Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Informatiebeveiliging ziekenhuizen is wassen neus

 

Expert

Erik Westhovens
CTO, DinamiQs. Expert van voor het topic .

Uit onderzoek van het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg bleek onlangs dat de beveiliging van computersystemen in ziekenhuizen zeer slecht is. Een constatering die voor expert Erik Westhovens niet onverwachts kwam. Hij ging de afgelopen tijd zelf op pad en controleerde verschillende Nederlandse ziekenhuizen. Hieronder zijn bevindingen.

Op 1 oktober heb ik de stoute schoenen aangetrokken en ben ik een dagje op zoek gegaan naar informatie. Gewoonweg om te kijken hoe het is gesteld met de beveiliging van gegevens die over ons liggen opgeslagen. Deze keer heb ik gekozen voor het ziekenhuis. Bij dit soort 'illegale' acties probeer ik zo objectief mogelijk te zijn, maar loop ik ook behoorlijke risico's.

Dus eerst goed voorbereiden zonder iemand wakker te maken. Na overleg met mijn advocaat gaf deze meteen aan dat ik een paar dagen extra moest plannen voor kost en inwoning. Dus 2 oktober en 3 oktober vrijgehouden in mijn agenda en op pad.

09:45 Ziekenhuis ergens in de buurt van Amsterdam.

Met behulp van mijn EHBO-kennis eerst mijn linkerarm in het verband gezet, en een mitella omgedaan. Dan lijkt het al heel wat. Auto in de parkeergarage en de poli ingewandeld. Mij netjes bij de informatiebalie gemeld en daarna hup, op zoek naar een werkplek. Binnen vijftien minuten vond ik een werkplek waar niemand zat. USB-stickje erin en wat leuke dingen getest. Vijf minuten later bleek dat ik met gemak administrator-rechten had, en ik kon zomaar browsen door files, servers en bestanden openen. Test geslaagd. Dus op weg naar buiten. Pijnlijk gezicht opzetten natuurlijk en hop naar de garage.

Pluspunt! Ik werd bij binnenkomst netjes gevraagd wat ik kwam doen, maar met een pijnlijk gezicht en even naar mijn arm kijken was er verder geen probleem.

Minpunt! Diverse werkplekken stonden onbeheerd ter beschikking. Het was alleen nog zoeken naar de beste plek om onopgemerkt te blijven.

10:55 In de buurt van Utrecht.

Mitella weer om, de tweede poging. Netjes naar binnen en rechtstreeks naar de poli. De eerste de beste lift naar boven en op zoek naar een werkplek. Hier was het een stuk moeilijker om een werkplek te vinden. Eindelijk een plek gevonden waar ik stilletjes mijn gang kon gaan. Een medewerker werd opgepiept en liep weg. Snel naar de plek en ...Oeps, ctrl-alt-del. Dat ging dus niet werken.

Na een half uurtje de poging maar opgegeven.

Pluspunt! Het is me niet gelukt.

Minpunt! Er stonden enkele pc's onbeheerd, maar er waren te veel medewerkers in de buurt.

12:30 Een ziekenhuis in de buurt van Tilburg.

Heel goed geregeld. Ik kon meteen naar binnen en had binnen vier minuten al een werkplek te pakken waarop ik mijn werk kon doen. Dat ging snel. Na vijf minuutjes browsen op het netwerk op zoek naar wat gegevens en weer snel de deur uit. Binnen vijftien minuten zat ik alweer in de auto.

Pluspunt? Geen idee.

Minpunt! Daar ga ik dus nooit meer heen. Geheimen liggen daar in no-time op straat.

Dan maar weer richting huis. Ik had me voorgenomen om er drie te bezoeken, maar het was dermate gemakkelijk dat ik een vierde nog wel aandurfde.

15:15 Een ziekenhuis in Limburg.

Met een van pijn vertrokken gezicht naar binnen. Een vriendelijke dame ving me netjes op en wees me de weg naar de poli. Maar daar wou ik niet zijn. Hop met de lift omhoog en de afdelingen op. Na kwartier ronddwalen vond ik een mooie werkplek. Afgelegen, geen mens te zien. De medewerker van die werkplek verliet de afdeling net, en ik kon snel mijn gang gaan. USB-stickje erin. Hee? Dat is nieuw? Die werd meteen herkend en ik had er een drive-letter bij. Dat was wel heel gemakkelijk. Snel een toolkitje gestart en op zoek naar info. Admin-wachtwoorden opgezocht, en een rdp naar de AD-controller. Even users en computers starten en meteen een SQL-server gevonden.

Eens even kijken. Snel een query gebouwd en deze laten zoeken naar mensen met dezelfde achternaam als ik. En binnen vijf minuten had ik full access tot mijn eigen dossier. Nu nog snel wegwezen.

Stickie eruit en de pc uitgezet om te voorkomen dat de medewerker zou kunnen zien dat er iemand iets had gedaan. Bij het verlaten van de afdeling kwam de medewerker terug en vroeg me hoogstverbaasd wat ik daar deed. Oeps, betrapt. Met mijn pijnlijk gezicht vertelde ik hem dat ik de weg kwijt was en op zoek was naar de poli. Hij keek naar mijn arm en twijfelde even. De spanning schoot er even bij me in, maar de medewerker werd heel vriendelijk. Ik kreeg meteen een paracetamol van hem, en hij wees me de weg naar de poli.

Behoorlijk geschrokken dat ik bijna was betrapt - ik zag me al een nachtje in de cel - stapte ik in mijn auto.

Het is niet zo best gesteld met de gegevensbeveiliging in onze ziekenhuizen. Alle dossiers staan digitaal op een netwerk en het is relatief gemakkelijk om daar toegang toe te krijgen. Deze dag toonde voor mij duidelijk aan dat het makkelijk is om in een ziekenhuis een werkplek te vinden die je kunt gebruiken. Alleen in het ziekenhuis in de omgeving van Utrecht lukte het niet. De enige pc die ik kon vinden was netjes vergrendeld met een screensaver. Buiten dit ziekenhuis om was het overal mogelijk om de usb-stick met tools te gebruiken. Verder was er geen beveiliging tegen een veel gebruikt lek, wat het mogelijk maakt om admin-wachtwoorden in te zien. Het zoeken naar de renamed admin koste me meer tijd dan het ophalen van het wachtwoord.

Men kan zich wel voorstellen wat er gebeurt als iemand dit in het Bronovo-ziekenhuis in Den Haag doet en daar toegang zou hebben tot gegevens over het koninklijk huis. Menig blad in Nederland zou dolgraag echo's of rontgenfoto's willen zien. Je hoeft ze niet eens op een disk of stick te zetten. SMTP stond in alle bezochte ziekenhuizen open, en met een kleine SMTP-mailer kun je vanaf een command line snel gegevens de deur uit krijgen. Dat verkleint de risico's al behoorlijk. Als je al gepakt word, heb je in ieder geval niets bij je.

Er moet nog erg veel gebeuren om ook deze gegevens veiliger te maken. De eerste stap zou een goed securitybeleid zijn. Daar begint alles mee.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2735012). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Bizar. vraag me wel af hoe jouw dossier in een SQL server terecht komt van een willekeurig ziekenhuis in Limburg. (tenzij het je eigen ziekenhuis is natuurlijk) Ik kan me goed voorstellen dat de gegevens die daar rondslingeren bijzonder interessant zijn voor de farmaceutische maffia. In dat zelfde licht houd ik ook mijn hart vast kijkend naar de EPD ontwikkelingen.

Dat weten we toch al? NEN7510 is niet voor niets in het leven geroepen. Helaas, lage budgetten, te kort aan kennis en de wil van uit het ziekenhuiswezen om er daadwerkelijk iets aan te doen... het EPD is daar ook maar weer een voorbeeld van. Als de overheid over 1 nacht ijs gaat, hoe kan je dan verwachten dat een ziekenhuis het wel doet. Goed huisvaderschap noemen we dat, deze vader doet aan huiselijk geweld, geeft een slecht voorbeeld en dat wordt dan gevolgd.

Joao,
Ja, het was inderdaad een ziekenhuis waar ik een aantal keren heb mogen vertoeven.
Logisch dus dat daar een dossier van mij aanwezig was.
Ben benieuwd wat een aanklacht wegens privacyschending zou doen?

Wat knap zeg! Zomaar achter pc gaan zitten van iemand die met patientenzorg bezig is en misschien wel voor een echte patient weg moest. Wat ga je nu aantonen? Dat je bij een roofoverval zomaar medicijnen mee krijgt en dat die beveiliging ook zo lek als een mandje is? Get a life!

Meneer Westhovens is geen journalist, maar technology director bij een bedrijf in Almere. Dit is een beveiliginsaudit zonder toestemming vooraf. Hoewel de resultaten belangrijk zijn is het op deze manier uitvoeren van zo'n test samen het publiceren van de resultaten ronduit onprofessioneel en onethisch.

Voor mij is dit bedrijf in de toekomst geen serieuze partner meer; ik zal het zelfs toejuichen als de 'geteste' ziekenhuizen aagifte zouden doen van computervredebreuk en gegevensdiefstal.

Er heerst bij de reakties een stuitend gebrek aan gevoel voor privacy, deze test was nodig en uiterst zinvol. Ik hoop dat ziekenhuizen eindelijk iets aan die toestanden gaan doen.

Tja, deze manier van doen is niet goed voor het imago van de ICT sector. Een beetje doortastende ICT'er die je op bezoek krijgt kun je dus niet vertrouwen. Het zou zo maar kunnen zijn dat jouw bedrijf volgende week in een column staat. Ik zou die aanpak niet gekozen hebben Erik, en het kan echt anders hoor.

Bij een voormalige werkgever heb ik een aantal jaren geleden rond het onderwerp WBP gratis een audit met gedetailleerde rapportage en advies aangeboden aan verscheidene instellingen. Om even in jouw buurt te blijven: rond Utrecht waren er twee ziekenhuizen die dat aanbod geaccepteerd hebben. Dat ging natuurlijk een stuk verder dan de beschreven steekproef. De rapportages zijn met de instelling besproken en adviezen zijn meegenomen in de beleidsgesprekken.

Het mooie is dat daar op basis van een vertrouwensrelatie veel meer getoetst kon worden, dat er serieuze gesprekken plaats hebben gevonden met elke betrokkene (bredere bewustwording) en dat de instelling niet in paniek hoefde te raken (hetgeen nooit goed is in een zorginstelling) vanwege een publicatie.

Kortom, het kan anders, zelfs met een beter resultaat voor de klant.

In principe heeft van der Feen gelijk.

Probleem is dat het gebrek aan zorgvuldigheid in de omgang met patientengegevens inmiddels 15 tot 20 jaar lang aktueel is (ik heb in die branche gewerkt).

Wanneer de zorginstellingen niet de minste aandacht besteden willen aan deze zorgvuldigheid is een radikale konfrontatie soms nodig om de luitjes uit hun slaap te halen.

Na al die jaren geloof ik er eigenlijk niet in dat het beter wordt, we kunnen wachten op het eerste grote schandaal, pas dan is de motivatie aanwezig om maatregelen te treffen.

Mensen die dit "onderzoek" afdoen als irrelevant of onprofessioneel zouden eens goed moeten nadenken. Dit is de enige manier om aan te tonen, dat van de beveiliging van medische gegevens in ziekenhuizen niets deugd. Echter: technisch is alles mogelijk en kan eea goed worden beveiligd, maar organisatorisch is er "laksheid" en moet "alles kunnen". Veel mensen denken bij beveiling gewoon niet na over de consequenties (van lankmoedig omgaan met beveiliging) en ervaren het als overdreven regeltjes en moeilijk doen.............. maar het zullen jou medische gegevens maar zijn die op straat liggen.

Kortom: denk goed na en volg de regels van beveiling (gebruik je eigen account en geef je wachtwoord niet weg). Daarnaast moet ICT-beveiliging werkbaar zijn.

Een onorthodoxe aanpak is soms nodig om misstanden aan het licht te brengen. Aan de bedoeling van Westhovens hoeft niet getwijfeld te worden. Van te voren netjes vragen of je een securitycheck mag doen levert 9 van de 10 keer een gekleurd (want men is gewaarschuwd) beeld van de situatie. Of het ethisch verantwoord is dit te doen laat ik in het midden. Overigens toont Westhovens aan dat het belangrijkste lek in systemen het gevolg is van onachtzaamheid van de mensen die er mee werken. Dat is de belangrijkste les.

Persoonlijk voel ik me niet aangetrokken tot een testmethode als beschreven in het artikel. Zoals echter ook in de diverse reacties is te lezen kan het soms wel handig zijn om een punt te maken. Ik ben dan wel benieuwd wat de opvolging van dit experiment is geweest. Net als bij het ontdekking van een fout in software geldt hier, naar mijn mening, dat je eerst de fabrikant (in dit geval ziekenhuis) op de hoogte stelt van je bevindingen alvorens over te gaan tot publicatie.

Het is natuurlijk wel zo dat het een zorgelijke situatie betreft en dat het hoog tijd wordt dat er iets aan de beveiliging van onze medische gegevens wordt gedaan.

Natuurlijk is het maken van een punt goed als dat het juiste effect teweegbrengt zonder teveel collateral damage te veroorzaken.

Ik denk dat deze actie schade toebrengt aan het al niet geweldige imago van de ICTer, er niet toe leidt dat het probleem breder wordt opgelost en dus de patient in het algemeen niet helpt. Schrikreacties hebben vaak minder de voorkeur dan weloverwogen besluiten.

Trouwens, als we het hebben over risicomanagement moeten we nog wel kijken naar hoe groot de kans is dat het gebeurt, wat de schade zou zijn als het gebeurt en wat de inspanning zal zijn om het probleem te verkleinen. Er is ook nog iets nodig als gemotiveerde dader. En natuurlijk, er is altijd wel een gek te vinden, maar er is ook vast wel een gek te vinden die ergens benzine in een brievenbus wil gooien en daarna in de hens wil steken. De schade kan daarbij mensenlevens betekenen, maar niemand schroeft nu daarom z'n brievenbus dicht. Dus wie weet is het uiteindelijk wel een risico dat we met z'n allen willen nemen.

Mijn punt is dat Erik minder schade zou hebben veroorzaakt en meer effect zou hebben gehad voor de informatieveiligheid van de patient door instellingen een gratis audit aan te bieden en dat input te laten zijn aan bijvoorbeeld een combinatie van directie en patientenvereninging, allemaal onder NDA natuurlijk. Dan heb je het over oplossen van problemen v??rdat ze ontstaan.

Natuurlijk is het maken van een punt goed als dat het juiste effect teweegbrengt zonder teveel collateral damage te veroorzaken.

Ik denk dat deze actie schade toebrengt aan het al niet geweldige imago van de ICTer, er niet toe leidt dat het probleem breder wordt opgelost en dus de patient in het algemeen niet helpt. Schrikreacties hebben vaak minder de voorkeur dan weloverwogen besluiten.

Trouwens, als we het hebben over risicomanagement moeten we nog wel kijken naar hoe groot de kans is dat het gebeurt, wat de schade zou zijn als het gebeurt en wat de inspanning zal zijn om het probleem te verkleinen. Er is ook nog iets nodig als gemotiveerde dader. En natuurlijk, er is altijd wel een gek te vinden, maar er is ook vast wel een gek te vinden die ergens benzine in een brievenbus wil gooien en daarna in de hens wil steken. De schade kan daarbij mensenlevens betekenen, maar niemand schroeft nu daarom z'n brievenbus dicht. Dus wie weet is het uiteindelijk wel een risico dat we met z'n allen willen nemen.

Mijn punt is dat Erik minder schade zou hebben veroorzaakt en meer effect zou hebben gehad voor de informatieveiligheid van de patient door instellingen een gratis audit aan te bieden en dat input te laten zijn aan bijvoorbeeld een combinatie van directie en patientenvereninging, allemaal onder NDA natuurlijk. Dan heb je het over oplossen van problemen v??rdat ze ontstaan.

citaat:

"oplossen van problemen voordat ze ontstaan"

Van 1988 tot 1991 heb ik bij een bedrijf gewerkt dat ziekenhuizen automatiseerde. Dit was toen al een punt van discussie. Is 20 jaar niet genoeg om te begrijpen dat er iets gedaan moet worden?

Bij zo weinig interesse vanuit de zorgsector vindt ik die aktie meer als legitiem. Zachte heelmeesters maken stinkende wonden is een spreekwoord dat langzaam ook van toepassing is op de laksheid om patientengegevens goed te beveiligen.

Prachtig verhaal Eric
Doet me goed om te zien dat je daadwerkelijk bewezen hebt vanuit de praktijk, en vanuit eigen ondervinding, dat de beveiliging in ziekenhuizen niet deugd.

Deze real-life bezoekjes zeggen meer dan menig "bla bla bla security, concepten, beleids" overleg ver van de werkvloer.

Ga je nog meer dingen onderzoeken op deze manier?

Het is inderdaad een prachtig verhaal. Wie zegt dat het ook waar gebeurd is? De auteur laat zich niet meer horen sinds er kritiek wordt geuit.

Aan allen.

De gekozen methode is niet de meest fijne, maar ik ben van mening dat openheid een belangrijk goed is. Na alle reacties een aantal keren goed doorgelezen te hebben, merk ik op dat ieder het op zijn manier interpreteert. Nee, het zal het beeld van de ICT'er niet aantasten. belangrijkste is dat aangetoond werd dat de mensen in de ziekenhuizen slecht en zelfs nalatig omgaan met hun account. Men moet zich realiseren dat een computer bedoeld is om informatie te ontsluiten. Je account met bijhorend wachtwoord is bedoeld om die ontsluiting te beveiligen.
Daar zit hem het grootste issue, en mijns inziens heb ik ook alleen dat en niets meer aangetoond.
Nee, ik heb geen informatie ingezien die ik niet hoef te zien, en nee, ik heb zeker geen informatie meegenomen. Als ik echt iets had willen doen, dan had het wel in de story of de prive gestaan. Die betalen volgens mij best wel wat om inzage te heben in de gezondheidstoestand van een bekende Nederlander.
Er zijn altijd mensen die kritisch reageren, en juist deze mensen zou ik willen vragen wat zij ervan vinden als hun informatie straks gewoon op straat ligt?
Gewoon omdat het kan!
@ doemdenker? Ik weet niet precies over welke kritiek je het hebt. de reacties zijn volgens verwachting. Tegenstanders, voorstanders, en mensen die het goed vinden, maar de methode niet steunen. In een vrij Nederland is dat straks het enige wat ons nog rest. Vrijheid van meningsuiting. En zelfs die is al redelijk ingeperkt. Al het andere ligt straks helemaal vast, en achtervolgt je van geboorte tot dood.
En voor degene die het nog niet wist! Ik ben een heel groot voorstander van het EPD. Ik ben zelfs voorstander van het EKD (elektronisch kind dossier), maar dan wel veilig en betrouwbaar. Straks rijd je met je auto tegen een boom en dan krijg je bloedgroep A positief bijgezet want dat staat in je dossier. Blijkt echter dat je negatief hebt? Wie draait er dan voor op? Wie is verantwoordelijk? Ieder kan er in principe redelijk eenvoudig bij. Maar jij! Jij hebt echt een probleem. Ieder die een beetje medisch geschoold is weet wat er met je gebeurt als dat scenario je overkomt. Nu word er een contra test gedaan. Dat kan in twee minuten.
Gebeurt dat straks ook nog? het ziekenfonds zal wel zeggen nee, want de test kost al snel een eurootje of 25. Besparen in de marge.
Met vriendelijke groet en allen in ieder geval bedankt voor jullie wel of niet kritische antwoord.

Ben het geheel eens met Erik, heb zelf met toestemming van een Medisch specialist een audit gedaan op zijn poli.

De beveiliging is inderdaad beneden alle peil, onder andere met een simpele keylogger achter in de USB poort kun je al informatie vergaren.

Waarom wordt b.v. autorun niet uitgeschakeld, en USB poorten niet geblokkeerd voor medewerkers die dit in het geheel niet nodig hebben, hierbij verwijs ik naar het rapport van de AIVD die wijst op de gevaren van de USB stick en dan nog maar niet te spreken over de imago schade. Syteem beheerders zijn soms ook wel eens te gemakzuchtig!! Weet ik uit ervaring!

Deze actie is nog maar een milde versie van de risico's waaraan ziekenhuizen blootstaan. Lees maar eens het artikel

http://hbr.org/2009/10/when-hackers-turn-to-blackmail/ar/1

over een ziekenhuis wiens documenten gegijzeld worden. Ziekenhuizen moeten niet alleen hun gegevens beter beveiligen, maar ook fall-back scenario's testen voor het geval hackers misbruik maken van lekken. Dat is dus nog een stap verder.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×