Beveiliging EPD schiet ernstig tekort
Onderzoek van de Universiteit van Amsterdam wijst uit dat de beveiliging van het Elektronisch Patiëntendossier ernstig tekort schiet. Zo wordt onvoldoende rekening gehouden met inbraken in zorginformatiesystemen of het Landelijk Schakelpunt (LSP). Bovendien is de mandatering waarmee artsen hun medewerkers namens henzelf toegang geven tot het EPD, erg eenvoudig te misbruiken om toegang te krijgen tot een dossier. Informaticus Guido van 't Noordende onderzocht de beveiligingsarchitectuur van het EPD. Hij komt tot de conclusie dat de beveiliging en daarmee de confidentialiteit en privacy van patiëntgegevens in het EPD, niet afdoende gewaarborgd is.
Voor het opvragen van een dossier hebben zorgverleners zoals artsen een eigen smartcard (‘UZI-pas') waarmee ze toegang krijgen bij het LSP. Dit schakelpunt zoekt vervolgens het dossier op bij de informatiesystemen die de EPD's beheren. Van 't Noordende stelt dat in het geval van een inbraak in het LSP of de ziekenhuissystemen die de mandatering regelen, de beveiliging onvoldoende is.
Inzage
Zorgverleners kunnen andere medewerkers toestemming geven voor toegang tot het LSP en dossiers. Maar het LSP heeft geen mogelijkheden om te controleren dat de medewerker echt gemandateerd is. Er wordt geen bewijs meegestuurd op het moment dat de medewerker namens de arts iets opvraagt. Ziekenhuizen hebben een systeem dat mandatering regelt, maar die zouden ook aangevallen kunnen worden door hackers.
Een ander probleem is dat een patiënt moet aangeven dat hij of zij een behandelrelatie heeft met de arts voordat die het EPD van die persoon kan raadplegen. Deze toestemming is, net als de toestemming die de arts aan de medewerker geeft voor het opvragen van een dossier, decentraal geregeld en niet zichtbaar voor het LSP, dat de toestemming dus niet kan controleren.
Van 't Noordende ziet ook een probleem bij een inbraak in het LSP, want op dit moment kan de aanvaller dan in feite alle patiëntendossiers opvragen. Er kan decentraal (bij de systemen die de opgevraagde dossiers bevatten) niet gezien worden of er een zorgverlener achter de aanvraag zit. De protocollen bij het LSP geven hiervoor niet voldoende veiligheid. Inbreken in het LSP is niet eenvoudig, maar volgens de onderzoeker ook niet uit te sluiten. Dat ziekenhuissystemen te hacken zijn is in het verleden al aangetoond.
Smartcard
Verder waarschuwt Van 't Noordende dat een patiënt zijn of haar EPD wel kan inzien om bijvoorbeeld ongewenste te dingen te verwijderen, maar dat die bewuste gegevens nooit helemaal verdwijnen. Het LSP bewaart de gewiste gegevens namelijk voor een bepaalde periode (reconstructiehorizon).
De onderzoeker stelt daarom dat patiënten zeggenschap moeten krijgen over welke informatie in hun EPD wordt opgeslagen. Een aanvullende oplossing is dat iedere patiënt een smartcard krijgt. Dan wordt de verwijderde informatie versleuteld waardoor alleen de patiënt ooit nog bij de gewiste informatie kan. Op die manier is verwijderde informatie niet meer terug te vinden bij een inbraak in het LSP.
Daarom zou het goed zijn als er een onafhankelijke onderzoekscommissie komt die al deze projecten onder de loep neemt. In deze commissie moeten onder anderen beveiliging experts en cryptologen komen.
En omdat ministers er nog al eens een handje naar hebben om de wet aan de kant te schuiven, zal dit waarschijnlijk in de grondwet verankerd moeten worden. Belachelijk maar waar.
Of anders gezegd: het probleem zijn niet dit soort projecten, maar de personen die ze bedenken en er politiek vervolgens doorheen duwen.
PICNIC (Problem in chair, not in computer)
Nee. Veiligheid is onderdeel van gebruiksgemak. Alleen ICT'ers hebben het idee dat veiligheid een gevaar is voor het gebruiksgemak. Een auto heeft voor de veiligheid een stevige constructie. Een kast met documenten kan op slot. Een liftdeur gaat dicht voordat de lift in beweging komt. Al deze veiligheid is geen gevaar voor het gebruiksgemak.
Dat kan omdat veiligheid als eis bij het ontwerp wordt meegenomen.
Dus vanaf het moment dat gebruiksgemak en veiligheid niet als tegenpolen worden gezien, kan een bruikbaar systeem ingevoerd worden.
Tot die tijd wordt een half product afgeleverd. Gek dat we een lift zonder deuren niet accepteren, en een patientensysteem zonder deuren wel.
ArnoF
Helaas gaan je stelling en je voorbeelden niet goed (of zelfs gewoon niet) op.
De constructie van een auto is niet stevig, hoogstends stevig genoeg om niet al te veel te hinderen bij het rijden. Als de constructie echt stevig zou zijn, zou de auto als een baksteen op de weg liggen. Wat ten koste van het gebruiksgemak gaat (minder snelheid, minder plezier van het rijden)
Ook de kast die op slot kan is een slechte vergelijking, want dat slot hindert het gebruiksgemak aangezien je eerst het slot moet losmaken voordat je in de kast kunt. En hoe zwaarder het slot (lees: hoe veiliger), hoe meer moeite het kost om het slot open te maken (lees hoe minder comfort)
En de liftdeur is ook al alleen een hinder voor het gebruiksgemak, aangezien er bijna 5 seconden niks gebeurt voordat de deuren dicht gaan.
Zolang mensen denken dat ze van beide wallen kunnen eten, zal ieder systeem afgekraakt worden om één of andere reden.
Wat niet wegneemt dat de veiligheids-aspecten verbeterd kunnen worden ten behoeve van het gemak (zoals een electronisch slot op de kast die opengaat als een geauthoriseerd persoon dichtbij komt, of een liftdeur die na slechts 1 sec dicht gaat omdat er bijvoorbeeld niemand in de gang is)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technical Security Trainer
Ben je net als de rest van ons team bovenmatig geïnteresseerd in security en vind je het leuk om je hacker mindset en security-skills over te dragen? Dan ben je bij ons aan het juiste adres!
Are you ready for a challenge?