Laptop laat huisarts op patientendossier inloggen

Daar gaan we weer (lees hier het artikel op security.nl en kijk dan ook gelijk even naar de reacties die er onder staan).

Hartstikke handig natuurlijk dat de huisarts via UMTS bij jouw gegevens kan, dan kun je direct geholpen worden als dat nodig is. Begrijp me goed, ik ben absoluut voorstander van een efficiënte benadering zodat de huisarts direct zijn werk goed kan doen (en ja een fax is inderdaad wat uit de tijd). Ik ben ook zeker geen tegenstander van het fenomeen Elektronisch Patiënten Dossier, maar ben toch wel heel benieuwd hoe veilig deze verbinding en de laptop van de huisarts is. Hopelijk heeft die huisarts geen peer-to-peer (bijv. LimeWire) verbinding openstaan zodat de medisch geheime gegevens van ons allen bekend raken.

Het is zeker geen sinecure om een veilig Elektronisch Patiënten Dossier te maken, maar ik heb de afgelopen tijd al meerdere incidenten voorbij zien komen en ik hou mijn hart vast (om maar in medische termen te blijven). De schuld schuiven we al heel snel naar de overheid (ze kunnen het niet, het is te duur, etc.), maar moeten we ook niet eens bij onszelf te rade gaan? Moeten we zelf niet bereid zijn er voor te betalen om het veilig te houden? Of moet het niet gewoon uit de ziektekosten gehaald worden? Ik ben best bereid een bijdrage te leveren aan de bescherming van mijn gegevens, mits dat natuurlijk dan ook gegarandeerd wordt.

Maar goed, diegene die angstig worden en tegen dit Elektronisch Patiënten Dossier zijn moeten ook even bedenken dat dit systeem in zijn totaliteit misschien veiliger is dan de oude kaartenbak. Even bellen met de huisartsenpraktijk, je voordoen als dokter weet-ik-veel-wie en gegarandeerd dat het lukt om achter vertrouwelijke gegevens te komen. Bij het Elektronisch Patënten Dossier kunnen ze nog autorisaties toe kennen en kan je achteraf nagaa wie jouw gegevens heeft ingezien, dat kan bij de kaartenbak echt niet.

Kortom: ook ik heb mijn twijfels bij de beveiliging van het Elektronisch Patiënten Dossier, maar denk dat we naïef zijn als we deze ontwikkeling willen stoppen. Ik vind uiteraard wel dat ze het zo veilig mogelijk moeten maken, maar denk dat de kaartenbak toch meer risico’s in zich heeft. Met een goede afscheiding die bestaat uit (technische, procedurele en organisatorische maatregelen) moet het mogelijk zijn om de verzekeraars van onze gegevens weg te houden.

Nu maar hopen dat de pc’s in de ziekenhuizen zelf voldoende beveiligd zijn want via de bezoekkamers kom ik op dit moment makkelijker in een pc dan via een ingewikkelde technische kraakpoging. Maar goed, de fysieke beveiliging van ziekenhuizen en het bewustzijn bij de ziekenhuismedewerkers is een ander probleem. Gelukkig hebben de ziekenhuizen de afgelopen jaren wat vooruitgang geboekt maar net als voor alle andere organisaties zijn er nog vele stappen te zetten. Ik wens ze succes en als ze vragen hebben dan mogen ze me altijd contacten…mijn handschrift is bijna net zo goed als dat van een dokter, misschien dat ze de adviezen begrijpen.

Geen jaarlijkse ontruimingsoefening bij 60 procent organisaties

Volgens een steekproef van de Brandwondenstichting onder vijfhonderd instanties, waaronder ziekenhuizen en scholen, oefent 40% van de organisaties jaarlijks een ontruimingsoefening. De andere 60% doet dat dus niet (bron). Volgens de gemeentelijke verordening Brandveiligheid en hulpverlening moet de BHV-organisatie van een bedrijf jaarlijks een ontruimingsoefening houden.

Jammer genoeg blijkt uit de tekst niet waarom organisaties geen ontruimingsoefeningen houden. Weten ze niet dat het verplicht is? Hebben ze geen BHV-organisatie die het voor ze regelt? Vinden ze het te lastig? Of misschien vinden ze het wel te duur. Als er binnen jouw organisatie geen ontruimingsoefening wordt gehouden is het tijd om de BHV-organisatie daar op aan te spreken. Tot die tijd kun je zelf ook maatregelen nemen door vanaf je werkplek eens goed om je heen te kijken.Weet je waar de nooduitgang is? Weet je hoe je zo snel mogelijk het gebouw kunt verlaten? Zorg ervoor dat je zelf weet hoe je je in veiligheid kan brengen.

Hopelijk blijft het bij een oefening en hoef je het nooit in de praktijk te brengen. Want geloof me, een oefening gaat er heel anders aan toe dan een echte brand.

NFI kraakt encryptiesleutel pedofiel

Het Nederlands Forensisch Instituut (NFI) heeft de encryptiesleutel waarmee een 42-jarige computerprogrammeur uit Sliedrecht zijn kinderpornoverzameling versleutelde, weten te kraken. Een deel van de collectie is nu ontsleuteld en volgens justitie gaat het om tenminste 7,5 miljoen afbeeldingen, meer dan in de landelijke database van de politie is opgeslagen. Oorspronkelijk dachten experts dat het jaren zou duren om de sleutel te kraken. Het Openbaar Ministerie eiste eind mei vier jaar cel en tbs tegen de man (bron).

Natuurlijk moet je een pedofiel straffen met de hoogst mogelijke straf, daar hoeven we wat mij betreft geen discussie over te voeren. Waar we wel bij stil moeten staan is het feit dat de encryptiesleutel gekraakt is. Dat is relevant omdat we encryptie nu juist toe passen om onze vertrouwelijke gegevens te beveiligen. Als dat gekraakt wordt moeten we ons daar bewust van zijn. Niet alleen het NFI maar allerlei (overheids)instellingen zijn in staat om de gegevens te ontsleutelen. Daar gaan onze staatsgeheimen. Andere, buitenlandse, instellingen zijn in staat om onze staatsgeheimen in te zien. Ehm, information warfare. Toch maar weer terug naar de tijd van de typemachine waarbij de gegevens veilig in een kluis lagen opgeborgen?

Dienstverlener gijzelt klantendatabases

Een groep Amerikaanse advocatenkantoren heeft een administratieve dienstverlener aangeklaagd omdat die gevoelige klantgegevens in gijzeling houdt en negen miljoen dollar niet wil teruggeven (bron). De dienstverlener verzorgde de administratie voor de advocatenkantoren, die zich bezighouden met het geven van juridisch advies aan rood staande consumenten. Inmiddels heeft de dienstverlener z’n deuren gesloten, maar wil twee databases met de gegevens van 20.000 klanten van de advocatenkantoren en de negen miljoen dollar niet teruggegeven.

Een belangrijk punt om over na te denken als we taken gaan uitbesteden. Naast de vraag wie er juridisch eigenaar van de informatie is speelt ook de vraag hoe om moet worden gegaan als de leverancier de gegevens niet meer beschikbaar wil stellen (of ze bijvoorbeeld kwijt raakt na een technische storing). De dienstverlener bestaat inmiddels niet meer, dus er kan ook geen aanspraak meer gemaakt worden. Belangrijk om naast de contractuele afspraken ook zelf te zorgen voor backup van gegevens…terwijl je dat nu juist graag allemaal uit wilde besteden.

Werknemers ontslagen na melden beveiligingslek

Twee werknemers van een Amerikaans energiebedrijf, zeggen ontslagen te zijn omdat ze een beveiligingslek hebben gemeld (bron). De twee ontdekten en rapporteerden dat ongeautoriseerde computers op het mainframe van de centrale waren aangesloten. Het systeem van de centrale zou ook op software zijn aangesloten die zich nog in de testfase bevond. Verder zouden teveel werknemers toegang tot de computers hebben. Reden genoeg voor de twee om alarm te slaan vorige week hoorden ze dat ze ontslagen waren.

Hartstikke goed (not), shoot the messengers: ontslaan die mensen. Het levert alleen maar werk en kosten op als iedereen incidenten en lekken gaat melden. Nee struisvogel politiek is in dit geval de juiste keuze, kop in het zand dan zien we niks en wat we niet zien gebeurt ook niet.

Voordeel voor het energiebedrijf is natuurlijk wel dat geen van de werknemers het meer in zijn hoofd zal halen om lekken te melden, het kan je de kop kosten. Als er geen lekken gemeld worden, dan zijn er ook geen lekken en zijn we dus veilig. Ehm, benieuwd wanneer er een power down plaats zal vinden in deze stad, als ik daar woonde zou ik toch maar een generator aanschaffen.

Ik zeg: maak ze medewerkers van de maand, ze hadden een energiebedrijf kunnen behoeden voor grote gevolgen en de gevolgen van de klanten. Als binnenkort het licht uitgaat zal er door de klanten een behoorlijke claim worden neergelegd. Ben benieuwd of we er ooit nog wat van horen.

Bedrijven nemen vaker illegale software door crisis

Softwarepiraterij is in Nederland weer in opkomst. Steeds meer bedrijven zeggen door de economische recessie geen budget meer te hebben om de licenties voor software te kunnen betalen (bron).

Dat constateert de organisatie Business Software Alliance (BSA), die het gebruik van illegale software probeert op te sporen. Sinds eind mei is het aantal zaken waarbij piraterij wordt vermoed met 50 tot 80 procent toegenomen in vergelijking met vorig jaar. Bedrijven die betrapt werden, moesten bijna 300.000 euro betalen aan licentiekosten, schadevergoedingen en juridische bijstand.

Naast het risico op het alsnog betalen van licentiekosten (geen budget voor), schadevergoeding (geen budget voor) en juridische bijstand (geen budget voor) bestaat er ook het risico dat de illegale kopieenn malware, trojans of virussen bevatten en het is zomaar de vraag of de illegale software via internet een update kan krijgen. Verder staat het natuurlijk ook niet goed voor het imago van de organisatie, wat denken de klanten ervan?

Onduidelijk blijft waarom de bedrijven deze crisis niet aangrijpen om (voor een aantal applicaties) over te stappen op Open Source Software. Voor deze software hoeven geen licentiekosten betaald te worden, dat is dan alvast terugverdient. De beheerkosten vallen wellicht iets hoger uit, maar ik denk dat dat met de besparing op de licentiekosten best nog eens mee kon vallen. Ben benieuwd of de crisis de kans is voor Open Source initiatieven.

Obstakel voor nooduitgang verbetert evacuatie

Een strategisch geplaatst obstakel voor een nooduitgang kan de evacuatie van mensen uit een gebouw vreemd genoeg versnellen tijdens een ramp (Bron). Dat hebben Japanse wetenschappers aangetoond.

Bij een experiment plaatsen ze een pilaar op 65 centimeter afstand aan de linkerzijde van de deuropening. Na een minuut hadden zeven extra mensen zich in veiligheid gebracht via de nooduitgang. Volgens de onderzoekers kan een obstakel aan de zijkant van een nooduitgang de opstopping, die normaal gesproken ontstaat voor de deuropening, verminderen. Een obstakel voor de nooduitgang werkt echter niet altijd. De precieze plek is van groot belang. Als een pilaar in het midden voor de deuropening wordt geplaatst, neemt de snelheid van evacuatie juist af.

Hebben we er jaren voor gevochten om nooduitgangen en vluchtwegen vrij te houden blijkt dat een obstakel juist nuttig kan zijn. Helaas betreft het hier een wetenschappelijk onderzoek, theoretisch zal het allemaal best kloppen. In de praktijk zie ik dit verkeerd gaan, pilaren worden op de verkeerde plaats neergezet, zijn te breed of groot of zijn niet goed verankerd waardoor de nooduitgang in zijn totaliteit niet meer bruikbaar is in geval van nood.

Nee, laten we voorlopig nog maar zorgen dat de nooduitgangen en vluchtwegen vrij zijn van obstakels en als in de toekomst (aan de linkerzijde) obstakels worden geplaatst dan hebben we daar wetenschappelijk onderzoek bij nodig. Ik hoop dat ik in dat geval via de rechterzijde het gebouw kan verlaten.

Risicoanalyse vooraf is het belangrijkst

Risicoanalyse is het belangrijkste voorafgaand aan een groot evenement waar veel mensen komen. Dit uiteraard naar aanleiding van de gebeurtenissen tijdens het dancefeest Sunset Grooves zaterdagavond (Bron).

Inmiddels heb ik een risicoanalyse methodiek ontwikkeld en voor een aantal grootschalige evenementen uitgevoerd (het World Tennis Tournament, KLM Open). Ik ben zeker voorstander van het vooraf uitvoeren van zo’n analyse. De organisatoren (veelal een commerciele marketing/sponsor organisatie) kijken echter toch nog vaak terughoudend naar het uitvoeren van een risicoanalyse, de commercie moet vooral niet gehinderd worden door allerlei beveiligingsmaatregelen die getroffen moeten worden.

Toch kan een risicoanalyse vooraf inzicht geven in de dreigingen die relevant zijn, dit uiteraard afhankelijk van het evenement, de locatie en het bezoekersprofiel. Voor grootschalige evenementen is een vergunning van de gemeente vereist. Naar mijn mening zou de gemeente voor het verstrekken van de vergunning minimaal een (kwalitatief goede) risicoanalyse moeten vereisen. Daarbij dan ook weer kijkend naar de aard van het evenement, de locatie en het aantal bezoekers.

Om het uitvoeren van de risicoanalyse succesvol te maken moet de risicoanalist de commerciele kant van het evenement begrijpen. Er moet niet gekeken worden naar wat niet kan/mag of onveilig is, maar er moet gekeken worden hoe het evenement zo veilig mogelijk kan verlopen.

Hadden de gebeurtenissen van het afgelopen weekend dan voorkomen kunnen worden? Wellicht, maar er is op dit moment nog zoveel onduidelijk dat daar eigenlijk geen uitspraken over gedaan kunnen worden. Wel hadden de dreigingen vooraf inzichtelijk kunnen worden gemaakt door een risicoanalyse en had misschien meer toegangscontrole moeten worden uitgevoerd. Dat dit laatste niet gebeurd is lijkt uit de nieuwsberichten een welbewuste keuze. Gelukkig is Lowlands een stuk rustiger verlopen, misschien vervult ervaring een belangrijke rol?

Schoolbestuur moet van onbesproken gedrag zijn

Schoolbestuurders moeten kunnen aantonen dat ze geen strafbare feiten hebben begaan die hun werk in de weg zouden kunnen staan. Waarschijnlijk moeten ze een zogeheten Verklaring omtrent het gedrag (VOG) gaan overleggen (bron).

Leraren en directieleden moesten in het verleden al een VOG kunnen overleggen maar het schoolbestuur dus blijkbaar tot op heden nog niet. Het kan dus zijn dat er nu een bestuurder is aangesteld die een strafblad heeft van hier tot Tokio. Een bestuurder die fraude heeft gepleegd, die is opgepakt voor kinderporno of zijn diploma’s gewoon via internet gekocht heeft. Raar, in andere branches worden medewerkers met een mindere functie dan bestuurder standaard gescreend.

Het is sowieso goed om medewerkers een Verklaring Omtrent Gedrag te laten overleggen, daarnaast kunnen voor bepaalde functies ook aanvullende screeningen worden uitgevoerd. Zelf ben ik denk ik al minimaal 15 keer door verschillende organisaties gescreend, MIVD, AIVD, Ministerie van Justitie en nog wat commerciële screeningsorganisaties. Hoewel ik zeker voorstander ben van uitgebreide screeningen moet daar nu ook weer niet teveel waarde aan gehecht worden. Het zegt alleen maar dat iemand in het verleden niet schuldig is bevonden, dus of hij/zij heeft nooit wat verkeerds gedaan of hij/zij is er nooit voor opgepakt.

Tweede dode Mexicaanse griep in Nederland

In Nederland is een tweede persoon overleden aan de Mexicaanse griep. Het gaat om een 58-jarige man. Net als het eerste slachtoffer was hij al ernstig ziek voor hij griep kreeg. Zo meldt nu.nl

Er is al veel ophef gemaakt over de Mexicaanse griep en we moeten nog maar afwachten of het echt zo’n rampscenario wordt als voorspeld is. Voorlopig kunnen we in ieder geval de les trekken dat de instanties het eigenlijk ook allemaal niet weten. Ga je gezond naar de grieppoli (het nieuwe woord voor 2009?) kom je met Mexicaanse griep thuis. Raadt het RIVM je aan om vooral niet naar de huisarts te gaan, adviseert Minister Klink juist van wel.

Maar goed dit blog gaat over security en risk, wat heeft de griep daarmee te maken? De continuïteit van de bedrijfsvoering kan er ernstig door in gevaar komen. Is het niet omdat de medewerkers ziek zijn, dan wel omdat ze in quarantaine zitten (in dat geval is het middel erger dan de kwaal).

Aan de andere kant blijkt dat de Nederlandse Spoorwegen met iets meer dan 70% van de medewerkers nog treinen kan laten rijden. Als ik bij de NS werkte zou ik me ernstig zorgen gaan maken…ik zie een flinke bezuinigingsronde aankomen bij de spoorwegen.