Auteur:

Twijfels over beveiliging Elektronisch Patientendossier

  door

Ik word er zo langzamerhand goed ziek van…bij wijze van spreken.

Het Elektronisch Patientendossier (EPD) is onvoldoende beveiligd. Daardoor kunnen vertrouwelijke patientgegevens in verkeerde handen komen…Volgens het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zijn de twijfels ongegrond (bron).

Een korte toelichting op het onderzoek geeft wat meer inzicht in de problemen:

Patientgegevens zijn decentraal opgeslagen bij de zorgaanbieders, maar via het Landelijk Schakelpunt (LSP) te raadplegen door geautoriseerde behandelaars. Door in te breken bij het LSP kunnen kwaadwillenden bij alle patientgegevens, want decentraal is niet vast te stellen of er een zorgverlener of een hacker achter de aanvraag zit. Maar ook de mandatering, waarmee artsen medewerkers toegang geven tot het EPD, is volgens de onderzoeker eenvoudig te misbruiken. Een derde probleem is dat gegevens die door de patient worden gewist, nooit helemaal uit het systeem verdwijnen, aldus VWS.

Maar er is nog hoop, er kunnen wel degelijk betere beveiligingsmaatregelen aangebracht worden…helaas moet daar de architectuur grondig voor worden aangepast…en dat gaat zeer waarschijnlijk dus niet gebeuren.
Voorlopig lopen we dus enorme risico’s met het EPD…de beste oplossing? De komende jaren maar niet ziek worden dan.

Onrust GVB-personeel over verborgen camera

  door

Onder het personeel van het gemeentevervoerbedrijf (GVB) in Amsterdam is onrust ontstaan nadat door de leiding een verborgen camera in het herentoilet van een chauffeurshuisje is opgehangen. Met de apparatuur wilde het GVB informatie krijgen over vernielingen in het huisje en over ernstige bedreigingen die op de muren werden gekalkt (bron).

Blijkbaar was de verborgen camera niet zo goed verborgen…anders was hij vast niet gevonden. De inzet van dit middel is zeer waarschijnlijk te zwaar voor het vergrijp, grote kans dat het GVB hier de wet overtreedt. Dit is wellicht een proefprocesje waard zou ik zeggen.

Er is sowieso altijd veel te doen om de inzet van camera’s, de privacy en de vraag of camera’s nu ook echt preventief werken. Maar het gebruik van verborgen camera’s (of heimelijke camera’s, zoals ze dat in de wet noemen) is al helemaal aan specifieke regels gebonden en ik kan me niet voorstellen dat de inzet daarvan in een toilet is toegestaan.

Waar is toch de tijd gebleven dat er gewoon een A4-tje op de (heren) WC hing met een mooie spreuk:
Mannen richt wat beter in het gat…dan worden je schoenen niet zo nat.
Of was dat nu juist wat op de muren werd gekalkt?

Slimme energiemeters bevatten beveiligingslekken

  door

De slimme energiemeters die in de VS in huizen worden geinstalleerd, zijn volgens onderzoekers onvoldoende beveiligd. Kwaadwillenden kunnen niet alleen de meterstand manipuleren, maar ook de elektriciteit op afstand uitzetten (bron).

De techniek staat voor niks en het wordt ons allemaal steeds makkelijker gemaakt. Dit bericht betreft nog de slimme energiemeters in de VS maar het is natuurlijk wachten op het moment dat het ook voor de Nederlandse meters gaat gelden. Ook wordt aangegeven dat het de energiemeters in huizen betreft, maar ook binnen bedrijven zullen steeds meer slimme energiemeters gebruikt gaan worden.

Dynamiet was ook niet ontwikkeld om oorlogen mee te winnen, maar toch werd het daarvoor gebruikt. Slimme energiemeters zijn niet bedoeld om te manipuleren…maar het zal er wel mee gebeuren.

Jaren geleden werd er al gewaarschuwd voor een nieuwe vorm van oorlogvoering, namelijk door de vitale infrastructuur (waaronder water, gas, elektriciteit) lam te leggen. Met de slimme energiemeters is deze vorm van oorlog voeren weer een stap dichterbij gekomen. Wees eerlijk, je moet er toch niet aan denken dat hele regio’s of landen platgelegd worden, de mensen zijn niet meer bereikbaar en deze mensen kunnen het nieuws niet meer ontvangen. Een staat van complete chaos zal ontstaan.

Ik vind het een enge gedachte…als Eneco bij mij aan de deur komt met slimme energiemeters dan ga ik toch eerst nog even goed nadenken wat die nieuwe meter mij nu echt oplevert…automatisch worden de meterstanden dan doorgegeven, maar ach, eenmaal per jaar zelf je meterstanden opnemen en doorgeven kost nu ook weer niet zoveel moeite. Verder krijg ik zelf meer zicht op mijn energieverbruik, maar ik zal er niet minder stroom door gaan gebruiken.

Denk dan ook nog even in over welke gegevens de energiemaatschappij beschikt als ze continu je meter uit kunnen lezen. Een paar slimme programma’s erachter en je weet exact hoe laat iemand iedere dag gaat douchen, hoe vaak hij een kleine of grote boodschap doet…en verzin het maar. Deze gegevens zijn ongetwijfeld commercieel interessant en worden misbruikt of doorverkocht op een wijze die we zelf niet kunnen bedenken.

De overheid wil het gebruik van de slimme energiemeter overigens stimuleren. Ehm…Het Werkplein op de hoek Brammelerstraat-Korte Hengelosestraat wordt vandaag als eerste gemeentelijk pand uitgerust met een zogeheten slimme meter voor energieverbruik (bron).

Ik sla nog even over als jullie het niet erg vinden…soms ben ik een early adapter (zoals ze dat zo mooi noemen) maar in dit geval ben ik liever een follower…ik loop ver achter de muziek aan.

Ov-chipkaart gekraakt met cementlijm

  door

Het lijkt er nu toch sterk op dat de overheid het fileprobleem wil oplossen door gratis openbaar vervoer te introduceren. Over de OV-chipkaart is al veel geschreven en door de Radboud Universiteit was de kaart al gekraakt (op een methode die voor de normale reiziger niet echt makkelijk is). Nee, nu komen ze er achter dat door de kaart in te smeren met cementlijm je gewoon gratis kunt reizen.

De OV-chipkaart is opnieuw gekraakt. Reizigersvereniging Rover kwam erachter dat als de kaart wordt ingesmeerd met cementlijm de poortjes van de metro wel opengaan maar geen geld wordt afgeschreven (bron).

Ik zie een levende handel in cementlijm ontstaan, deze branche zal wel snel uit de economische malaise zijn.

Oh ja, voor diegene de vinden dat ik aanzet tot illegaal gratis reizen…het stond gewoon in het AD…en dat zullen toch meer mensen lezen dan mijn blog.

Senioren vaker slachtoffer van woningovervallen

  door

Het aantal overvallen thuis op senioren stijgt fors. Van 92 gevallen in 2008 steeg het aantal vorig jaar naar 159. Bij de overvallen wordt steeds vaker grof geweld gebruikt (bron).

Op 31 maart nog een jammerlijk voorbeeld:

Twee mannen die dinsdagavond een boerderij in het Gelderse Heteren overvielen, stichtten na de overval brand. De woning brandde daardoor geheel af. De 64-jarige bewoner kwam met de schrik vrij, aldus de politie woensdag (bron).

En dan te bedenken dat er steeds minder TBS-straffen worden uitgedeeld:

Het tbs-systeem staat onder druk. Steeds minder rechters leggen een verplichte behandeling in een forensische psychiatrische kliniek op. Volgens cijfers van het ministerie van Justitie kwamen er in 2009 slechts 107 tbs-patienten bij (bron).

Advocaten en verdachten zien tbs als verkapte levenslang…ja wat verdienen de overvallers dan? Eerst een man van 64 beroven en vervolgens zijn huis in de brand steken. Is daar een betere straf voor dan levenslang?

Ik snap er niks meer van in ieder geval.

Maakindustrie angstig voor lek bedrijfskennis

  door

Een onderzoek in de Maakindustrie, uitgevoerd door Securitas, geeft interessante inzichten, een korte samenvatting:

  • Het lekken van bedrijfskennis naar de concurrent wordt als beveiligingsrisico gezien
  • Bedrijven zijn bang voor sabotage van het productieproces
  • Bedrijven vinden hun bedrijf kwetsbaar voor beveiligingsincidenten
  • Bedrijven zetten zeer beperkt het topmanagement in om draagkracht voor het beveiligingsbeleid te vergroten
  • Een groot deel van de bedrijven doet helemaal niets om de draagkracht en het commitment voor het beveiligingsbeleid te vergroten.

In het westen van Nederland ziet 28 procent van de bedrijven het lekken van bedrijfskennis naar de concurrent als grootste beveiligingsrisico. Hiermee is het de enige regio die dit als belangrijkste risico ziet.

Terwijl bedrijven in de maakindustrie landelijk gezien het meest bang zijn voor sabotage van het productieproces, ziet het westen van Nederland het lekken van bedrijfsinformatie juist als grootste risico. In de andere regio´s staat dit op de tweede of derde plaats. Het westen van Nederland lijkt binnen de maakindustrie een vreemde eend in de bijt. Ze hebben niet alleen een andere inschatting van het beveiligingsrisico, ze vinden hun bedrijf (met 29 procent) ook opvallend kwetsbaarder voor beveiligingsincidenten dan de rest van Nederland. In het oosten is dit percentage bijvoorbeeld 17 procent.

In het midden van Nederland zet slechts 15 procent het topmanagement in om draagkracht voor het beveiligingsbeleid te vergroten. In de rest van Nederland is dit percentage bijna 10 procent hoger. Het topmanagement van bedrijven kan juist heel goed ingezet worden voor het verhogen van de betrokkenheid bij het beveiligingsbeleid. Leidinggevenden hebben een voortrekkersrol. Wanneer zij hun commitment niet regelmatig uitspreken, of vertalen in het bedrijfsbeleid, zal de rest van het bedrijf ook niet volgen. Op deze manier blijft beveiliging een ondergeschoven kindje. 35 procent van de Nederlandse bedrijven in deze branche doet zelfs helemaal niets om de draagkracht en het commitment voor het beveiligingsbeleid te vergroten. Dit is in alle regio´s van het land ongeveer gelijk. (bron).

Website Stegeman gehackt: zijn beveiliging faalt ook

  door

Onderzoeksjournalist Alberto Stegeman is slachtoffer geworden van hackers. Terwijl hij in zijn televisieprogramma anderen wijst op falende beveiligingssystemen blijkt zijn eigen website ook niet waterdicht (bron).

Ja, wie een kuil graaft voor een ander, hoge bomen vangen veel wind…en zo kunnen we er natuurlijk nog wel meer noemen. Waarschijnlijk had meneer Alberto het te druk met kijken naar anderen…verbeter de wereld…

Op zich ben ik er helemaal niet op tegen als iemand een bedrijf wijst op de beveiligingslekken die hij ontdekt heeft, maar over de middelen die ingezet worden om die fouten te achterhalen kunnen we nog wel een boompje opzetten. Vergeet niet dat als wij, gewone burgers, de beveiliging van allerlei bedrijven gaan testen we in overtreding zijn. En terecht als je het mij vraagt. Ik vind het geen prettige gedachte als iedereen maar aan mijn voordeur rommelt om te kijken of hij op slot zit.

Natuurlijk begrijpen we de media aandacht en de kijkcijfers die men wil proberen te bereiken, maar wees dan een vent en kom met oplossingen (geloof me, dat is een stuk moeilijker dan je denkt). Dat is direct ook mijn grootste bezwaar tegen de manier waarop dit soort presentatoren nieuws willen maken, van alles roepen maar geen oplossingen aandragen.

Alberto geeft zelf de volgende reactie:
Nu weten we dat dit kan gebeuren, daar ben ik hem dankbaar voor. Ik heb niet de illusie dat als de sites van Microsoft en ABN AMRO gehackt kunnen worden, dat bij mij niet zou kunnen gebeuren. Opmerkelijk dat hij zomaar twee namen van gerenommeerde bedrijven noemt. Heeft hij aanwijzingen dat deze sites gehackt zijn?

Voor de duidelijkheid: ik keur het natuurlijk niet goed dat zijn website gehackt is maar ben wel zeer benieuwd wat er nu aan gedaan is om de website beter te beveiligen en wanneer zijn website weer doelwit wordt van een aanval.

Twee extra vakantiedagen voor arrestatie inbreker

  door

Agenten van de Antwerpse politie krijgen twee extra vakantiedagen per ingerekende inbreker. Het systeem is bedacht door de plaatselijke korpschef nadat de regio getroffen werd door een reeks inbraken. De vakantiedagen dienen als extra motivatie voor de agenten, aldus de Vlaamse kant Het Laatste Nieuws (bron).

Dit bericht mag dan staan op 1 april, maar volgens mij menen ze dit nog serieus ook. Meer blauw op straat…tenzij ze weer een boefje te pakken hebben want dan hebben ze een dag vrij. Ik weet niet hoe het in Belgie zit maar normaal beschikken ambtenaren al over een rijkelijk aantal vrije dagen (zeg niet dat dat niet zo is want ik kan het weten). Ik ben heel benieuwd hoe deze maatregel als stimulans zal werken. Probleem hierbij is natuurlijk wel dat als je maar genoeg inbrekers pakt je een sabbatical kunt nemen waardoor er minder agenten beschikbaar zijn en er meer inbraken plaatsvinden.

Een opmerkelijke oplossing. Misschien beter om een bonus te koppelen aan het aantal inbrekers dat de agenten inrekenen. Alhoewel je je natuurlijk eerst af moet vragen of we iemand moeten belonen als hij zijn werk gewoon uitvoert.

Helft laptops zonder virusscanner en wachtwoord

  door

Iets minder dan de helft van de laptopgebruikers installeert geen beveiligingssoftware of wachtwoord om de machine te beschermen, zo blijkt uit onderzoek. 44% van de ondervraagde consumenten zegt dat er geen virusscanner of firewall op de computer aanwezig is. Een wachtwoord tijdens het opstarten is bij 45% van de gebruikers niet ingesteld (bron).

Deze gegevens drukken ons toch weer even op de feiten. 45% gebruikt bijvoorbeeld geen wachtwoord voor het opstarten. De gegevens op die laptops liggen dus op straat zodra de laptop gestolen wordt. Jammer is dat er niet wordt aangegeven of het hier zakelijke of privé laptops betreft. Ik kan me bijna niet voorstellen dat ook bij zakelijk gebruik nauwelijks wachtwoorden worden gebruik, dit mag toch inmiddels wel een algemene bedrijfspolicy zijn.

Voor privé gebruik moet de gebruiker zelf besluiten. Als je er heel bewust voor kiest om geen wachtwoord te gebruiken dan kan dat natuurlijk, alleen moet je er dan wel zeker van zijn dat je geen vertrouwelijke gegevens op je laptop hebt staan.

Als daarnaast bijna de helft van de mensen geen virusscanner of firewall aanzet dan lopen ze wellicht een nog groter risico. Bij diefstal van je laptop houdt een virusscanner of firewall weinig tegen, maar op afstand je gegevens achterhalen wordt zo wel erg makkelijk. En maar klagen als er privé foto’s op internet verschijnen…hoewel je je natuurlijk ook af kunt vragen waarom je bepaalde privé foto’s (ja die met veel huidskleur) sowieso wilt hebben, maar dat is weer een heel andere discussie.

Uit het onderzoek blijkt dat mensen zich wel zorgen maken om de risico´s, maar vervolgens geen maatregelen treffen. Het lijkt er sterk op dat men nog steeds denkt: dat overkomt mij niet.

Er wordt aangegeven dat het er op lijkt dat mensen denken dat het hen niet overkomt. Blijkbaar wordt hier een conclusie getrokken die niet nader onderzocht is. Misschien ligt de oorzaak wel ergens anders, misschien is men zich toch niet bewust van de risico’s of misschien vindt men al die maatregelen wel veel te ingewikkeld.

Je moet tegenwoordig aardig wat verstand hebben van computers en besturingssystemen wil je je gegevens nog enigszins veilig houden en dan nog weet je nooit zeker of je nu ook echt veilig bent. Hoe vaak zien we niet dat mensen wel virusscanners en firewalls gebruiken maar overal vrolijk op “ja” of “ok” klikken?

Stel nu eens dat 44% helemaal geen virusscanner of firewall gebruikt en dat van degene die dat wel gebruiken ook nog eens 44% altijd op “ok” klikt. Dan staat een groot deel van de digitale wereld open. Een enge gedachte als je het mij vraagt.

Een gat in de markt hebben we misschien te pakken: maak een complete set aan software die de grootste risico’s afvangt (ja die zijn er, dat weet ik ook wel) maar maak die nu eens foolproof. Een beetje zoals ze ook met telefoons hebben gedaan: een telefoon met grote knoppen waarmee je alleen kunt bellen (sommige mensen zitten niet te wachten op internet, MMS, GPS en weet ik wat we er allemaal mee kunnen).

Beveiliger begluurt collega met bodyscanner

  door

Een Britse luchthavenbeveiliger heeft een bodyscanner gebruikt om een vrouwelijke collega te begluren. Volgens de 29-jarige Jo Margetson zou de 25-jarige John Laker een foto van haar hebben gemaakt toen ze per ongeluk door de bodyscanner liep (bron).

Ja op dit soort berichten konden we natuurlijk wachten. Van je collega’s moet je het hebben, zullen we maar zeggen. Het begluren door beveiligingsbeambten is al langer punt van aandacht, echt niet alleen als het gaat om de bodyscanner. Heb je wel eens stil gestaan bij de bediening van andere camera’s? Op straat, in winkels, rondom bedrijven en waar je ook maar kunt bedenken.

De kwaliteit van de beelden is de laatste jaren sterk toegenomen (althans voor die bedrijven die er in willen investeren, vaak zien we ook nog erg slechte beelden waar je dan weer niets mee kunt beginnen). Met een beetje systeem kun je tegenwoordig tientallen zo niet honderden meters inzoomen waarbij de kwaliteit van het beeld erg goed blijft.

Het gebruik van camera’s is aan regels gebonden maar over die regels kun je twisten. Zo moet het bijvoorbeeld duidelijk zichtbaar zijn dat er van camerabewaking gebruik wordt gemaakt. Leuk natuurlijk als je een winkel binnen gaat, maar als die camera op honderden meters ook nog kan filmen hoe jij lekker op je balkon zit te zonnen dan kom jij daar niet snel achter.

Op zich is er wel wat te zeggen voor cameragebruik (zowel in de discussie voor als tegen kan ik me vinden) en we omschrijven soms best netjes het doel waarvoor we beelden opnemen. Dat doel is dan nog terecht ook, bijvoorbeeld voorkomen winkeldiefstal, veiligheid van je personeel en bedenk het maar. Maar met name de nevenvangsten van de beelden, daar gaat het vaak mis. We nemen simpelweg teveel op en er is niemand die kan controleren wat er nu precies opgenomen wordt en hoelang die beelden bewaard worden.

Voor een beveiliger die de hele dag naar saaie beelden zit te kijken is het natuurlijk ook erg aantrekkelijk om net een beetje verder te kijken, net een beetje verder in te zoomen.

Maar je kunt het natuurlijk ook overdrijven:
Margetson deed aangifte bij zowel haar werkgever als de politie. “Ik ben helemaal getraumatiseerd. Ik heb met de politie gesproken en ben er te slecht aan toe om te gaan werken”, zo liet ze aan The Sun weten. Als je simpelweg te lui bent om te werken dan kun je toch wel een betere reden verzinnen?