Kwetsbaarheid decentrale systemen achilleshiel voor LSP

general-hazard-909910_640

Op 23 december 2016 verscheen op website Skipr een opmerkelijk artikel over de kwetsbaarheid van het Landelijk SchakelPunt(LSP) voor cyberaanvallen via de computersystemen van aangesloten zorgaanbieders. Het verschijnt ook in het januari 2016-nummer van het Skipr-magazine. Gesteld wordt dat: “het kwetsbaar is voor cyberaanvallen door onvoldoende beveiliging van PC’s, laptops, tablets en smartphones van eindgebruikers zoals huisartsen. Hierdoor kunnen computers die met honderden virussen en malware besmet zijn toegang krijgen tot het digitale informatienetwerk.” De teneur van het stuk is dat menigeen geen idee heeft hoe onveilig de computers van op het LSP aangesloten zorgaanbieders zijn (bijv. huisartsen en apothekers) en hoe onveilig met de UZI-pas waarmee de aangesloten zorgaanbieder verbinding maakt met het LSP, gewerkt wordt. Tot voor kort werden de risico’s van de decentrale delen van het LSP-netwerk als beperkt en goed hanteerbaar geschetst. Nu echter komen er in genoemd artikel meerdere mensen vanuit de databeveiliging en de bedrijfsrecherche aan het woord die hun zorgen uitspreken. Kritiek op het LSP is blijkbaar salonfähig geworden.

Doen en laten

In wezen gaan de commentaren in het artikel om drie zaken. Ten eerste wat er allemaal op een PC van een zorgaanbieder nog meer aan software staat en wat daarmee gebeurt. In de tweede plaats gaat het om zaken die nagelaten worden, zoals het op adequaat niveau brengen van anti-virus/anti-malware software. En in de laatste plaats gaat het om hoe er omgegaan wordt met de toegangsprocedure tot het LSP door het hanteren van de UZI-pas. Door onzorgvuldig gebruik kunnen derden toegang krijgen tot het LSP. Het zijn allemaal zaken die de kwetsbaarheid van een keten van gekoppelde ICT-systemen, zoals bij het gebruik van het LSP, sterk vergroten.

GBZ

De systemen van zorgaanbieders, zoals huisartsen en apothekers, die aan het LSP-systeem aangesloten zijn, hebben in de terminologie van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het LSP, de kwalificatie Goed Beheerd Zorgsysteem(GBZ). Dat klinkt heel erg vertrouwenwekkend, maar berust grotendeels op de schriftelijke, ondertekende verklaring van de zorgaanbieder, dat die een GBZ heeft en dat is dan eigenlijk alles. VZVZ doet dan jaarlijks wat steekproeven en zegt naar aanleiding van de resultaten ervan te handelen, doch navraag levert geen openheid over die steekproeven op. In ieder geval verschenen nergens berichten over van het LSP afgesloten systemen vanwege geconstateerde onveiligheid. Informatie over hoe veilig de GBZ’s zijn, is niet beschikbaar. Op papier denkt VZVZ de handen daarmee in onschuld te kunnen wassen, doch zal zelf best wel beseffen dat de gemiddelde zorgaanbieder zich niet altijd volledig realiseert wat hij/zij moet doen en laten op het eigen ICT-systeem om veiligheid te kunnen garanderen. Met name geldt dit voor smartphones, tablets etc. die op het praktijknetwerk zijn aangesloten via wifi.

Controle

Op zich is het theoretisch zo dat een patiënt wiens gegevens via het LSP opgevraagd kunnen worden een inzage-overzicht bij VZVZ kan opvragen en ook een email-notificatie kan krijgen bij raadplegen. Het zijn services die niet automatisch plaatsvinden, maar die op aanvraag aangezet kunnen worden. Het is derhalve niet uitgesloten dat bij mensen die geen inzage-overzicht en/of email-notificatie hebben aangezet onterechte inzage plaatsvindt buiten hun weten. Logging vindt wel plaats in de bevraagde systemen, maar voor de huisarts van een dergelijk systeem kan een opvraging alleen als onterecht beoordeeld worden als hij eerst met de patiënt heeft overlegd of die op de betreffende dag een zorgaanbieder zag in het kader van een behandeling. Kortom: een reëel deel van de onterechte opvragingen kan onder de radar blijven zonder dat een haan er naar kraait.

Grootste probleem

De portee van het stuk op www.skipr.nl is dat bij een systeem met een centrale computer de decentrale systemen(eindgebruikers) de zwakke schakels van het systeem zijn, zowel aan de ontvangende als aan de opvragende kant. Elk systeem met een centrale computer of een systeem via de cloud is per definitie af te tappen dan wel te hacken via de decentrale schakels. Via de centrale computer of in de cloud zijn  veel data dan benaderbaar. Bij het communiceren van twee decentrale systemen via bijv. de Whitebox onderling, gaat het telkens om rechtstreekse communicatie tussen elkaar kennende partijen zonder tussenliggend systeem. Het gaat nog steeds om dezelfde potentieel kwetsbare eindgebruikers, maar het ontbreken van “the system in the middle” maakt de schade bij problemen veel kleiner dan met een centraal systeem. De gekende andere maakt het niet tot een onpersoonlijke en slecht controleerbare moloch.

Het nu openlijk bekritiseren van de kwetsbare delen van het LSP-netwerk toont aan dat de kritiek op het systeem niet uitsluitend komt van huisartsen, die VZVZ graag afschildert als fanatiekelingen die vanuit hun loopgraven VZVZ belagen, maar ook uit de hoek van mensen die beroepsmatig met data-veiligheid te maken hebben en bedrijfsprocessen in de zorg kennen.

W.J. Jongejan