WeDoTrust-onderzoek Whitebox op kosten ZN: bekentenis en handreiking

/door

WeDoTrust-onderzoekHet onderzoek door advies- en auditbureau WeDoTrust  van de Whitebox en het LSP heeft tot nu toe eigenlijk vrijwel geen aandacht getrokken. In het tweede deel van de herfst 2019 verscheen het. Het WeDoTrust-onderzoek dat Zorgverzekeraars Nederland(ZN) betaalde had ten doel om tot een objectieve vergelijking te komen tussen het Landelijk SchakelPunt(LSP) zoals aangeboden door VZVZ en de Whitebox van Whitebox Systems. Het rapport(36 pagina’s) laat zich makkelijk lezen. Daarin vallen enkele zaken direct op. In de eerste plaats de bereidheid van ZN om LSP en Whitebox met elkaar te willen vergelijken. In de tweede plaats het toegeven dat het percentage patiënten ,dat toestemming geeft om huisartsgegevens in de toekomst te delen via het LSP,  sterk achterblijft. Ten derde lijkt het rapport een handreiking richting Whitebox om eventueel gezamenlijk op te trekken. Gezamenlijk uit noodzaak. Mogelijk met enige sturing van uit het ministerie van VWS. Lees meer

DA, de met een gezondheids-app data delende drogisterijketen

/door

DADe drogisterij-organisatie DA propageert sinds 2019 een gezondheidsapp voor op de smartphone. Deze DA-gezondheidsapp kent de mogelijkheid om diverse meetwaarden van bepalingen die men in de drogisterij bij je kan uitvoeren vast te leggen. Daarnaast kunnen allerlei vragenlijsten ingevuld worden en zoekt de app contact met de reeds bestaande gezondheidsapp van de smartphone zelf. Daarin zit meestal ook de stappenteller. DA laat in een bij de app horende privacyverklaring weten hoe nauwgezet men met persoonsgegevens omgaat. Maar wie die verklaring een beetje serieus doorploegt, ziet al gauw dat er data uitgewisseld worden met ruim negentien bedrijven. De privacyverklaring hanteert een ratjetoe aan definities over wat men voor gegevens van je registreert. Men heeft een hoofdstukje “persoonsgegevens”, maar daaronder vallen verschillende soorten gegevensverzamelingen betreffende een deelnemer. Daardoor is het onduidelijk wat voor data DA met welke derden uitwisselt. Lees meer

Even snel de Citrix ADC-server patchen is niet de hele oplossing

/door

patchenDe afgelopen week heeft het probleem met de onveilige Citrix ADC servers Nederland bezig gehouden. Op deze website waarschuwde ik er op 14 januari 2020 ook voor. Opeen was thuis werken met inloggen op de systemen van de baas niet meer mogelijk in veel gevallen. Zelfs het woord “Citrix-file” ontstond. Het is de benaming voor de autofiles die vandaag langer zijn door werknemers die naar kantoor gaan i.p.v. op afstand inloggen. Vanaf vandaag levert Citrix software patches uit om de kwetsbaarheid CVE-2019-19781 te repareren. Die patches zijn niet voor alle kwetsbare apparaten. Voor een deel moeten de patches deze week nog komen. Citrix zegt de uiterste termijn van 31 januari naar 24 januari naar voren gehaald te hebben. Het bedrijf waarschuwt ervoor zeer zorgvuldig op te letten dat men de juiste patch voor het juiste apparaat gebruikt. Daarnaast heeft ook het Nationaal Cyber Security Center(NCSC) een extra waarschuwing afgegeven. Lees meer

Systeembeheerders in de zorg: Wakker worden! Enorme kwetsbaarheid in Citrix Application Delivery Controller

/door

systeembeheerdersVanaf half december 2019 is bekend dat er een forse kwetsbaarheid zit in de software van een aantal apparaten van de firma Citrix. Het gaat om de Citrix Application Delivery Controller (ADC). Die stond eerder bekend als de Netscaler ADC. Ook betreft het de Citrix Gateway die eerder bekend stond als de Netscaler Gateway. Door de kwetsbaarheid kan een niet geauthenticeerde indringer willekeurige commando’s uitvoeren. Sinds  9 januari 2020 is bekend dat aanvallers actief gebruik proberen te maken van dit lek. Voor die tijd waren er nog geen kwaadwillige exploits gevonden. Op 11 januari 202 werd duidelijk dat het kinderlijk eenvoudig was om van de kwetsbaarheid gebruik te maken. In Nederland zou het om ruim 700 via het publieke internet bereikbare Citrix ADC servers gaan. Daar zitten naast overheidsinstellingen, meerdere zorginstellingen, zorgverzekeraars ook zorgaanbieders bij. Een patch is vanaf 20 januari beschikbaar, maar systeembeheerders kunnen nu al maatregelen nemen. Lees meer

Radiologiebeelden wereldwijd steeds vaker open en bloot op internet

/door

radiologebeeldenRuim een miljard bestanden van radiologiebeelden zijn over de hele wereld vrij toegankelijk voor derden. Het klinkt onwaarschijnlijk, maar is het niet.  Ondanks uitgebreide waarschuwingen in september 2019 blijkt het aantal bestanden dat vrij toegankelijk is op het internet toch toe te nemen. Nederland maakt daarbij een goede beurt. De eerder gevonden servers waarop de beelden in DICOM-formaat te vinden waren zijn nu afdoende beveiligd. Helaas de op de Nederlandse Antillen openstaande server niet. Het online magazine Techcrunch publiceerde op 10 januari 2020 een artikel, genaamd: “A billion medical images are exposed online, as doctors ignore warnings” Het artikel beschrijft een vervolgonderzoek dat twee maanden na het geruchtmakende eerste onderzoek in september plaats vond. Publicatie van het rapport vond plaats op de website van het bedrijf Greenbone Networks. Dat houdt zich bezig met netwerkbeveiliging. De vrij toegankelijke bestanden vormen om meerdere redenen een gevaar voor de patiënt. Lees meer