Dat kan van alles betekenen, inclusief de eigenlijk-geen-bescherming van bijvoorbeeld Windows 98. Zolang er geen encryptie of iets soortgelijks aan hangt kan er eigenlijk niet van bescherming gesproken worden.

Een diefstal waarbij uit computers alleen de harddisk wordt gestolen? Niemand die dat enigzins vreemd vind... zo wie zo als de schijven niet encrypted zijn weer een aardige flater.

Lezen is moeilijk zeker? Schijven + processors + geheugen modules. Wat is daar zo moeilijk aan te begrijpen!

Hoezo is dat vreemd? dat valt toch veel minder op, dan met een computer naar buiten te lopen het gaat uiteindelijk toch om de data die er opstaat.

Nou maar hopen dat het een wachtwoord is dat niet makkelijk is te raden.

Waarom denk je dat het om de data gaat ?

Ik lees dat disken,cpu's en geheugen gestolen zijn. Dat is handzaam pakketje (past in een jaszak - rugzak of boodschappentasje voor alles uit tien compu's ) van de meer waardevolle componenten uit een normale desktop - die ook wel verkoopbaar zijn. Financieel aantrekkelijk genoeg voor een dief(je).

Processor en geheugenmodules naast de schijven. Het gaat ze om de hardware opbouw van een ander eigen machine voor de handel of eigen gebruik. De voorlichter is niet echt duidelijk in wat de afscherming precies was. Bij medische apparatuur is de medische juiste werking het eerste wat op orde moet zijn.
Wat ik mis, ze staan zeker niet op bewakingscamerás omdat privacy beschermen van misdadigers belangrijker is dan die van gewone mensen. Als ze wel camera beelden hebben dan mogen die niet gebruikt worden.

Niemand die zich afvraagt waarom er überhaupt gegevens lokaal staan opgeslagen op de pc

Misschien omdat het artikel al aangeeft dat twee van de getroffen computers noodcomputers zijn voor als andere systemen uitgevallen zijn. Als die dienen om als het hele netwerk eruit ligt toch bij patiëntendossiers te kunnen dan staan die patiëntendossiers dus op die noodcomputers.

Dat zijn twee van de tien getroffen computers. Of er op de overige acht ook patiëntendossiers stonden wordt niet duidelijk uit de berichten van De Telegraaf en RTV Utrecht.

Iemand die zich afvraagt wat caching betekend? 3x raden waarom ze er dus staan.

Toch opmerkelijk hoe er gisteren nog reacties waren over 'met fysieke toegang is alles lek' en dat als het om gevoelige gegevens gaat 'men wel in staat is om te zorgen voor een adequate fysieke beveiliging'. Nu blijkt dat die fysieke beveiliging toch niet altijd voldoende, wordt toch wel weer verwacht dat de gegevens goed beschermd hadden moeten worden met full disk encryptie, geen lokale opslag etc.

Security is ook beschikbaarheid. Het is niet vreemd om een kopie van essentiële gegevens op een nood-PC te hebben.

Voor twee PC's stond het aardig onderbouwd: "Twee van de computers zijn noodcomputers voor artsen in het geval andere systemen uitvallen"
Voor wat betreft de andere systemen kunnen er ook best goede redenen zijn. Vergeet niet dat je in een ziekenhuis te maken hebt met MRI, Rontgen, etc. Dat soort apparaten gaan echt niet werken over VDI/Citrix, etc.
Zeker bij interne geneeskunde verwacht ik dit soort apparatuur.

Zou kunnen maar dan moet je wel een moederbord hebben waar dit op past, ik deze diefstal vreemd.

De computer-gefreakte diefdaders zullen het vermoedelijk hebben geweten en zullen wel bekenden zijn.
"Allerrr-gegoochelogie sim salla bim hocus pocus weg."

Nou nog spijt krijgen en netjes terug toveren die zooi voordat je wordt opgepakt.

Tenzij de schijven versleuteld zijn - wat zelden gebeurt bij desktop- of onder-de -tafel PC's -, zijn gebruikersnamen en wachtwoorden irrelevant. Als je zo'n schijf als tweede aan je eigen PC hangt, kun je probleemloos alle bestanden op die schijf benaderen.

Inclusief gecachte hashes van beheerwachtwoorden, wat de dieven extra mogelijkheden kan geven als ze terugkomen.

Aanvulling: in https://tweakers.net/nieuws/167058/inbrekers-stelen-onversleutelde-harde-schijven-uit-computers-umc.html staat dat de schijven niet versleuteld waren. Tevens geven enkele tweakers aan dat er recentelijk ook computeronderdelen gestolen zijn bij de Universiteit Utrecht (om de hoek): https://www.dub.uu.nl/nl/nieuws/raadselachtige-inbraak-het-kruytgebouw-update (die schijven zouden wel versleuteld zijn geweest).

Dat was ik. Van de adequate fysieke beveiliging van apparatuur bij de politie (inbrekers neerschieten als ze proberen te vluchten met je hardware, dat noem ik adequaat).

Het doel van een ziekenhuis is echter dat de artsen en verplegers snel bij de data kunnen zonder moeilijke wachtwoorden in te voeren of 2FA via een App uit te voeren. Maar dit maakt de fysieke beveiliging in een ziekenhuis alleen maar belangrijker. Dus ik blijf bij wat ik eerder zei over thunderbolt. Ik zie thunderbolt als geen beveiliging. En het is goed dat de politie daar ook bij kan (het uitlezen van je volledige geheugen via de thunderbolt poort).

Dat er allerlei onderdelen gestolen zijn dat maakt het geheel minder ernstig. Iemand die het gaat om de data gaat echt
niet de moeite doen om RAM en CPU te stelen, die haalt alleen de disk eruit. Kennelijk zijn dit kruimeldieven die de
spullen willen verpatsen of zelf in de PC zetten, en waarschijnlijk worden die schijven gewoon geformatteerd.

Ik begrijp dat u lak heeft aan beveiliging en privacy daar u het wel oke vind dat politie en misdadigers zonder enige vorm van beveiliging data kunnen uitlezen. Ten tweede post u anoniem dus ik heb geen idee wie of wat u bedoeld met : . Ik vind u verdacht omdat u anoniem post waarom geeft u geen openheid daar blijkt dat u lak heeft aan databescherming .

Ik vrees dat ze inderdaad bedoelen dat de PC's met userid en password beveiligd waren (dus geheel nutteloos) daar ik voor mijn gebitlockerde schijven alleen een decryptie sleutel geef en geen userid natuurlijk.

Encryptie op opslagmedia (bitlocker) zou met een professionele organisatie standaard moeten zijn. Ik ben niet anders gewend.
Uitzondering kan ik me voorstellen bij medische apparatuur en kopieermachines. Eerste te specifiek, de tweede te generiek.

Dat lijkt er op dat er gericht hardwareonderdelen opgehaald worden met de kennis (insiders) waar het te vinden is.
De tweede link wijst sterk op hardware handel in een specifiek segment. Zo'n beetje als airbags uit bepaalde type autos.
De eerste link zegt dat de schijven niet versleuteld zijn, echter de bron daarvoor ontbreekt het staat niet in het artikel waar naar verwezen wordt. De gerichte werkwijze als insider zou een vermoeden kunnen zijn dat er twijfel is of wat dan ook als versleuteling niet helpt omdat ze de sleutels kunnen hebben.

Wat is dat nou weer voor onzin, natuurlijk mogen die beelden gebruikt worden daarvoor hangen de camera's er juist.

weer geen hdd encryptie dus? en het is zo makkelijk tegenwoordig.. zucht

Als de hele PC, of HDD/SSD + moederbord (met TPM-chip), wordt gestolen, helpt versleuteling alleen als er een wachtwoord wordt gebruikt. In een omgeving met voortdurende wisselende medewerkers schreeuwt zo'n pre-boot wachtwoord om een Post-It waarmee de versleuteling alleen maar schijnveiligheid oplevert. Bij PC's die 24x7 aan staan spelen weer andere risico's.

Het m.i. grootste probleem dat hier speelde was dat onbevoegden, kennelijk ongezien, fysieke toegang tot deze apparatuur konden krijgen. Het zou mij niet verbazen als er nog meer "te halen" valt op poliklinieken en in onderzoeksruimtes (wellicht zitten kasten met mondkapjes en prijzige meetapparatuur op slot, maar vaak stellen dat soort sloten niet veel voor als je ongestraft bij de kastdeur kunt komen).

Er bestaan allerlei informatiebeveiligingsrisico's die je het beste met fysieke beveiligingsmaatregelen kunt mitigeren. Dat moet je dan wel doen natuurlijk.

Wiens briljante idee was het om een fysieke aanvaller direct toegang te geven tot de PCI Express bus en het volledige geheugen via de Thunderbolt connector? Word daarop boos. Niet op mij. Ik heb dit niet bedacht. Er worden de laatste decennia wel meer stomme ideeën tot standaard verheven.

Anoniem 14:19

P.S. Voor mij is SPer net zo nietszeggend als Anoniem. De redactie van security.nl weet mijn IP adres. Ik gebruik geen TOR. Verder vind ik de capcha's leuk om over te tikken en heb ik soms moderatie nodig. Dat weet ik van mijzelf.

Alles maar fysiek vergrendelen, vastlassen en om iedere pc een Faraday cage. Verbonden dmv minstens een centimeter dikke netwerkkabel incl. gevlochten hardstalen huls. Passwordverificatie 2F laten standaardiseren met RSA-4096 encryptie. Want niet veilig genoeg...
Hoe diep kun je zakken door diefstal te plegen in een omgeving waar mensenlevens gemoeid zijn en betreffende werkplek continu onder hoogspanning staat?
Maar het ontbreken van versleuteling helpt in deze ook niet echt. En het uit handen nemen van administratieve bureaucratie van de verzorgenden zal pas écht de veiligheid verbeteren, daarnaast ook de werkdruk verlagen.

Dat krijg je als (naive) artsen zelf bezig gaan met consumenten software, omdat het allemaal niet professioneel geregeld is. Je kan het ze niet kwalijk nemen.

.
Encryptie van de schijven waarmee de schijven los van de computer niet te lezen zijn, was zeker te moeilijk. Dell levert zijn computers en laptops met TPM tegenwoordig geloof ik standaard op die wijze af. Dus dat zou nog een reddingsboei kunnen zijn.

Je zou maar als omstander van een patient, eventueel met een specifieke reden erbij, zijn vermeld in dergelijke dossiers..........
Moet je als verantwoordelijken vervolgens alles uitkammen.
Zijn er dwarsverband in patiënten die zowel bij betrokken interne geneeskunde als allergie afdeling in behandeling waren?
Stonden in de gegevens ook nog gegevens van patiënten en personeel van andere afdelingen vermeld i.v.m. doorverwijzingen en extra onderzoeken?
Nagaan wie bijkomend slachtoffer zijn van deze ontvreemding van privacy gevoelige gegevens.
Spoed overleg met allerlei staf personeel erbij.
Zijn bepaalde mogelijke aanpakken van de daders die in dit ziekenhuis mogelijk waren ook in andere ziekenhuizen mogelijk?
Het hele circus dat hier bij komt kijken is inclusief juristen, auditors, facilitair managers / fysieke beveiliging en bouwkundige adviseurs et cetera.
En waarom zou je als dader onder andere van de afdeling allergie voor bijvoorbeeld voedsel, medicijnen, pollen (hooikoorts), dieren, huisstofmijt of insectengif gegevens dragers en apparatuur willen vervreemden?
Deze gebeurtenissen zijn nou niet direct hetzelfde als dat uit een computer winkel wat apparaat wordt gestolen.

We hebben helemaal geen EPD meer nodig om de boel op straat te laten landen...

Als je niet weet hoe iets te beheren dan is het makkelijk wijzen naar iets wat je niet aan kan.
Het ging hier om de fysieke toegangsbeveiliging. Als zelfs dat inzicht ontbreekt maak je goed duidelijk hoe schadelijk oss evangelisme is.

Jammer genoeg wijzen officiële interne bevindingen uit dat de basis-houding van (naïeve) artsen verre van uit de lucht gegrepen zijn. Dan gaat het ondermeer over laptops, gegevensdragers en dergelijke voor data-intensieve scans en dergelijke die vanuit de lijn niet voldoende werkbaar worden gefaciliteerd.
De opmerking van souplost kan ik dus staven met de interne praktijk.

@karma4:
bij weten hoe te beheren hoort ook dat je als geen ander weet dat je geen belangrijke gegevens ergens beheert waar de fysieke beveiliging niet volledig dicht kan hebben.

Je voelt je wel behoorlijk in het nauw gedreven sinds de LiMux-revival in München, hè karma4. Je gooit het nu echt allemaal op 'oss evangelisme'. Wanhopig aan het worden, zijn we?

patiëntgegevens horen niet in een windows bureau computer van een arts opgeslagen te liggen. Dat doen ze wel omdat het windows oligopolie de standby niet heeft geregeld. Waarschijnlijk viel het te vaak uit en vond men dit wel handig.

Vertrouwelijkheid en beschikbaarheid zijn twee aspecten van security. Erik heeft je om 17:55 al een deel van mijn antwoord gegeven.

Als beschikbaarheid belangrijker gevonden wordt dan vertrouwelijkheid, we praten hier over een "Nood-PC" waarop bij uitval van de centrale systemen gegevens opgezocht kunnen worden, dan is encryptie een obstakel. Full-HD encryptie is contraproductief, waar je aan zou kunnen denken is de data te encrypten en die pas na een valide login te decrypten. Maar hoe regel je gebruikersbeheer op een semi-standalone PC?

Ik ben benieuwd waar de fysieke beveiliging hier gefaald heeft.

Als je een werkbaar noodsysteem moet hebben zijn er keuzes te maken om zoiets te bereiken. Maar ja OSS verblinding en dan zeggen dat je zoiets als nood en uitwijk niet moet hebben is natuurlijk te gek om los te lopen.

Karma4 en lezen een bijtende combinatie. Onze Chinees moet nog veel leren.

Dat zat ik ook te bedenken. Maar stel, deze pc's hadden TPM, dat werkt toch alleen (uitgaand dat dit Windows systemen waren) met MS Bitlocker? Ik bedoel: als ze Bitlocker niet enabled hebben doet TPM toch niets? Of is dat niet zo?

met chip moet dan de dief/goederen afnemer daar wel de technische kennis hebben om er omheen te kunnen werken. de hdd in een andere pc douwen doet iig niets.
en zelfs dan er is geen excuus om de hdd niet meer te encrypten tegenwoordig, hoe lam de fysieke toegang ook is.
liever meer beveiliging dan zeggen het heeft toch geen zin....

Een TPM chip kan ook andere keys bewaren die gebruikt worden door een OS of applicatie. Een TPM chip is dus niet alleen voor bitlocker gemaakt.

En er zijn voor Windows meerdere alternatieven naast Bitlocker. Er zijn voldoende leveranciers die andere producten ondersteunen voor disk encryptie, al dan niet voor Windows.

Was een Linux-bureaucomputer met een onversleutelde ext4-schijf beter geweest? Daar zijn de gegevens ook leesbaar voor wie de schijf meeneemt. Als je je netwerk met Linux-systemen uitrust is de standby net zo min out-of-the-box geregeld als bij de Windows-oligopolie.

Met andere woorden: stop alsjeblieft met uit je nek te kletsen, dit slaat nergens op.

Klopt.

Ik weet niet of er, naast Microsoft, "PC"-fabrikanten zijn die Bitlocker af fabriek aanzetten, maar bij Microsoft's Surface (Pro) devices is dat wel het geval - en zonder dat je bij opstarten een pincode (of wachtwoord) hoeft in te tikken. De argumentatie hierbij is (bron: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/bitlocker-pin-on-surface-pro-3-and-other-tablets/ba-p/257348):
1) Dit zijn, net als smartphones, vaak always on devices. De kans dat zij aan staan tijdens verlies en/of diefstal is groot;
2) Poorten met DMA-mogelijkheid (zoals Thunderbolt, firewire, SD-card, PC-card/PCMCIA) ontbreken;
3) De kans dat een dief het apparaat aan laat, openschroeft (voor zover mogelijk) en met speciale hardware het geheugen uitleest om de decryptiesleutel van de SDD te bemachtigen, wordt -voor doorsnee gebruikers- klein geacht.

Vereist is dus dat de gebruiker, indien het apparaat niet gebruikt wordt, het scherm zoveel mogelijk lockt en een (rekening houdend met de vertrouwelijkheid van de gegevens op het apparaat) voldoende sterk gebruikerswachtwoord (of pincode, vingerafdruk etc.) gebruikt.

Probleem: als je googled naar surface bitlocker recovery code , dan zijn er zoveel hits dat duidelijk is dat je, zelfs op een Microsoft-only device, hier een hoop gedonder mee kunt hebben.

Ook zijn er series Dell computers geweest waarop Bitlocker-gebruikers op onverwachte momenten een lange, niet te onthouden, recovery-code moesten invoeren om op te starten. Gevolg: die mensen zetten hun computers/notebooks steeds in slaapstand (waardoor bitlocker geen beveiliging meer biedt bij diefstal van het hele apparaat) en/of schrijven de recovery-code op een Post-It. Dit is natuurlijk onzinbeveiliging.

Versleutelen kan helpen om vertrouwelijkheid te waarborgen, maar daarbij moet je je altijd afvragen wie er bij de sleutel kan. En als de sleutel kwijt raakt of als een essentiële component defect raakt (denk ook aan corruptie van een klein deel van het opslagmedium) of door een firmware update anders werkt, heb je al snel een recovery-key nodig - als die al werkt. En zo ja, wie kunnen daar bij. De prijs kan al snel een beschikbaarheidsprobleem zijn. Vooral indien sleutels eenvoudig in verkeerde handen kunnen vallen en/of een apparaat terwijl deze aan staat in verkeerde handen kan vallen, is de afweging "wel of niet versleutelen" (rekening houdend met beschikbaarheid) geen eenvoudige.

Daarbij biedt FDE (Full Disk Encryption) zelden (of nooit) garantie op integriteit. Dat betekent dat een "evil maid" versleutelde gegevens op de schijf kan wijzigen, zonder dat je hier automatisch op gewezen wordt na opstarten (ook wordt er niets gelogd). Dat kan natuurlijk ook zonder FDE, maar goed gebruik bij het versleutelen van bestanden is om een integriteitscheck toe te voegen. Bij de afweging "wel of geen FDE" mag het integriteitsaspect dus geen rol spelen.

Naast dat "evil maids" willekeurig versleutelde data zouden kunnen overschrijven, zijn gerichte aanvallen ook denkbaar (d.w.z. dusdanig wijzigen van versleutelde FDE data dat een aanvaller geplande code execution weet te bewerkstelligen bij de eerstvolgende keer opstarten). Om dat risico te mitigeren heeft Niels Ferguson aanvankelijk de "Elephant diffuser" ontwikkeld en toegepast in de eerste versies van Bitlocker. Om onbekende redenen heeft Microsoft die Elephant Diffuser later verwijderd uit Bitlocker.

Ten slotte moet worden opgemerkt dat FDE meestal geen sterke encryptie gebruikt. Sterke encryptie vereist een random IV (Initialization Vector) voor elk blok. Gebruikelijk bij FDE is dat deze werkt op het niveau van diskblokken, vaak sectors genoemd. Een gangbare sectorgrootte is 512 bytes (veelvouden daarvan komen ook voor). Als het besturingssysteem om sector nummer X vraagt, zal de FDE software die sector met versleutelde data lezen, decrypten en het resultaat aan het besturingssysteem teruggeven; bij schrijven gebeurt het omgekeerde. Omdat zowel schijven als besturingssystemen ervan uitgaan dat altijd veelvouden van 512 bytes worden gebruikt, heb je geen ruimte voor de opslag van IV's. Dus moeten deze kunstmatig worden gegenereerd, meestal op basis van het bloknummer. Volledig onvoorspelbaar krijg je dat nooit.

Als je al die afwegingen meeneemt, is de conclusie al snel dat fysieke beveiliging (die je sowieso meestal moet hebben indien met vertrouwelijke gegevens wordt gewerkt en/of er spullen kunnen worden gestolen) de van toepassing zijnde risico's beter mitigeert. Maar, zoals ik eerder al schreef, die moet je dan niet laten versloffen - en meenemen in regelmatige audits.

https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html

Bij server installeren. En binnen een dag verholpen: Het lek is inmiddels verholpen in update v20.05.2. Die update is doorgevoerd in de Snap Store.

N.B. https://www.osnews.com/story/131746/ubuntu-20-04-lts-snap-obsession-has-snapped-me-off-of-it/. Ubuntu begint Microsoft trekjes te vertonen :-(

Ik heb me jarenlang bezig gehouden met hardening van infrastructuren en dit is i.d.d. echt een doodzonde.

Daar mag wel een onderzoek naar plaats vinden.

Zeker m.b.t. gegevens van derden.

Daarbij is het überhaupt niet handig om data lokaal op te slaan dit leidt tot redundantie en fouten. Ook al is het tijdelijke opslag.

Inderdaad die snurken te veel tegen MS aan met dat Windows Sucksysteem voor Linux. Suse kan daar ook over meepraten. Dat hele snap verhaal vind ik maar niks.

Ik kan me voorstellen dat ze om redenen van van de computers zijn noodcomputers voor artsen in het geval andere systemen uitvallen, zo meldt De Telegraaf. data lokaal hebben opgeslagen. Maar die zou natuurlijk wel versleuteld moeten zijn.

Ja indrukwekkend alleen nieuwe server CVE Base Score: 2.3 LOW
/var/log/installer encrypten en klaar. Hoef je niet eens op de fix te wachten.
Heeft ook helemaal niets te maken met shadow windows IT op het bureau van de artsen omdat het niet is geregeld. Je begint karma4 wanhoopstrekjes te kriijgen.

Ik verbaas me er wel vaker over dat grote bedrijven en ziekenhuizen nog harde schijven gebruiken die niet versleuteld zijn. Ik gebruik zelf thuis een beveiligde harde schijf van iStorage. Waarom ik thuis wel en het UMC niet?

Nee, dan nog liever AppImage.

https://appimage.org/

Comparison (vs Snap; Flatpak): https://github.com/AppImage/AppImageKit/wiki/Similar-projects#comparison

Die vraag was al beantwoord in https://security.nl/posting/656827.

Jemig... hou toch eens op met die kansloze *meningen*.

Iedereen die wel eens in een ziekenhuis heeft gewerkt weet dat de grote spelers zoals EPIC allemaal noodvoorzieningen hebben op basis van standalone systemen die zonder enige afhankelijkheid kunnen werken (en ja, daar staat inderdaad alle belangrijke informatie op). Dat is namelijk erg prettig voor de patient die net onder het mes ligt terwijl het netwerk er mee ophoudt.

Hier heb je het al: https://build5nines.com/microsoft-to-acquire-canonical-ubuntu-should-they/.