangrijker. Dus ik blijf bij wat ik eerder zei over thunderbolt. Ik zie thunderbolt als geen beveiliging. En het is goed dat de politie daar ook bij kan (het uitlezen van je volledige geheugen via de thunderbolt poort).

Ik begrijp dat u lak heeft aan beveiliging en privacy daar u het wel oke vind dat politie en misdadigers zonder enige vorm van beveiliging data kunnen uitlezen. Ten tweede post u anoniem dus ik heb geen idee wie of wat u bedoeld met :
Dat was ik. Van de adequate fysieke beveiliging van apparatuur bij de politie (inbrekers neerschieten als ze proberen te vluchten met je hardware, dat noem ik adequaat).
. Ik vind u verdacht omdat u anoniem post waarom geeft u geen openheid daar blijkt dat u lak heeft aan databescherming .
12-05-2020, 15:09 door SPer
Door Erik van Straten:
Door Advanced Encryption Standard:
Het ziekenhuis laat aan RTV Utrecht weten dat de gegevens waren beschermd met een gebruikersnaam en wachtwoord.
Nou maar hopen dat het een wachtwoord is dat niet makkelijk is te raden.
Tenzij de schijven versleuteld zijn - wat zelden gebeurt bij desktop- of onder-de -tafel PC's -, zijn gebruikersnamen en wachtwoorden irrelevant. Als je zo'n schijf als tweede aan je eigen PC hangt, kun je probleemloos alle bestanden op die schijf benaderen.

Inclusief gecachte hashes van beheerwachtwoorden, wat de dieven extra mogelijkheden kan geven als ze terugkomen.

Aanvulling: in https://tweakers.net/nieuws/167058/inbrekers-stelen-onversleutelde-harde-schijven-uit-computers-umc.html staat dat de schijven niet versleuteld waren. Tevens geven enkele tweakers aan dat er recentelijk ook computeronderdelen gestolen zijn bij de Universiteit Utrecht (om de hoek): https://www.dub.uu.nl/nl/nieuws/raadselachtige-inbraak-het-kruytgebouw-update (die schijven zouden wel versleuteld zijn geweest).

Ik vrees dat ze inderdaad bedoelen dat de PC's met userid en password beveiligd waren (dus geheel nutteloos) daar ik voor mijn gebitlockerde schijven alleen een decryptie sleutel geef en geen userid natuurlijk.
12-05-2020, 15:17 door karma4
Door Erik van Straten: Tenzij de schijven versleuteld zijn - wat zelden gebeurt bij desktop- of onder-de -tafel PC's -, zijn gebruikersnamen en wachtwoorden irrelevant. Als je zo'n schijf als tweede aan je eigen PC hangt, kun je probleemloos alle bestanden op die schijf benaderen.
Encryptie op opslagmedia (bitlocker) zou met een professionele organisatie standaard moeten zijn. Ik ben niet anders gewend.
Uitzondering kan ik me voorstellen bij medische apparatuur en kopieermachines. Eerste te specifiek, de tweede te generiek.

….(die schijven zouden wel versleuteld zijn geweest).
Dat lijkt er op dat er gericht hardwareonderdelen opgehaald worden met de kennis (insiders) waar het te vinden is.
De tweede link wijst sterk op hardware handel in een specifiek segment. Zo'n beetje als airbags uit bepaalde type autos.
De eerste link zegt dat de schijven niet versleuteld zijn, echter de bron daarvoor ontbreekt het staat niet in het artikel waar naar verwezen wordt. De gerichte werkwijze als insider zou een vermoeden kunnen zijn dat er twijfel is of wat dan ook als versleuteling niet helpt omdat ze de sleutels kunnen hebben.
12-05-2020, 15:31 door Anoniem
Door karma4:Wat ik mis, ze staan zeker niet op bewakingscamerás omdat privacy beschermen van misdadigers belangrijker is dan die van gewone mensen. Als ze wel camera beelden hebben dan mogen die niet gebruikt worden.

Wat is dat nou weer voor onzin, natuurlijk mogen die beelden gebruikt worden daarvoor hangen de camera's er juist.
12-05-2020, 17:20 door Anoniem
weer geen hdd encryptie dus? en het is zo makkelijk tegenwoordig.. zucht
12-05-2020, 17:55 door Erik van Straten
Door Anoniem: weer geen hdd encryptie dus? en het is zo makkelijk tegenwoordig.. zucht
Als de hele PC, of HDD/SSD + moederbord (met TPM-chip), wordt gestolen, helpt versleuteling alleen als er een wachtwoord wordt gebruikt. In een omgeving met voortdurende wisselende medewerkers schreeuwt zo'n pre-boot wachtwoord om een Post-It waarmee de versleuteling alleen maar schijnveiligheid oplevert. Bij PC's die 24x7 aan staan spelen weer andere risico's.

Het m.i. grootste probleem dat hier speelde was dat onbevoegden, kennelijk ongezien, fysieke toegang tot deze apparatuur konden krijgen. Het zou mij niet verbazen als er nog meer "te halen" valt op poliklinieken en in onderzoeksruimtes (wellicht zitten kasten met mondkapjes en prijzige meetapparatuur op slot, maar vaak stellen dat soort sloten niet veel voor als je ongestraft bij de kastdeur kunt komen).

Er bestaan allerlei informatiebeveiligingsrisico's die je het beste met fysieke beveiligingsmaatregelen kunt mitigeren. Dat moet je dan wel doen natuurlijk.
12-05-2020, 18:22 door Anoniem
Door SPer: Ik begrijp dat u lak heeft aan beveiliging en privacy daar u het wel oke vind dat politie en misdadigers zonder enige vorm van beveiliging data kunnen uitlezen. Ten tweede post u anoniem dus ik heb geen idee wie of wat u bedoeld met :
Dat was ik. Van de adequate fysieke beveiliging van apparatuur bij de politie (inbrekers neerschieten als ze proberen te vluchten met je hardware, dat noem ik adequaat).
. Ik vind u verdacht omdat u anoniem post waarom geeft u geen openheid daar blijkt dat u lak heeft aan databescherming .

Wiens briljante idee was het om een fysieke aanvaller direct toegang te geven tot de PCI Express bus en het volledige geheugen via de Thunderbolt connector? Word daarop boos. Niet op mij. Ik heb dit niet bedacht. Er worden de laatste decennia wel meer stomme ideeën tot standaard verheven.

Anoniem 14:19

P.S. Voor mij is SPer net zo nietszeggend als Anoniem. De redactie van security.nl weet mijn IP adres. Ik gebruik geen TOR. Verder vind ik de capcha's leuk om over te tikken en heb ik soms moderatie nodig. Dat weet ik van mijzelf.
12-05-2020, 18:41 door Anoniem
Alles maar fysiek vergrendelen, vastlassen en om iedere pc een Faraday cage. Verbonden dmv minstens een centimeter dikke netwerkkabel incl. gevlochten hardstalen huls. Passwordverificatie 2F laten standaardiseren met RSA-4096 encryptie. Want niet veilig genoeg...
Hoe diep kun je zakken door diefstal te plegen in een omgeving waar mensenlevens gemoeid zijn en betreffende werkplek continu onder hoogspanning staat?
Maar het ontbreken van versleuteling helpt in deze ook niet echt. En het uit handen nemen van administratieve bureaucratie van de verzorgenden zal pas écht de veiligheid verbeteren, daarnaast ook de werkdruk verlagen.
12-05-2020, 19:41 door souplost
Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
12-05-2020, 19:49 door Anoniem
.
Encryptie van de schijven waarmee de schijven los van de computer niet te lezen zijn, was zeker te moeilijk. Dell levert zijn computers en laptops met TPM tegenwoordig geloof ik standaard op die wijze af. Dus dat zou nog een reddingsboei kunnen zijn.
12-05-2020, 20:27 door Anoniem
Je zou maar als omstander van een patient, eventueel met een specifieke reden erbij, zijn vermeld in dergelijke dossiers..........
Moet je als verantwoordelijken vervolgens alles uitkammen.
Zijn er dwarsverband in patiënten die zowel bij betrokken interne geneeskunde als allergie afdeling in behandeling waren?
Stonden in de gegevens ook nog gegevens van patiënten en personeel van andere afdelingen vermeld i.v.m. doorverwijzingen en extra onderzoeken?
Nagaan wie bijkomend slachtoffer zijn van deze ontvreemding van privacy gevoelige gegevens.
Spoed overleg met allerlei staf personeel erbij.
Zijn bepaalde mogelijke aanpakken van de daders die in dit ziekenhuis mogelijk waren ook in andere ziekenhuizen mogelijk?
Het hele circus dat hier bij komt kijken is inclusief juristen, auditors, facilitair managers / fysieke beveiliging en bouwkundige adviseurs et cetera.
En waarom zou je als dader onder andere van de afdeling allergie voor bijvoorbeeld voedsel, medicijnen, pollen (hooikoorts), dieren, huisstofmijt of insectengif gegevens dragers en apparatuur willen vervreemden?
Deze gebeurtenissen zijn nou niet direct hetzelfde als dat uit een computer winkel wat apparaat wordt gestolen.
12-05-2020, 20:44 door Anoniem
We hebben helemaal geen EPD meer nodig om de boel op straat te laten landen...
12-05-2020, 21:39 door karma4
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
Als je niet weet hoe iets te beheren dan is het makkelijk wijzen naar iets wat je niet aan kan.
Het ging hier om de fysieke toegangsbeveiliging. Als zelfs dat inzicht ontbreekt maak je goed duidelijk hoe schadelijk oss evangelisme is.
12-05-2020, 21:53 door Anoniem
Door karma4:
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
Als je niet weet hoe iets te beheren dan is het makkelijk wijzen naar iets wat je niet aan kan.
Het ging hier om de fysieke toegangsbeveiliging. Als zelfs dat inzicht ontbreekt maak je goed duidelijk hoe schadelijk oss evangelisme is.

Jammer genoeg wijzen officiële interne bevindingen uit dat de basis-houding van (naïeve) artsen verre van uit de lucht gegrepen zijn. Dan gaat het ondermeer over laptops, gegevensdragers en dergelijke voor data-intensieve scans en dergelijke die vanuit de lijn niet voldoende werkbaar worden gefaciliteerd.
De opmerking van souplost kan ik dus staven met de interne praktijk.

@karma4:
bij weten hoe te beheren hoort ook dat je als geen ander weet dat je geen belangrijke gegevens ergens beheert waar de fysieke beveiliging niet volledig dicht kan hebben.
12-05-2020, 22:14 door The FOSS
Door karma4:
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
Als je niet weet hoe iets te beheren dan is het makkelijk wijzen naar iets wat je niet aan kan.
Het ging hier om de fysieke toegangsbeveiliging. Als zelfs dat inzicht ontbreekt maak je goed duidelijk hoe schadelijk oss evangelisme is.

Je voelt je wel behoorlijk in het nauw gedreven sinds de LiMux-revival in München, hè karma4. Je gooit het nu echt allemaal op 'oss evangelisme'. Wanhopig aan het worden, zijn we?
12-05-2020, 22:36 door souplost
Door karma4:
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
Als je niet weet hoe iets te beheren dan is het makkelijk wijzen naar iets wat je niet aan kan.
Het ging hier om de fysieke toegangsbeveiliging. Als zelfs dat inzicht ontbreekt maak je goed duidelijk hoe schadelijk oss evangelisme is.
patiëntgegevens horen niet in een windows bureau computer van een arts opgeslagen te liggen. Dat doen ze wel omdat het windows oligopolie de standby niet heeft geregeld. Waarschijnlijk viel het te vaak uit en vond men dit wel handig.
13-05-2020, 00:01 door MathFox
Door Anoniem: weer geen hdd encryptie dus? en het is zo makkelijk tegenwoordig.. zucht
Vertrouwelijkheid en beschikbaarheid zijn twee aspecten van security. Erik heeft je om 17:55 al een deel van mijn antwoord gegeven.

Als beschikbaarheid belangrijker gevonden wordt dan vertrouwelijkheid, we praten hier over een "Nood-PC" waarop bij uitval van de centrale systemen gegevens opgezocht kunnen worden, dan is encryptie een obstakel. Full-HD encryptie is contraproductief, waar je aan zou kunnen denken is de data te encrypten en die pas na een valide login te decrypten. Maar hoe regel je gebruikersbeheer op een semi-standalone PC?

Ik ben benieuwd waar de fysieke beveiliging hier gefaald heeft.
13-05-2020, 08:12 door karma4
Door souplost: patiëntgegevens horen niet in een windows bureau computer van een arts opgeslagen te liggen. Dat doen ze wel omdat het windows oligopolie de standby niet heeft geregeld. Waarschijnlijk viel het te vaak uit en vond men dit wel handig.
Als je een werkbaar noodsysteem moet hebben zijn er keuzes te maken om zoiets te bereiken. Maar ja OSS verblinding en dan zeggen dat je zoiets als nood en uitwijk niet moet hebben is natuurlijk te gek om los te lopen.
13-05-2020, 08:59 door souplost
Door karma4:
Door souplost: patiëntgegevens horen niet in een windows bureau computer van een arts opgeslagen te liggen. Dat doen ze wel omdat het windows oligopolie de standby niet heeft geregeld. Waarschijnlijk viel het te vaak uit en vond men dit wel handig.
Als je een werkbaar noodsysteem moet hebben zijn er keuzes te maken om zoiets te bereiken. Maar ja OSS verblinding en dan zeggen dat je zoiets als nood en uitwijk niet moet hebben is natuurlijk te gek om los te lopen.
Karma4 en lezen een bijtende combinatie. Onze Chinees moet nog veel leren.
13-05-2020, 09:20 door Anoniem
Door Anoniem: .
Encryptie van de schijven waarmee de schijven los van de computer niet te lezen zijn, was zeker te moeilijk. Dell levert zijn computers en laptops met TPM tegenwoordig geloof ik standaard op die wijze af. Dus dat zou nog een reddingsboei kunnen zijn.

Dat zat ik ook te bedenken. Maar stel, deze pc's hadden TPM, dat werkt toch alleen (uitgaand dat dit Windows systemen waren) met MS Bitlocker? Ik bedoel: als ze Bitlocker niet enabled hebben doet TPM toch niets? Of is dat niet zo?
13-05-2020, 10:11 door Anoniem
Door Erik van Straten:
Door Anoniem: weer geen hdd encryptie dus? en het is zo makkelijk tegenwoordig.. zucht
Als de hele PC, of HDD/SSD + moederbord (met TPM-chip), wordt gestolen, helpt versleuteling alleen als er een wachtwoord wordt gebruikt. In een omgeving met voortdurende wisselende medewerkers schreeuwt zo'n pre-boot wachtwoord om een Post-It waarmee de versleuteling alleen maar schijnveiligheid oplevert. Bij PC's die 24x7 aan staan spelen weer andere risico's.

Het m.i. grootste probleem dat hier speelde was dat onbevoegden, kennelijk ongezien, fysieke toegang tot deze apparatuur konden krijgen. Het zou mij niet verbazen als er nog meer "te halen" valt op poliklinieken en in onderzoeksruimtes (wellicht zitten kasten met mondkapjes en prijzige meetapparatuur op slot, maar vaak stellen dat soort sloten niet veel voor als je ongestraft bij de kastdeur kunt komen).

Er bestaan allerlei informatiebeveiligingsrisico's die je het beste met fysieke beveiligingsmaatregelen kunt mitigeren. Dat moet je dan wel doen natuurlijk.

met chip moet dan de dief/goederen afnemer daar wel de technische kennis hebben om er omheen te kunnen werken. de hdd in een andere pc douwen doet iig niets.
en zelfs dan er is geen excuus om de hdd niet meer te encrypten tegenwoordig, hoe lam de fysieke toegang ook is.
liever meer beveiliging dan zeggen het heeft toch geen zin....
13-05-2020, 10:30 door Anoniem
Door Anoniem:
Door Anoniem: .
Encryptie van de schijven waarmee de schijven los van de computer niet te lezen zijn, was zeker te moeilijk. Dell levert zijn computers en laptops met TPM tegenwoordig geloof ik standaard op die wijze af. Dus dat zou nog een reddingsboei kunnen zijn.

Dat zat ik ook te bedenken. Maar stel, deze pc's hadden TPM, dat werkt toch alleen (uitgaand dat dit Windows systemen waren) met MS Bitlocker? Ik bedoel: als ze Bitlocker niet enabled hebben doet TPM toch niets? Of is dat niet zo?

Een TPM chip kan ook andere keys bewaren die gebruikt worden door een OS of applicatie. Een TPM chip is dus niet alleen voor bitlocker gemaakt.

En er zijn voor Windows meerdere alternatieven naast Bitlocker. Er zijn voldoende leveranciers die andere producten ondersteunen voor disk encryptie, al dan niet voor Windows.
13-05-2020, 11:35 door Anoniem
Door souplost: patiëntgegevens horen niet in een windows bureau computer van een arts opgeslagen te liggen. Dat doen ze wel omdat het windows oligopolie de standby niet heeft geregeld. Waarschijnlijk viel het te vaak uit en vond men dit wel handig.
Was een Linux-bureaucomputer met een onversleutelde ext4-schijf beter geweest? Daar zijn de gegevens ook leesbaar voor wie de schijf meeneemt. Als je je netwerk met Linux-systemen uitrust is de standby net zo min out-of-the-box geregeld als bij de Windows-oligopolie.

Met andere woorden: stop alsjeblieft met uit je nek te kletsen, dit slaat nergens op.
13-05-2020, 11:43 door Erik van Straten
Door Anoniem:
Door Anoniem: .
Encryptie van de schijven waarmee de schijven los van de computer niet te lezen zijn, was zeker te moeilijk. Dell levert zijn computers en laptops met TPM tegenwoordig geloof ik standaard op die wijze af. Dus dat zou nog een reddingsboei kunnen zijn.

Dat zat ik ook te bedenken. Maar stel, deze pc's hadden TPM, dat werkt toch alleen (uitgaand dat dit Windows systemen waren) met MS Bitlocker? Ik bedoel: als ze Bitlocker niet enabled hebben doet TPM toch niets?
Klopt.

Ik weet niet of er, naast Microsoft, "PC"-fabrikanten zijn die Bitlocker af fabriek aanzetten, maar bij Microsoft's Surface (Pro) devices is dat wel het geval - en zonder dat je bij opstarten een pincode (of wachtwoord) hoeft in te tikken. De argumentatie hierbij is (bron: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/bitlocker-pin-on-surface-pro-3-and-other-tablets/ba-p/257348):
1) Dit zijn, net als smartphones, vaak always on devices. De kans dat zij aan staan tijdens verlies en/of diefstal is groot;
2) Poorten met DMA-mogelijkheid (zoals Thunderbolt, firewire, SD-card, PC-card/PCMCIA) ontbreken;
3) De kans dat een dief het apparaat aan laat, openschroeft (voor zover mogelijk) en met speciale hardware het geheugen uitleest om de decryptiesleutel van de SDD te bemachtigen, wordt -voor doorsnee gebruikers- klein geacht.

Vereist is dus dat de gebruiker, indien het apparaat niet gebruikt wordt, het scherm zoveel mogelijk lockt en een (rekening houdend met de vertrouwelijkheid van de gegevens op het apparaat) voldoende sterk gebruikerswachtwoord (of pincode, vingerafdruk etc.) gebruikt.

Probleem: als je googled naar surface bitlocker recovery code , dan zijn er zoveel hits dat duidelijk is dat je, zelfs op een Microsoft-only device, hier een hoop gedonder mee kunt hebben.

Ook zijn er series Dell computers geweest waarop Bitlocker-gebruikers op onverwachte momenten een lange, niet te onthouden, recovery-code moesten invoeren om op te starten. Gevolg: die mensen zetten hun computers/notebooks steeds in slaapstand (waardoor bitlocker geen beveiliging meer biedt bij diefstal van het hele apparaat) en/of schrijven de recovery-code op een Post-It. Dit is natuurlijk onzinbeveiliging.

Versleutelen kan helpen om vertrouwelijkheid te waarborgen, maar daarbij moet je je altijd afvragen wie er bij de sleutel kan. En als de sleutel kwijt raakt of als een essentiële component defect raakt (denk ook aan corruptie van een klein deel van het opslagmedium) of door een firmware update anders werkt, heb je al snel een recovery-key nodig - als die al werkt. En zo ja, wie kunnen daar bij. De prijs kan al snel een beschikbaarheidsprobleem zijn. Vooral indien sleutels eenvoudig in verkeerde handen kunnen vallen en/of een apparaat terwijl deze aan staat in verkeerde handen kan vallen, is de afweging "wel of niet versleutelen" (rekening houdend met beschikbaarheid) geen eenvoudige.

Daarbij biedt FDE (Full Disk Encryption) zelden (of nooit) garantie op integriteit. Dat betekent dat een "evil maid" versleutelde gegevens op de schijf kan wijzigen, zonder dat je hier automatisch op gewezen wordt na opstarten (ook wordt er niets gelogd). Dat kan natuurlijk ook zonder FDE, maar goed gebruik bij het versleutelen van bestanden is om een integriteitscheck toe te voegen. Bij de afweging "wel of geen FDE" mag het integriteitsaspect dus geen rol spelen.

Naast dat "evil maids" willekeurig versleutelde data zouden kunnen overschrijven, zijn gerichte aanvallen ook denkbaar (d.w.z. dusdanig wijzigen van versleutelde FDE data dat een aanvaller geplande code execution weet te bewerkstelligen bij de eerstvolgende keer opstarten). Om dat risico te mitigeren heeft Niels Ferguson aanvankelijk de "Elephant diffuser" ontwikkeld en toegepast in de eerste versies van Bitlocker. Om onbekende redenen heeft Microsoft die Elephant Diffuser later verwijderd uit Bitlocker.

Ten slotte moet worden opgemerkt dat FDE meestal geen sterke encryptie gebruikt. Sterke encryptie vereist een random IV (Initialization Vector) voor elk blok. Gebruikelijk bij FDE is dat deze werkt op het niveau van diskblokken, vaak sectors genoemd. Een gangbare sectorgrootte is 512 bytes (veelvouden daarvan komen ook voor). Als het besturingssysteem om sector nummer X vraagt, zal de FDE software die sector met versleutelde data lezen, decrypten en het resultaat aan het besturingssysteem teruggeven; bij schrijven gebeurt het omgekeerde. Omdat zowel schijven als besturingssystemen ervan uitgaan dat altijd veelvouden van 512 bytes worden gebruikt, heb je geen ruimte voor de opslag van IV's. Dus moeten deze kunstmatig worden gegenereerd, meestal op basis van het bloknummer. Volledig onvoorspelbaar krijg je dat nooit.

Als je al die afwegingen meeneemt, is de conclusie al snel dat fysieke beveiliging (die je sowieso meestal moet hebben indien met vertrouwelijke gegevens wordt gewerkt en/of er spullen kunnen worden gestolen) de van toepassing zijnde risico's beter mitigeert. Maar, zoals ik eerder al schreef, die moet je dan niet laten versloffen - en meenemen in regelmatige audits.
13-05-2020, 12:15 door Erik van Straten
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html
13-05-2020, 14:52 door The FOSS - Bijgewerkt: 13-05-2020, 15:14
Door Erik van Straten:
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html

Bij server installeren. En binnen een dag verholpen: Het lek is inmiddels verholpen in update v20.05.2. Die update is doorgevoerd in de Snap Store.

N.B. https://www.osnews.com/story/131746/ubuntu-20-04-lts-snap-obsession-has-snapped-me-off-of-it/. Ubuntu begint Microsoft trekjes te vertonen :-(
13-05-2020, 15:15 door Anoniem
Door Anoniem: Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc


Ik heb me jarenlang bezig gehouden met hardening van infrastructuren en dit is i.d.d. echt een doodzonde.

Daar mag wel een onderzoek naar plaats vinden.

Zeker m.b.t. gegevens van derden.

Daarbij is het überhaupt niet handig om data lokaal op te slaan dit leidt tot redundantie en fouten. Ook al is het tijdelijke opslag.
13-05-2020, 16:56 door souplost
Door The FOSS:
Door Erik van Straten:
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html

Bij server installeren. En binnen een dag verholpen: Het lek is inmiddels verholpen in update v20.05.2. Die update is doorgevoerd in de Snap Store.

N.B. https://www.osnews.com/story/131746/ubuntu-20-04-lts-snap-obsession-has-snapped-me-off-of-it/. Ubuntu begint Microsoft trekjes te vertonen :-(
Inderdaad die snurken te veel tegen MS aan met dat Windows Sucksysteem voor Linux. Suse kan daar ook over meepraten. Dat hele snap verhaal vind ik maar niks.
13-05-2020, 16:58 door The FOSS
Door Anoniem:
Door Anoniem: Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc

Ik heb me jarenlang bezig gehouden met hardening van infrastructuren en dit is i.d.d. echt een doodzonde.

Daar mag wel een onderzoek naar plaats vinden.

Zeker m.b.t. gegevens van derden.

Daarbij is het überhaupt niet handig om data lokaal op te slaan dit leidt tot redundantie en fouten. Ook al is het tijdelijke opslag.

Ik kan me voorstellen dat ze om redenen van van de computers zijn noodcomputers voor artsen in het geval andere systemen uitvallen, zo meldt De Telegraaf. data lokaal hebben opgeslagen. Maar die zou natuurlijk wel versleuteld moeten zijn.
13-05-2020, 17:11 door souplost - Bijgewerkt: 13-05-2020, 17:12
Door Erik van Straten:
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html
Ja indrukwekkend alleen nieuwe server CVE Base Score: 2.3 LOW
/var/log/installer encrypten en klaar. Hoef je niet eens op de fix te wachten.
Heeft ook helemaal niets te maken met shadow windows IT op het bureau van de artsen omdat het niet is geregeld. Je begint karma4 wanhoopstrekjes te kriijgen.
13-05-2020, 22:51 door Anoniem
Ik verbaas me er wel vaker over dat grote bedrijven en ziekenhuizen nog harde schijven gebruiken die niet versleuteld zijn. Ik gebruik zelf thuis een beveiligde harde schijf van iStorage. Waarom ik thuis wel en het UMC niet?
14-05-2020, 10:11 door The FOSS - Bijgewerkt: 14-05-2020, 10:12
Door souplost:
Door The FOSS: N.B. https://www.osnews.com/story/131746/ubuntu-20-04-lts-snap-obsession-has-snapped-me-off-of-it/. Ubuntu begint Microsoft trekjes te vertonen :-(
Inderdaad die snurken te veel tegen MS aan met dat Windows Sucksysteem voor Linux. Suse kan daar ook over meepraten. Dat hele snap verhaal vind ik maar niks.

Nee, dan nog liever AppImage.

https://appimage.org/

Comparison (vs Snap; Flatpak): https://github.com/AppImage/AppImageKit/wiki/Similar-projects#comparison
14-05-2020, 10:57 door Erik van Straten
Door Anoniem: Ik verbaas me er wel vaker over dat grote bedrijven en ziekenhuizen nog harde schijven gebruiken die niet versleuteld zijn. Ik gebruik zelf thuis een beveiligde harde schijf van iStorage. Waarom ik thuis wel en het UMC niet?
Die vraag was al beantwoord in https://security.nl/posting/656827.
14-05-2020, 18:27 door Anoniem
Door souplost:
Door karma4:
Door souplost: Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.
Als je niet weet hoe iets te beheren dan is het makkelijk wijzen naar iets wat je niet aan kan.
Het ging hier om de fysieke toegangsbeveiliging. Als zelfs dat inzicht ontbreekt maak je goed duidelijk hoe schadelijk oss evangelisme is.
patiëntgegevens horen niet in een windows bureau computer van een arts opgeslagen te liggen. Dat doen ze wel omdat het windows oligopolie de standby niet heeft geregeld. Waarschijnlijk viel het te vaak uit en vond men dit wel handig.

Jemig... hou toch eens op met die kansloze *meningen*.

Iedereen die wel eens in een ziekenhuis heeft gewerkt weet dat de grote spelers zoals EPIC allemaal noodvoorzieningen hebben op basis van standalone systemen die zonder enige afhankelijkheid kunnen werken (en ja, daar staat inderdaad alle belangrijke informatie op). Dat is namelijk erg prettig voor de patient die net onder het mes ligt terwijl het netwerk er mee ophoudt.
15-05-2020, 14:50 door The FOSS
Door souplost:
Door The FOSS:
Ubuntu begint Microsoft trekjes te vertonen :-(
Inderdaad die snurken te veel tegen MS aan met dat Windows Sucksysteem voor Linux. Suse kan daar ook over meepraten. Dat hele snap verhaal vind ik maar niks.

Hier heb je het al: https://build5nines.com/microsoft-to-acquire-canonical-ubuntu-should-they/.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.