Naar aanleiding van het onlangs ontdekte lek ik SSL-certificaten heeft VeriSign onveilige SSL-certificaten vervangen. VeriSign, een Amerikaans bedrijf dat een deel van de internetinfrastructuur beheert en SSL-certificaten uitgeeft, zegt op zijn weblog blij te zijn met het onderzoek van de wetenschappers van het Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers, maar vindt het jammer dat het bedrijf niet vantevoren gewaarschuwd is.

Microsoft is van mening dat het SSL-lek geen groot gevaar vormt. De softwaregigant schrijft op zijn website: “The MD5 algorithm had previously shown a vulnerability, but a practical attack had not yet been demonstrated.”

(Foto van CarbonNYC)

De helft van de particulieren en organisaties nemen onvoldoende maatregelen gegevens te verwijderen van de harde schijf van oude computers. Dat blijkt uit onderzoek (pdf) van SURFnet, de ict-organisatie van en voor universiteiten, hogescholen en onderzoeksinstellingen. Uit een vooronderzoek naar forensische analysetools, blijkt dat veel onderzochte harde schijven vertrouwelijke gegevens en kwaadaardige software bevatten. Voor het onderzoek zijn gebruikte harde schijven van laptops, servers en werkstations ingekocht op computerbeurzen, winkels en webwinkels.

(Foto van Discos Konfort)

De informatiebeveiliging van ziekenhuizen voldoet niet aan de norm. Dat zeggen het College bescherming persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ). In een vandaag gepubliceerd onderzoek (pdf) naar de informatiebeveiliging in ziekenhuizen concluderen het CBP en de IGZ dat geen van de twintig onderzochte ziekenhuizen aan de norm voor informatiebeveiliging voldoet. (Tot de onderzochte ziekenhuizen behoren onder meer het AMC in Rotterdam, het Erasmus MC in Rotterdam en het Wilhelmina Ziekenhuis in Assen.) Zo wordt informatiebeveiliging niet systematisch geregeld, is de verantwoordelijkheid voor de beveiliging onvoldoende ingebed in de organisatie en is de toegang tot patiëntgegevens onvoldoende afgeschermd. Dit kan ernstige gevolgen hebben voor de kwaliteit van de zorg en de privacy van patiënten, zeggen het CBP en de IGZ.

Het CBP en de IGZ concluderen in hun onderzoek dat in ziekenhuizen maar zeer beperkt bewustzijn is van de risico´s van onvoldoende informatiebeveiliging. Het merendeel van de ziekenhuizen neemt dan ook te weinig maatregelen om de informatiebeveiliging zeker te stellen.

(Foto van FaceMePLS)

De voorlichtingssite van het Elektronisch Patiëntendossier (EPD) bevat een lek. Dat meldt Webwereld. Het gaat om een zogeheten cross site scripting (XSS) lek.Via het lek kunnen kwaadwillenden een script aan de URL-balk toevoegen dat op de computer van slachtoffers wordt uitgevoerd. Via het lek kunnen onbevoegden niet bij de gegevens van patiënten. Het ministerie van Volksgezondheid, Welzijn en Sport heeft beloofd het lek te dichten. Bij zo’n omstreden project als het EPD zou je verwachten dat alle sites driedubbel gecontroleerd zouden zijn door deskundige externe partijen. Dit XSS-lek levert geen gevaar op voor de privacy van patiënten, maar levert wel verwarring en wantrouwen op.

In De Telegraaf beschreef beveiligingsbedrijf Fox-IT uit Delft gisteren een methode waarmee onbevoegden wel bij dossiers kunnen komen. Het gaat niet om een technisch, maar om een menselijk lek. In de beveiligingsketen is de mens nog steeds de zwakste schakel. “Door het grote aantal zorgverleners dat toegang heeft is er altijd wel een eindpunt dat ‘lek’ is”, aldus Mark Koek van Fox-IT.

Het enige dat menselijk lekken kan voorkomen is uitgebreide voorlichting over databeveiliging en integriteit aan iedereen die met het EPD gaat werken.

(Foto van Jako Jellema)

In Groot-Brittannië zijn weer persoonsgegevens zoek geraakt. Deze keer gaat het om de privédata van ongeveer 5.000 medewerkers van justitie. De harde schijf met gegevens raakte al in juli 2007 zoek, maar het verlies werd pas nu bekend. Het gaat om de gegevens van medewerkers van de National Offender Management Service in England en Wales. Als de gegevens in verkeerde handen raken moeten medewerkers verhuizen omdat de overheid hun veiligheid niet meer kan garanderen. De verloren harde schijf was in handen van EDS, een bedrijf dat voor de Britse overheid werkt.

In Groot-Brittannië is een usb-stick met de gegevens van 84.000 gevangenen en 10.000 actieve criminelen zoek geraakt. Het is de zoveelste datablunder van de Britse overheid. De geheugenstick, die niet beveiligd is, was in handen van het bedrijf PA Consulting dat werkt voor het ministerie van Binnenlandse Zaken. De eerste vier maanden van dit jaar heeft de Britse overheid de gegevens van ongeveer 4 miljoen mensen laten uitlekken, heeft de BBC becijferd. Vorig jaar raakte de overheid de persoonsgegevens van 25 miljoen ontvangers van kinderbijslag kwijt. De staatsomroep raakte zelf overigens onlangs ook persoonlijke gegevens kwijt van kinderen die auditie wilden doen voor een tv-programma. Op de stick die PA Consulting is kwijt geraakt staan de namen, adressen en geboortedata van onder meer 30.000 criminelen die minstens zes keer veroordeeld zijn. Ook de data wanneer nog vastzittende misdadigers vrij komen staan op de usb-stick. Deze informatie is afkomstig van de Police National Computer. Waar de usb-stick zich nu bevindt is onbekend. De Britse privacywaakhond Information Commissioner’s Office heeft aangekondigd een onderzoek in te stellen.

(Foto van HM Prison Service)

Praktijkgevallen die onderzoek ondersteunen zijn altijd leuk. ‘Gemak dient de mens’, moeten de makers van de gezondheidsdatabank Vecozo gedacht hebben toen ze een kleine 80.000 mensen toegang gaven tot de namen, adressen, telefoonnummers en sofinummers van alle Nederlanders. (De naam Vecozo staat overigens voor VEilige COmmunicatie in de ZOrg.) De databank bevat ook geheime telefoonnummers en geheime adressen van bijvoorbeeld vrouwen die hun verblijfplaats geheim willen houden uit angst voor een gewelddadige ex-man. Naast persoonsgegevens bevat Vecozo ook de verzekeringsgegevens van patiënten. Een op de 200 Nederlanders heeft toegang tot de privégegevens van al zijn landgenoten, rekende hoogleraar computerbeveiliging Bart Jacobs uit in Trouw. Met de beveiligingsmethode van de gegevensbank is volgens Jacobs op zich niets mis, maar waarom zou je nog de moeite nemen om Vecozo te beveiligen als iedereen bij alle gegevens mag?

(Foto van Jako Jellema)

Mensen zijn de zwakste schakel als het gaat om computerbeveiliging. It-professionals volgen vaak bewust de voorschriften voor databeveiliging niet op, zo blijkt uit onderzoek van het Ponemon Institute onder 893 Amerikaanse it’ers. Van de deelnemers geeft 51 procent aan vertrouwelijke bedrijfsgegevens op usb-sticks te kopiëren zonder beveiliging. 87 procent denkt dat dat een overtreding van het bedrijfsbeleid is. Bij het delen van wachtwoorden met collega’s overtreedt 46 procent het bedrijfsbeleid. 72 procent van de ondervraagden geeft aan dat ze de vermissing van een gegevensdrager, mobiele telefoon of laptop niet direct melden bij de werkgever, terwijl 39 procent van de deelnemers wel eens dergelijke gegevensdragers met bedrijfsinformatie kwijt is geweest.

(Via Automatisering Gids; foto van Kai Hendry)