Tag: patient

Hacker gijzelt elektronische patientendossiers

  door

Onwaarschijnlijk hè? Het voorbeeld dat we gisteren aanhaalden waarbij een scriptkiddie het niet door had dat hij ziektebeelden en patiëntgegevens door elkaar gooide? Gelukkig is zoiets helemaal niet mogelijk, of toch?

Een aanvaller is er onlangs in geslaagd om op de server van een Amerikaanse kliniek in te breken en de aanwezige elektronische patiëntendossiers voor losgeld te versleutelen (bron).

Informatiegijzeling. We hebben het er in het verleden ook al eens over gehad maar het lijkt toch nog niet echt bekend te zijn bij de meeste mensen. Hoe het in zijn werk gaat is vrij simpel (althans op papier): je breekt in op een netwerk en versleuteld alle data die je daar vindt. Vervolgens informeer je de organisatie en eis je losgeld voor het vrijgeven van de sleutels.

Als je het zo leest kan een kiddie de was doen. Nu was het, conform de definities, in dit voorbeeld gaan scriptkiddie maar een “echte” hacker (wow) dus gelukkig lopen we een stuk minder risico (want daar weren er niet zoveel van, weet je nog?). Maar dat valt te bezien. Want wie zegt me inderdaad dat dit een hacker was en geen scriptkiddie? Daarmee komen we terug op het feit dat hacker, cracker, scriptkiddie gewoon een definitiekwestie is waarbij we mensen het liefst in een hokje willen duwen (al is het alleen maar om het voor ons overzichtelijk te houden).

Nee, zoals eerder gesteld gaat het helemaal niet om de naam die we er aan hangen maar om de daad die ze verrichten. Een overvaller die binnenkomt met een op een wapen gelijkend waterpistool noemen we toch ook niet ineens een kwajongen?

Maar goed. Je zult met spoed naar deze kliniek moeten. Nog even en je blaast je laatste adem uit als je niet snel geholpen wordt. Even het dossier erbij…wat een vreemde 1-en en 0-en staan er in dat dossier? Nu maar snel het losgeld betalen: operatie geslaagd…patiënt overleden. Welkom in de realiteit.

Utrechts ziekenhuis plakt wachtwoord op beeldscherm

  door

Bij informatiebeveiliging denken we nog veel aan allerlei technische maatregelen om ons netwerk goed beveiligd te houden. En, eerlijk is eerlijk: die technische maatregelen zijn vaak al ingewikkeld genoeg. Maar we vergeten nog wel eens dat deze maatregelen alleen werken als ook de organisatorische maatregelen erbij aansluiten.

Leuk dat we een erg ingewikkeld wachtwoordsysteem hebben ingevoerd, maar als de gebruikers niet weten hoe daar mee om te gaan dan draagt het erg weinig bij aan de beveiliging.

De inloggegevens van de computers voor spoedeisende hulp van het UMC Utrecht waren vorige week op televisie te zien. Tijdens een uitzending van het EO-programma Ingang Oost was te zien hoe gebruikersnaam en wachtwoord op het beeldscherm van één van de computers was geplakt (bron).

Nu kunnen we natuurlijk eenvoudig stellen dat de medewerkers zich aan het beleid moeten houden (en ik mag hopen dat er ergens in het beleid of de richtlijnen staat dat het wachtwoord geheim moet worden gehouden), maar dat zou te makkelijk zijn. Misschien vind je het logisch dat mensen een inlognaam en wachtwoord niet op de pc plakken. En ja, als je inderdaad gebruik maakt van je eigen inlognaam en wachtwoord dan zou je dat moeten kunnen onthouden.

Maar denk je eens in. Je staat inderdaad op de spoedeisende hulp van een ziekenhuis. Een patiënt wordt binnen gebracht en jij moet snel inloggen. Grote kans dat je daar niet beschikt over een eigen inlognaam en wachtwoord (ja ja, dat zou wel moeten, maar laten we het ook praktisch bekijken, het gebeurt gewoon niet). Als je het wachtwoord niet weet dan moet je de helpdesk bellen voor een password reset.

Zie je het voor je? Iemand in levensgevaar en jij ben als 4de aan de beurt bij de helpdesk (als je mazzel hebt, want anders is de helpdesk na 17.00 uur gewoon gesloten en zoek je het zelf maar uit). Nee, we kunnen natuurlijk onze kop in het zand blijven steken en we kunnen mooi in ons beleid schrijven dat iedereen een eigen inlognaam en wachtwoord heeft dat hij of zij geheim moet houden, maar zo werkt het in de praktijk niet voor alle functies.

Wat dan wel weer erg is, is het feit dat het hier om een uitzending van een jaar geleden ging. Het ziekenhuis loopt dus al ruim een jaar dit risico (sterker nog: waarschijnlijk lopen ze dit risico al jaren). Grote kans is dat ze nu vanuit het beleid de maatregelen gaan aanscherpen: het briefje wordt verwijderd en de mensen moeten weer gewoon met hun eigen inlognaam en wachtwoord inloggen.

Inmiddels weten we dat dat dus niet zal gaan werken en is het bijna wachten op het eerste echte slachtoffer. Nee, wil het ziekenhuis dit echt goed doen, dan gaan ze op zoek naar een andere manier van inloggen. Een manier die voor de medewerkers van de spoedeisende hulp ook werkt. Doen ze dat, dan begrijpen ze dat informatiebeveiliging ondersteunend is aan de dagelijkse gang van zaken. Doen ze dat niet, dan steken ze nog steeds hun kop in het zand en is het wachten op een volgend risico.