Even snel de Citrix ADC-server patchen is niet de hele oplossing

/door

patchenDe afgelopen week heeft het probleem met de onveilige Citrix ADC servers Nederland bezig gehouden. Op deze website waarschuwde ik er op 14 januari 2020 ook voor. Opeen was thuis werken met inloggen op de systemen van de baas niet meer mogelijk in veel gevallen. Zelfs het woord “Citrix-file” ontstond. Het is de benaming voor de autofiles die vandaag langer zijn door werknemers die naar kantoor gaan i.p.v. op afstand inloggen. Vanaf vandaag levert Citrix software patches uit om de kwetsbaarheid CVE-2019-19781 te repareren. Die patches zijn niet voor alle kwetsbare apparaten. Voor een deel moeten de patches deze week nog komen. Citrix zegt de uiterste termijn van 31 januari naar 24 januari naar voren gehaald te hebben. Het bedrijf waarschuwt ervoor zeer zorgvuldig op te letten dat men de juiste patch voor het juiste apparaat gebruikt. Daarnaast heeft ook het Nationaal Cyber Security Center(NCSC) een extra waarschuwing afgegeven. Lees meer

Systeembeheerders in de zorg: Wakker worden! Enorme kwetsbaarheid in Citrix Application Delivery Controller

/door

systeembeheerdersVanaf half december 2019 is bekend dat er een forse kwetsbaarheid zit in de software van een aantal apparaten van de firma Citrix. Het gaat om de Citrix Application Delivery Controller (ADC). Die stond eerder bekend als de Netscaler ADC. Ook betreft het de Citrix Gateway die eerder bekend stond als de Netscaler Gateway. Door de kwetsbaarheid kan een niet geauthenticeerde indringer willekeurige commando’s uitvoeren. Sinds  9 januari 2020 is bekend dat aanvallers actief gebruik proberen te maken van dit lek. Voor die tijd waren er nog geen kwaadwillige exploits gevonden. Op 11 januari 202 werd duidelijk dat het kinderlijk eenvoudig was om van de kwetsbaarheid gebruik te maken. In Nederland zou het om ruim 700 via het publieke internet bereikbare Citrix ADC servers gaan. Daar zitten naast overheidsinstellingen, meerdere zorginstellingen, zorgverzekeraars ook zorgaanbieders bij. Een patch is vanaf 20 januari beschikbaar, maar systeembeheerders kunnen nu al maatregelen nemen. Lees meer

Radiologiebeelden wereldwijd steeds vaker open en bloot op internet

/door

radiologebeeldenRuim een miljard bestanden van radiologiebeelden zijn over de hele wereld vrij toegankelijk voor derden. Het klinkt onwaarschijnlijk, maar is het niet.  Ondanks uitgebreide waarschuwingen in september 2019 blijkt het aantal bestanden dat vrij toegankelijk is op het internet toch toe te nemen. Nederland maakt daarbij een goede beurt. De eerder gevonden servers waarop de beelden in DICOM-formaat te vinden waren zijn nu afdoende beveiligd. Helaas de op de Nederlandse Antillen openstaande server niet. Het online magazine Techcrunch publiceerde op 10 januari 2020 een artikel, genaamd: “A billion medical images are exposed online, as doctors ignore warnings” Het artikel beschrijft een vervolgonderzoek dat twee maanden na het geruchtmakende eerste onderzoek in september plaats vond. Publicatie van het rapport vond plaats op de website van het bedrijf Greenbone Networks. Dat houdt zich bezig met netwerkbeveiliging. De vrij toegankelijke bestanden vormen om meerdere redenen een gevaar voor de patiënt. Lees meer

FDA niet transparant over sterfgevallen geassocieerd met via catheter ingebrachte hartkleppen

/door

FDAOp 24 december 2019 verscheen op Kaiser Health News een interessant artikel met behoorlijke implicaties. Christina Jewett schreef  “Reports Of Patients’ Deaths Linked To Heart Devices Lurk Below Radar”. In het artikel maakt zij duidelijk dat de controlerende Food and Drug Administration(FDA), gebruik maakt van een rapporteringssysteem dat haar onvoldoende zicht geeft op die data. Het gaat  om via de bloedbaan m.b.v. een katheter ingebrachte hulpmiddelen in het hart of grote vaten. Het betreft op deze wijze verrichtte hartklep-vervanging, hartklep-aanpassing en vaatverwijding. De overlijdensgevallen die daaraan gerelateerd zijn zitten in registratiesystemen die vallen onder een “registry exemption program” van de FDA. De vorm van rapporteren is zodanig dat het zowel voor de FDA als voor onderzoekers en publiek het tot twee jaar kan duren om inzage te krijgen. Overlijdensrapporten t.g.v. “medical devices”  horen open te  zijn voor onderzoekers om hun collega’s te  kunnen volgen en te waarschuwen voor veiligheidsproblemen. Lees meer

Hoe het ministerie van VWS een kritische beweging in de zorg koest knuffelde

/door

hoe VWSHoe krijg je een kritische beweging in korte tijd rustig? Incorporeer die beweging zo gauw mogelijk in je eigen handelen. Neem het initiatief over en buig dat vervolgens om naar eigen model. Dat is wat er de afgelopen twee jaar gebeurde met de beweging Het Roer Moet Om, maar evengoed met het initiatief van de “de paarse krokodil.  Op 11 maart 2015 stelden een groep uiterst bezorgde huisartsen een manifest op, genaamd ”Het Roer moet om”. Bezorgd om het vastlopen van de zorg door de doorgeschoten marktwerking en de steeds maar uitdijende bureaucratie met absurde regeldruk tot gevolg.  De beweging Het Roer Moet Om(HRMO) was geboren. Samen met de Vereniging van Artsen Automobilsten(VVAA), waar zeer veel zorgverleners hun verzekering hebben lopen, initieerde HRMO de beweging (Ontregel) de zorg. Die beweging ging vooral onzinnige regels in de zorg te lijf. Lees meer