Een kwart van de Nederlandse ziekenhuizen en GGD's maakt voor hun websites en mailservers geen gebruik van basale beveiligingsstandaarden, wat kan leiden tot spoofing en het onderscheppen van gegevens. Dat stelt de Internet Cleanup Foundation op basis van eigen onderzoek naar bijna 5900 domeinen van 116 ziekenhuizen en GGD's dat via Basisbeveiliging.nl toegankelijk is.
Het merendeel van de onderzochte zorginstellingen blijkt van beschikbare beveiligingsstandaarden zoals DNSSEC, STARTTLS, SPF, DKIM, DMARC, HSTS en HTTPS gebruik te maken. Bij een kwart is dat echter niet of niet altijd het geval. Zo zijn er 67 FTP-sites aangetroffen, waarbij data onversleuteld wordt verstuurd. Daarnaast was er voor 137 websites geen hTTPS ingesteld.
Verder blijkt dat DMARC vaker niet (508 domeinen) dan wel (373 domeinen) staat ingeschakeld. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt. Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de 'buitenkant' van een e-mail wordt genoemd, dezelfde is als de afzender die in de e-mail wordt genoemd.
Tijdens het onderzoek werden geregeld 'projectdomeinen' aangetroffen die te maken hebben met een specifieke aandoening zoals de ziekte van Alzheimer, galblaas of depressie. "Het uitwisselen van informatie hiermee vraagt juist om meer vertrouwelijkheid dan de hoofdsite omdat het onderwerp voor de hand ligt. Deze sites lijken vaak onder een ander beleid te vallen dan de hoofdsite. Het gelijk trekken van basisveiligheid op dergelijke websites, of het integreren van deze informatie op de hoofdsite kan dit verhelpen", stelt Elger Jonker, initiatiefnemer van Basisbeveiliging.nl.
De ziekenhuizen en GGD's werden een maand voor de publicatie van de gegevens ingelicht zodat ze maatregelen konden treffen. "Er zijn diverse reacties binnengekomen, vooral met een positieve strekking. Een aantal organisaties was verbaasd over de hoeveelheid domeinen die zijn gevonden: men was niet bewust dat men deze (nog) had", aldus Jonker.
Volgens Jonker wordt via Basisbeveiliging.nl op een eenvoudige manier getoond hoe het ervoor staat. "We meten elke dag of basale veiligheidseisen worden toegepast, daardoor kan men snel schakelen en op groen komen te staan", zo laat hij verder weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.