Risicoanalyse: SMS-authenticatie EPD is onveilig

09-09-2010 15:26 | Door Pim van der Beek | Lees meer artikelen over: Authenticatie, Encryptie, EPD | Lees meer over de bedrijven: ministerie van Volksgezondheid, Welzijn en Sport, Radboud Universiteit, Govcert | Er zijn 8 reacties op dit artikel | Permalink
Arts met stethoscoop

Het is niet veilig om patiënten via sms-authenticatie toegang te geven tot hun gegevens in het Elektronisch Patiëntendossier (EPD). Dat stellen de Radboud Universiteit Nijmegen en onderzoeksbureau PricewaterhouseCoopers na een risicoanalyse die is uitgevoerd in opdracht van het ministerie van Volksgezondheid, Welzijn en Sport (VWS).

Het is de bedoeling dat patiënten via sms een authenticatecode krijgen toegestuurd om met DigiD inzage te krijgen in hun dossier.  Het computerincident-responsteam van de Nederlandse overheid, Govcert, concludeerde eerder echter dat gsm-verkeer afgeluisterd kan worden door gebrekkige versleuteling van de gegevens. Daarop besloot het ministerie van VWS een onderzoek te starten naar de gevolgen voor de authenticatie bij het epd.

De onderzoekers becijferen dat kwaadwillenden met apparatuur van rond de tweeduizend euro de sms-signalen in principe kunnen afvangen. In het meest ongunstige geval zou de kwetsbaarheid binnen een half jaar kunnen worden blootgelegd. Hoewel de kans op verlies van vertrouwelijke informatie dus 'matig' is, zal de imagoschade die gepaard gaat met een kraak van het EPD echter hoog zijn, zo oordelen de onderzoekers. Omdat sms-authenticatie daarnaast een relatief zwakke beveiligingsmethode is, is deze methode bovendien in strijd met wet- en regelgeving.

Andere authenticatiemiddelen

De onderzoekers adviseren de onderzoekers om patiënten zich via andere middelen te laten authenticeren, zoals een elektronische identiteitkaart, of een conversietabel die de sms-codes zwaarder versleutelt.

Ook het gebruik van een ander versleutelingsstandaard door telecomproviders zou een oplossing kunnen zijn. Nu versleutelen die het gsm-verkeer nog via het A5/1 algoritme. Opvolger A5/3 is veiliger, maar wordt naar verwachting pas over enkele jaren ingevoerd. Dat komt ook omdat bestaande toestellen de standaard nog niet allemaal ondersteunen.

Reacties op dit artikel
De redactie vindt deze reactie: OKRudy, 09-09-2010 18:34
Van een mug een olifant maken. Wie geeft er nou twee ruggen uit om uit te vinden wat zijn buurman mankeert?
De redactie vindt deze reactie: OKKees Van Liere, 09-09-2010 20:50
Ja hoor, iedereen twijfelt aan de veiligheid. Maar intussen staan mijn gegevens bij UWV, SVB en Belastingdienst toch ook op internet ? Heet dat niet voorinvullen ?
Ik snap er niets meer van.
De redactie vindt deze reactie: OKMario Verhaeg, 10-09-2010 7:43
Wat ben ik blij dat ik geen toestemming heb gegeven toendertijd, het ene "onveilig" bericht na het andere begint te verschijnen... Dat ze maar eens eerst zorgen dat ze alle zaakjes op orde hebben voordat ze gaan implementeren...
De redactie vindt deze reactie: OKjan, 10-09-2010 9:42
En waarom kan ik bij de postbank dan wel betalen met SMS? Is dat wel veilig dan?
De redactie vindt deze reactie: OKwplas1, 10-09-2010 12:27
Oplossing voor afgewezen EPD
 
Onmisbare medische gegevens altijd bij de hand
 
Ambulancepersoneel, maar ook medisch specialisten en andere artsen vragen patiënten vaak de oren van het hoofd bij een ongeval of een onverwacht artsenbezoek.
 
Een Elektronisch Patiënten Dossier (EPD) zou uitkomst bieden, maar de invoering hiervan laat op zich wachten. Daarom is het voor veel mensen van belang zélf hun EPD bij zich te dragen.
 
Op tijd de juiste medische informatie achterhalen is voor artsen en ander medisch personeel een enorme klus. De praktijk wijst uit dat zelfs binnen één ziekenhuis doktoren niet in één oogopslag kunnen zien hoe een collega arts zijn patiënt behandeld heeft. Ook bij verandering van ziekenhuis blijkt het voor de instellingen erg moeilijk onderling informatie uit te wisselen.
 

 
Elektronisch dossier
 
De invoering van het Elektronisch Patiënten Dossier (EPD) kan medisch personeel helpen om in elke situatie de gegevens van cliënten snel voorhanden te hebben. De invoering hiervan lijkt echter nog ver weg; belangrijk dus om als patiënt zelf alle informatie bij de hand te hebben.
 
Wim Plasmeijer uit Leiderdorp, eigenaar van MijnMedischDossier, heeft zich in het informatieprobleem verdiept. “Veel mensen lopen rond met een SOS talisman om de nek, waarin beperkte medische informatie op een klein papiertje staat. Eigenlijk is dat niet meer van deze tijd”. Naast zo’n beperkte talisman dient men ook nog een (papieren) medicijnpaspoort op zak te hebben. “Maar hoe leg ik in het buitenland uit dat ik geen MRI scan mag hebben omdat ik drie stands in mijn aderen heb?” Hiervoor is de LifeSafe ontwikkeld: De kleinste USB stick ter wereld, met daarop alle medische informatie van de drager. Deze stick is verwerkt in een modern sieraad van Nederlandse makelij. De USB stick is overal ter wereld te openen voor elke arts of apotheker die een computer tot zijn beschikking heeft.
 

 
Dossiers opvragen
 
Via de website www.lifesafe.eu wordt men gecoacht hoe de juiste medische gegevens te verzamelen. Bij de apotheek krijgt men zijn medicijnenpaspoort, je kan er vaak zelfs op wachten. De huisarts kan men bellen en vragen om alle gegevens op een Cd-rom te zetten. Dit gebeurt ook bij de radiologieafdelingen van ziekenhuizen. Die informatie is meestal met een week in huis. Vervolgens moeten patiënten bij de afdeling dossierbeheer van het ziekenhuis hun dossier opvragen. Op de website vindt men voorbeeldbrieven hoe dit te doen. Zij zorgen ervoor dat de informatie van de diverse specialistische afdelingen verzameld wordt. Dat zijn vaak heel wat A-4tjes. Al deze informatie stuurt de klant dan aangetekend naar MijnMedischDossier, waar alles wordt ingescand en via de juiste protocollen op een kleine USB stick gezet. Elke klant kan aangeven welke informatie op de stick voor iedereen toegankelijk is, en welke gegevens alleen via een password te benaderen zijn. Zo wordt misbruik voorkomen. Van de gegevens wordt niets opgeslagen en alles gaat retour naar de klant. Natuurlijk kunt u het ook zelf doen als de techniek aanwezig is. In dat geval kan de LifeSafe apart besteld worden inclusief usb-stick met beveiligingsprogramma.
 

 
Leven gered
 
De eerste LifeSavers zijn al in omloop. En zelfs met een proefoplage van minder dan 20 is er al een leven gered. “Een man die onlangs een nieuwe hartklep had gekregen zakte tijdens een uitstapje in Italië in elkaar. Zijn vrouw sprak geen woord ‘over de grens’, maar kon wel wijzen op de stick in het sieraad dat haar man om zijn hals droeg. Hierdoor kon men in het Italiaanse ziekenhuis alle medische gegevens van de man inzien. Zijn vrouw kreeg later te horen dat zonder al deze informatie, haar man niet meer had geleefd. Bijzonder toch, dat hij zo’n stickje bij zich droeg?”
 

 
Positief
 
Diverse patiëntenorganisaties reageren positief op het initiatief. Marcel Heldoorn (Nederlandse Patiënten Consumenten Federatie): "De LifeSafe kan in een behoefte voorzien doordat patiënten zich zekerder kunnen voelen als zij belangrijke medische informatie op een herkenbare manier bij zich dragen." Veel mensen zullen baat hebben bij het dragen van de LifeSafe. “Je weet nooit waar je welke informatie over je medische historie nodig hebt. De stick kan je leven redden.”
 

 
www.mijnmedischdossier.eu / www.lifesafe.eu.
De redactie vindt deze reactie: OKTheo van Raaij, 10-09-2010 13:58
Door eerst via een beveiligde web pagina de gebruikersnaam en het wachtwoord te vragen, daarna een code per sms naar de gsm van de gebruiker te zenden (die tijdelijk geldig is), die code vervolgens weer op een volgende beveiligde web pagina in te laten voeren, word het systeem alsnog veilig.
De hacker dient dan namelijk de gebruikersnaam, het wachtwoord van de gebruiker en de per sms ontvangen code te hebben om bij de gegevens van de gebruiker te komen.
Het opvangen van de sms code heeft dan dus weinig nut, omdat de andere 2 gegevens nog missen.
De redactie vindt deze reactie: OKAnoniem, 10-09-2010 14:13
Het is niet te geloven hoe het NICTIZ al jaren een zooitje maakt van dit EPD project.
 
Er zijn werkende oplossingen reeds in het buitenland die security technisch volledig dekkend zijn echter NICTIZ (Gert-Jan van Boven- directeur) weigert al jaren naar Best Practices te kijken en evalueren en kost wat het kost wil men zelf gaan bouwen wat grotendeels als in de markt bestaat en als proven techology kan worden aangemerkt.
 
Als burger zie ik dit als gigantische geld-verspilling want het EPD had allang in de lucht kunnen zijn en ook security technisch verantwoord.
De redactie vindt deze reactie: OKwim, 10-09-2010 16:32
Beste mensen, neem het toch allemaal zelf in de hand. Ik heb voor mijn hele gezin een LifeSafe aangeschaft via lifesafe.eu.
Eerst overal mijn medische gegevens aangevraagd en opgestuurd naar mijnmedischdossier.eu. Ze hebben alles prima gedigitaliseerd en op de kleinste usb stick ter wereld gezet en verpakt in een mooi zilver sieraad. Ik draag het om mijn pols en mijn vrouw en dochter als hanger om hun nek. Hulpverleners zien gelijk waar het omgaat door het esculaap wat erop staat en aan de achterkant staat ook nog eens "medical data inside". Je kan het in diverse uitvoeringen krijgen en het mooie is: het werkt ook nog eens in het buitenland.
3 vacatures
Security officer

Ministerie van Veiligheid en Justitie, Immigratie- en Naturalisatiedienst , Rijswijk ZH

Senior ICT-Beheerder

Gemeente Breda , Breda

Systeembeheerder Kantoorautomatisering

SURFsara , Amsterdam

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1563 6.2
Klik voor meer info2 1299 6.0
Klik voor meer info3 1266 6.2
Klik voor meer info4 1069 6.2
Klik voor meer info5 976 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 521 6.1
Klik voor meer info9 397 6.0
Klik voor meer info10 391 6.2