GGD haalt kennisplatform voor zorgpersoneel offline wegens beveiligingslek
GGD GHOR Nederland heeft het kennisplatform KennisNet wegens een beveiligingslek offline gehaald. Daardoor is informatie voor GGD-medewerkers en zorgpersoneel, zoals werkinstructies, niet meer eenvoudig beschikbaar. Penetratietesters die door het ministerie van Volksgezondheid waren ingeschakeld wisten toegang tot documenten op het platform te krijgen die niet voor hen beschikbaar zouden moeten zijn. Dat laat minister De Jonge van Volksgezondheid in een brief aan de Tweede Kamer weten.
Zorgmedewerkers in de publieke gezondheidszorg gebruiken KennisNet voor het uitwisselen van kennis. Het platform bevat onder andere werkinstructies en handleidingen. Naast een publiek toegankelijk deel waren er besloten groepen waar specifieke personen voor toegelaten konden worden. De penetratietesters besloten het systeem op 1 februari aan de tand te voelen. De volgende dag moest minister De Jonge melden dat er toegang tot documenten was verkregen.
Vanwege het beveiligingslek werd het kennisplatform dezelfde dag uitgeschakeld. Acht dagen later is er een forensisch onderzoek gestart om te bepalen of personen toegang hebben gehad tot het systeem die niet tot de doelgroep van dit platform horen. Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden. "Gezien de aard van dit onderzoek kunnen hierover op dit moment geen verdere mededelingen worden gedaan", stelt De Jonge.
GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus, heeft tevens een voorlopige melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. De privacytoezichthouder gaf vervolgens opdracht tot het uitvoeren van een nader onderzoek.
"Door de uitschakeling van de genoemde voorziening is informatie die medewerkers van de GGD nodig kunnen hebben voor hun werk (zoals werkinstructies) nu niet meer eenvoudig beschikbaar. Ik zal GGD GHOR Nederland helpen bij het tijdelijk, op een alternatieve en veilige manier beschikbaar maken van deze informatie", merkt de minister op. Volgens GGD GHOR is het offline halen van KennisNet vervelend voor gebruikers, maar heeft het geen onoverkomelijke gevolgen voor de bestrijding van het coronavirus.
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
[...]
Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden.
Als het een kennissite is, dus een soort wiki met instructies, handleidingen en weetjes, waarom staat daar dan gevoelige informatie op, of informatie die niet gedeeld had mogen worden.
Waren er geen moderatoren in die afgesloten groepen?
En dan is ook de beveiliging nog eens brak.
De zorg-wereld en (ict)beveiling. Ook een drama.
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
Kan er weinig aan doen, maar heel mijn vertrouwen begint nu toch wel deprimerend te worden.
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
https://www.security.nl/posting/688243/Z-CERT+en+Nederlandse+ggz+gaan+samenwerken+rond+cybersecurity
De GGD is (nog) niet aangesloten bij Z-CERT. Dat moet zo snel mogelijk worden voltooid. En wat mij betreft worden de volgende elementen verplicht en afdwingbaar door Z-CERT:
- Security By Design
- Open Standaarden
- Periodieke pentesten, met Responsible Disclosure en beloning.
De Overheid is incompetent ..... x10
Maar in NL er is altijd wel een goed betaald baantje voor een kneusje.
https://en.wikipedia.org/wiki/Nineteen_Eighty-Four
Een bekende figuur in dit boek "1984" is BigBrother (Stalin, of een andere totalitaire heerser) die communiceert in NewSpeak, met de partijpropaganda slogans Oorlog is vrede (war is peace), Vrijheid is slavernij (freedom is slavery), Onwetendheid is kracht (ignorance is strength).
George Orwell probeert daarmee te waarschuwen tegen de gevaren van een totalitaire staat.
Maar ik zie geen relatie tussen George Orwell en het lek in het GGD-GHOR Kennisnet. Dus waarom haal je dit er bij?
Volgens mij is het vrij overzichtelijk. Er stond privacy-gevoelige (vertrouwelijke) informatie op de site van de GGD-GHOR:
"Forensisch onderzoek is gestart om te bepalen of personen toegang hebben gehad tot het systeem die niet tot de doelgroep van dit platform horen. Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden."
De meeste mensen lenen boeken bij de openbare biblotheek, waar vrij toegankelijke (openbare) informatie te vinden is.
Op de site van de GGD-GHOR is ook openbare informatie te vinden.
Maar ook privacy-gevoelige informatie die dus niet openbaar toegankelijk mag zijn, en dat kennelijk abusievelijk wel was, zoals het Red-Team ontdekt heeft.
Big Brother zou gezegd kunnen hebben "Privacy is Openbaarheid", maar het Red-Team maakt deze vergissing niet.
Big Brother zou gezegd kunnen hebben "Privacy is Openbaarheid", maar het Red-Team maakt deze vergissing niet.
Lees even bet artikel. Het gaat hier NIET om dat datalek met ongewenst delen van persoonsgegevens. Het gaat om een kennisnet, raadplegen van informatie. Raadplegen van informatie in hard copy formaat ofwel boek zou je in een bibliotheek doen.
Nu sla je openbare en niet openbare informatie op dezelfde wijze op, openbare boeken, telefoonboeken, persoonlijke contactlijsten dossiers over personen. De datakwalificatie geeft als het goed is het risco aan.
Een red-team lijkt tegenwoordig een technisch vinkenlijstje van gangbare tools te zijn. Je hebt prima door waar ik heen wilde.
Big brother in new speak: "privacy is openbaarheid" .
De technische kwetsbaarheid op de sysgemen met naslaginformatie zal door de tools gevonden zijn. Deze wordt in de openbaarheid gebracht als een datalek. Ja het red team maakt dat soort fouten.
Het oast geheel in het nederlandse befehl ist befehl houding met een dictatoriele insteek en het volledig willen volgen van een ieder.
Ds eis ligt nu dat elje ambtenaar 24*7 in woord beeld en schrift gevolgd moet worden want andsrs is de kamer niet geinformeerd.
Zie je de big brother dreigin, arguent privacy, openbaarheid zo sel?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
