Ziekenhuis verliest USB-stick met data 14.000 patiënten
Een Amerikaans ziekenhuis is een USB-stick met de gegevens van 14.000 patiënten verloren. Naast patiëntgegevens bevatte de stick ook informatie van 200 werknemers van het Oregon Health & Science University Hospital. Het gaat onder andere om sofi-nummers, adresgegevens en namen van de werknemers. Van 702 patiënten werd ook meer persoonlijke informatie buitgemaakt
Encryptie
Het apparaatje werd begin juli per ongeluk door een werknemer in een tas meegenomen. Deze tas werd tijdens een inbraak gestolen. De USB-stick was niet versleuteld, maar wel met een wachtwoord beveiligd. De gegevens zouden in een "ongewoon formaat" zijn opgeslagen en alleen met software zijn te openen die niet normaal op pc's aanwezig is.
Aangezien er bij de inbraak ook andere spullen werden gestolen gaat het ziekenhuis ervan uit dat de USB-stick niet het doel van de dief was. De 702 patiënten worden per brief ingelicht.
Fout 2. Hoe kan het dat er USB sticks worden gebruikt die niet ge-encrypt zijn?
Dus... de security policies zijn niet op orde of worden niet nageleefd. Vermoed het eerste.
Haal die on-the-fly op uit de database aan de hand van een uniek recordnummer.
En als die USB stick werd meegenomen wie zegt of ontkracht dat er (door de medewerkster) niet ook een laptop werd meegenomen met die 'niet-normale' software die gegevens opslaat in een 'ongewoon' formaat.
En zo ongewoon zal het allemaal niet zijn als die 'niet normale' software toestaat deze bijzondere data op een usb-stick te bewaren.
Dan heb je namelijk privacy en veiligheid niet erg hoog in het vaandel staan.
Dergelijke gegevens vallen onder de hoogste privacy norm van de WBP en mogen helemaal niet op zo'n stick staan.
En áls er dus zo'n usbstick verloren wordt, hoeveel USB sticks zijn er dan die niet verloren worden maar ook patiëntgegevens bevatten, dat moeten er duizenden zijn....
Veiligheid en privacy zijn groot goed voor iedereen. Maar die medewerkers in het ziekenhuis hebben ook wel protocol te volgen om hoe met die gegevens omgaat. Dus de gegevens kunnen beter op een beveiligde server opgeslagen worden waar dan ook iedereen niet bij kan komen zonder wachtwoord en inloggegevens. Het is ook vrij bekend dat ICT soms laf is om aan de beveiliging te werken zoals bijvoorbeeld een hardeschijfruimte toe te kennen aan bevoegden met middel van versleuteling van de bestanden. Dan heb je ook minder kans op gehackt te worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.