image

GGD haalt kennisplatform voor zorgpersoneel offline wegens beveiligingslek

vrijdag 12 februari 2021, 10:19 door Redactie, 14 reacties

GGD GHOR Nederland heeft het kennisplatform KennisNet wegens een beveiligingslek offline gehaald. Daardoor is informatie voor GGD-medewerkers en zorgpersoneel, zoals werkinstructies, niet meer eenvoudig beschikbaar. Penetratietesters die door het ministerie van Volksgezondheid waren ingeschakeld wisten toegang tot documenten op het platform te krijgen die niet voor hen beschikbaar zouden moeten zijn. Dat laat minister De Jonge van Volksgezondheid in een brief aan de Tweede Kamer weten.

Zorgmedewerkers in de publieke gezondheidszorg gebruiken KennisNet voor het uitwisselen van kennis. Het platform bevat onder andere werkinstructies en handleidingen. Naast een publiek toegankelijk deel waren er besloten groepen waar specifieke personen voor toegelaten konden worden. De penetratietesters besloten het systeem op 1 februari aan de tand te voelen. De volgende dag moest minister De Jonge melden dat er toegang tot documenten was verkregen.

Vanwege het beveiligingslek werd het kennisplatform dezelfde dag uitgeschakeld. Acht dagen later is er een forensisch onderzoek gestart om te bepalen of personen toegang hebben gehad tot het systeem die niet tot de doelgroep van dit platform horen. Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden. "Gezien de aard van dit onderzoek kunnen hierover op dit moment geen verdere mededelingen worden gedaan", stelt De Jonge.

GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus, heeft tevens een voorlopige melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. De privacytoezichthouder gaf vervolgens opdracht tot het uitvoeren van een nader onderzoek.

"Door de uitschakeling van de genoemde voorziening is informatie die medewerkers van de GGD nodig kunnen hebben voor hun werk (zoals werkinstructies) nu niet meer eenvoudig beschikbaar. Ik zal GGD GHOR Nederland helpen bij het tijdelijk, op een alternatieve en veilige manier beschikbaar maken van deze informatie", merkt de minister op. Volgens GGD GHOR is het offline halen van KennisNet vervelend voor gebruikers, maar heeft het geen onoverkomelijke gevolgen voor de bestrijding van het coronavirus.

Image

Reacties (14)
12-02-2021, 10:25 door Anoniem
De Tweede Kamer is een Incident Response Centrum geworden voor ICT aangelegenheden?

Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
12-02-2021, 10:31 door Anoniem
Lekker bezig daar bij de GGD. Had iemand anders verwacht?
12-02-2021, 11:00 door Anoniem
Zorgmedewerkers in de publieke gezondheidszorg gebruiken KennisNet voor het uitwisselen van kennis.

[...]

Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden.

Als het een kennissite is, dus een soort wiki met instructies, handleidingen en weetjes, waarom staat daar dan gevoelige informatie op, of informatie die niet gedeeld had mogen worden.

Waren er geen moderatoren in die afgesloten groepen?

En dan is ook de beveiliging nog eens brak.

De zorg-wereld en (ict)beveiling. Ook een drama.
12-02-2021, 12:00 door Anoniem
Door Anoniem: De Tweede Kamer is een Incident Response Centrum geworden voor ICT aangelegenheden?

Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
Ha, dit vind ik wel een goeie!
12-02-2021, 12:10 door walmare
Door Anoniem: Lekker bezig daar bij de GGD. Had iemand anders verwacht?
Nee ICT prio ligt daar meer bij Iphones.
12-02-2021, 13:15 door Anoniem
Door Anoniem: De Tweede Kamer is een Incident Response Centrum geworden voor ICT aangelegenheden?

Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
Ja en nee, normaal gesproken zou dit geen onderwerp voor de tweede kamer zijn. In het licht van de recente gebeurtenissen en in het kader van transparantie, is het wel verstandig dat de Jonge de Tweede Kamer informeert. Aangezien het erop lijkt dat het ministerie / GGD direct passende maatregelen neemt, zou de het bij dit informeren moeten blijven.
12-02-2021, 15:50 door Anoniem
En zijn deze zaken hetgeen dat het vaccineren mede afremmen?
Kan er weinig aan doen, maar heel mijn vertrouwen begint nu toch wel deprimerend te worden.
12-02-2021, 16:03 door Anoniem
Door Anoniem:
Door Anoniem: De Tweede Kamer is een Incident Response Centrum geworden voor ICT aangelegenheden?

Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
Ja en nee, normaal gesproken zou dit geen onderwerp voor de tweede kamer zijn. In het licht van de recente gebeurtenissen en in het kader van transparantie, is het wel verstandig dat de Jonge de Tweede Kamer informeert. Aangezien het erop lijkt dat het ministerie / GGD direct passende maatregelen neemt, zou de het bij dit informeren moeten blijven.
Niet eens.
In het licht van de recente gebeurtenissen en in het kader van transparantie, is het wel verstandig dat de Jonge de Tweede Kamer informeert. Aangezien het erop lijkt dat het ministerie / GGD direct passende maatregelen neemt, zou de het bij dit informeren moeten blijven.
Wat schiet je er mee op dat je uitsluitend weet dat er een (enorm) lek is bij de GGD.
"Gezien de aard van dit onderzoek kunnen hierover op dit moment geen verdere mededelingen worden gedaan", stelt De Jonge.
Ik hoop dat de GGD binnenkort hetzelfde doet als de Universiteit van Maastricht, namelijk het onderzoeksrapport van het Red Team publiceren. Anders verandert er niets, en moeten we de GGD weer opnieuw op hun blauwe ogen vertrouwen dat onze data bij hen in goede handen zijn. En dat vertrouwen is nu helemaal weg.

https://www.security.nl/posting/688243/Z-CERT+en+Nederlandse+ggz+gaan+samenwerken+rond+cybersecurity
De GGD is (nog) niet aangesloten bij Z-CERT. Dat moet zo snel mogelijk worden voltooid. En wat mij betreft worden de volgende elementen verplicht en afdwingbaar door Z-CERT:
- Security By Design
- Open Standaarden
- Periodieke pentesten, met Responsible Disclosure en beloning.

De penetratietesters besloten het systeem op 1 februari aan de tand te voelen. De volgende dag moest minister De Jonge melden dat er toegang tot documenten was verkregen.
Dus de huidige pentest door het haastig ingevlogen Red Team is "pentest zero", en moet regelmatig herhaald worden. Z-CERT moet daarop controle kunnen uitoefenen, en de aanbevelingen van de pentesters moeten afdwingbaar zijn (worden). Daar heeft de hele sector baat bij.
12-02-2021, 22:31 door Anoniem
Ok zijn we het er over eens als IT deskundigen bij elkaar ?

De Overheid is incompetent ..... x10
13-02-2021, 08:00 door Anoniem
Tja, die Andre Rouvoet toch! En maar aanklooien en nu bij de Heere om vergiffenis vragen als alles misgaat

Maar in NL er is altijd wel een goed betaald baantje voor een kneusje.
13-02-2021, 13:59 door karma4
Het gaat om handleidingen en kennis. Nog even en de plek war je boeken kan lenen wordt als privacy gevoelig aangemerkt waarmee de toegang tot algemene informatie wegens privacy afgestopt wordt. Kent iemand 1984 van Eric-Arthur?
13-02-2021, 16:18 door Anoniem
Door Anoniem:
In het licht van de recente gebeurtenissen en in het kader van transparantie, is het wel verstandig dat de Jonge de Tweede Kamer informeert. Aangezien het erop lijkt dat het ministerie / GGD direct passende maatregelen neemt, zou de het bij dit informeren moeten blijven.
Wat schiet je er mee op dat je uitsluitend weet dat er een (enorm) lek is bij de GGD.
De Tweede Kamer moet zich met de grote lijnen bezighouden en zich in beginsel niet met individuele cases en details bemoeien. Er zijn meer dan 2.000 overheidswerkgevers waar ruim 1 miljoen mensen werkzaam zijn. Hoe wil de Tweede Kamer met 150 personen op dit detailniveau toezicht houden? Dat is simpelweg onmogelijk.
13-02-2021, 16:31 door Anoniem
Door karma4: Het gaat om handleidingen en kennis. Nog even en de plek war je boeken kan lenen wordt als privacy gevoelig aangemerkt waarmee de toegang tot algemene informatie wegens privacy afgestopt wordt. Kent iemand 1984 van Eric-Arthur?
Eric Arthur Blair, waarom noem je die niet gewoon bij zijn algemeen bekende schrijversnaam George Orwell?
https://en.wikipedia.org/wiki/Nineteen_Eighty-Four
Een bekende figuur in dit boek "1984" is BigBrother (Stalin, of een andere totalitaire heerser) die communiceert in NewSpeak, met de partijpropaganda slogans Oorlog is vrede (war is peace), Vrijheid is slavernij (freedom is slavery), Onwetendheid is kracht (ignorance is strength).
George Orwell probeert daarmee te waarschuwen tegen de gevaren van een totalitaire staat.
Maar ik zie geen relatie tussen George Orwell en het lek in het GGD-GHOR Kennisnet. Dus waarom haal je dit er bij?

Volgens mij is het vrij overzichtelijk. Er stond privacy-gevoelige (vertrouwelijke) informatie op de site van de GGD-GHOR:
https://www.ggdghorkennisnet.nl/
"Forensisch onderzoek is gestart om te bepalen of personen toegang hebben gehad tot het systeem die niet tot de doelgroep van dit platform horen. Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden."
De GGD-GHOR stelt dus zelf dat er vertrouwelijke informatie op deze site staat.

Door karma4: Nog even en de plek war je boeken kan lenen wordt als privacy gevoelig aangemerkt
Wat bedoel je hiermee te zeggen? Leen jij boeken bij de GGD?
De meeste mensen lenen boeken bij de openbare biblotheek, waar vrij toegankelijke (openbare) informatie te vinden is.
Op de site van de GGD-GHOR is ook openbare informatie te vinden.
Maar ook privacy-gevoelige informatie die dus niet openbaar toegankelijk mag zijn, en dat kennelijk abusievelijk wel was, zoals het Red-Team ontdekt heeft.

Big Brother zou gezegd kunnen hebben "Privacy is Openbaarheid", maar het Red-Team maakt deze vergissing niet.
13-02-2021, 21:14 door karma4 - Bijgewerkt: 13-02-2021, 21:14
Door Anoniem: ....
Big Brother zou gezegd kunnen hebben "Privacy is Openbaarheid", maar het Red-Team maakt deze vergissing niet.
Ik noemde zijn werkelijke echte naam. Zijn pseudoniem is bekender, maar waarom niet de echte naam? Geeft trouwens aan dat pseudonimiseren niet anonimiseren is.

Lees even bet artikel. Het gaat hier NIET om dat datalek met ongewenst delen van persoonsgegevens. Het gaat om een kennisnet, raadplegen van informatie. Raadplegen van informatie in hard copy formaat ofwel boek zou je in een bibliotheek doen.

Nu sla je openbare en niet openbare informatie op dezelfde wijze op, openbare boeken, telefoonboeken, persoonlijke contactlijsten dossiers over personen. De datakwalificatie geeft als het goed is het risco aan.

Een red-team lijkt tegenwoordig een technisch vinkenlijstje van gangbare tools te zijn. Je hebt prima door waar ik heen wilde.
Big brother in new speak: "privacy is openbaarheid" .

De technische kwetsbaarheid op de sysgemen met naslaginformatie zal door de tools gevonden zijn. Deze wordt in de openbaarheid gebracht als een datalek. Ja het red team maakt dat soort fouten.
Het oast geheel in het nederlandse befehl ist befehl houding met een dictatoriele insteek en het volledig willen volgen van een ieder.
Ds eis ligt nu dat elje ambtenaar 24*7 in woord beeld en schrift gevolgd moet worden want andsrs is de kamer niet geinformeerd.

Zie je de big brother dreigin, arguent privacy, openbaarheid zo sel?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.