UZI-pas-problemen door stoppen Java en ActiveX-ondersteuning webbrowsers

general-hazard-909910_640

 

Vandaag (21-09) stuurt het UZI-register aan de klanten van het UZI-register een bericht per email over het mogelijk niet goed meer werken van de UZI-pas vanaf oktober 2016. Dat komt volgens het afdelingshoofd UZI-register, Esther Dekkers, omdat leveranciers van webbrowsers, zoals de Internet Explorer of Google Chrome, vanaf oktober een tweetal externe onderdelen, namelijk Java en ActiveX, uit de browsers laten verdwijnen. De UZI-pas-lezer maakt gebruik van bepaalde webbrowser-onderdelen voor identificatie, authenticatie en het plaatsen van digitale handtekeningen op medisch gerelateerde documenten. Het is daardoor weer eens duidelijk hoe kwetsbaar het UZI-pas-systeem is voor mutaties in externe software. De UZI-pas maakt gebruik van een hele keten van softwaretoepassingen, waarbij een kink in de kabel bij één onderdeel het hele kaartgebruik kan stilleggen. Dat heeft uitermate grote consequenties, omdat de moderne huisarts-/zorgsystemen vaak gebruik maken de UZI-pas voor het inloggen. Een niet werkende UZI-pas betekent dan niet kunnen inloggen in het eigen zorgsysteem. Ook de medische datacommunicatie via het Landelijk SchakelPunt(LSP) is afhankelijk van het gebruik van de pas. Zonder inlog met de UZI-pas is er geen dataverkeer via het LSP mogelijk.

Java en ActiveX

De UZI-pas-lezer maakt in veel gevallen gebruik van bepaalde webbrowser-onderdelen. Java en Active X zijn er twee van. Beide onderdelen worden niet door de webbrowser-leverancier(Microsoft, Google etc) zelf gemaakt, maar zijn softwareprogramma’s die als applicaties in de browser geïnstalleerd kunnen worden. Het doel daarbij is om bepaalde andere software in de browser te kunnen inladen en te laten draaien. Omdat de browser-leveranciers deze onderdelen vanaf oktober 2016 niet meer ondersteunen loopt de werking van de UZI-pas en daardoor de praktijkvoering nu gevaar.

Zeer kort, negen dagen, voor het begin van de maand oktober wordt nu gewaarschuwd om niets te veranderen aan de huidige browser-configuratie en te wachten tot een oplossing beschikbaar is. Het houdt bijvoorbeeld in dat als u in uw scherm een melding krijgt dat u de Java- of ActiveX- software moet updaten, u geen update daarvan meer  installeert. Overleg met uw eigen softwareleverancier voor de praktijksoftware lijkt me uitermate zinvol. Al was het maar om in gezamenlijkheid te zien of er niet ingesteld is dat de updates voor de nu gewraakte software automatisch plaatsvindt.

Kwetsbaarheid

Al eerder was duidelijk hoe kwetsbaar de softwareketen is rond de UZI-pas. Zo was een update van Windows 10 Enterprise in december 2015 verantwoordelijk voor het uitvallen van de werking van de UZI-pas. Pas na een nieuwe update van deze versie van Windows 10 was het probleem opgelost. De cascade van aan elkaar gekoppelde software en de afhankelijkheid van leveranciers ervan maakt het geheel zeer kwetsbaar. Andermaal blijkt dit nu weer. Het is een kwestie van wachten voor weer een voorbeeld hiervan voorbij komt. Het nare is dat de praktijkvoering van veel zorgaanbieders inmiddels afhankelijk is van de goede werking van de UZI-pas. Men zou er goed aan doen de afhankelijkheid van externe software voor het pasgebruik te minimaliseren en liefst tot nul terug te brengen.

W.J. Jongejan