Tapes met 13 miljoen patiëntgegevens gestolen
Niet hackers of cybercriminelen, maar verloren en gestolen back-up tapes en computers waren het afgelopen jaar in de Verenigde Staten voor de grootste medische datalekken verantwoordelijk. Het Amerikaanse ministerie van Volksgezondheid heeft een "breach tool" online gezet, die het aantal incidenten van het afgelopen jaar in kaart brengt.
Bij de vijf grootste datalekken gingen de gegevens van 13 miljoen patiënten verloren. Het ging onder andere om namen, adresgegevens, geboortedata, social security nummers, verzekeringsinformatie en medische dossiers.
Encryptie
Het grootste lek vond plaats bij Tricare, een gezondheidsprogramma voor militairen. In september werden de onversleutelde back-up tapes met de gegevens van 4,9 miljoen deelnemers aan het programma gestolen. De diefstal van een onversleutelde desktopcomputer bij Sutter Health, zorgde ervoor dat de gegevens van 4,2 miljoen patiënten op straat belandde.
Verloren onversleutelde back-up tapes en harde schijf van Nemours en Health Net, waren bij elkaar verantwoordelijk voor het verlies van 3,5 miljoen patiëntgegevens. Een gestolen computer met de onversleutelde gegevens van een half miljoen patiënten bij Eisenhower Medical Center maakt de top 5 compleet.
Versleutel die data die je backupt en je raakt alleen een restore-mogelijkheid kwijt wanneer de tape verdwijnt.
Dit zou wereldwijd verplicht moeten worden voor data met persoonsgegevens.
Een desktop computer zou ook geen patiënten-gegevens mogen bevatten. Dat trek je dan maar vanaf een server.
En voor een server is het ook helemaal niet erg dat systeembeheer de versleuteling actief moet ontsleutelen bij het booten. Dan ben je alleen maar een stuk infrastructuur (en dus tijd/geld) kwijt wanneer 'ie gejat wordt, of toevallig bij het grof vuil aan de straat komt te staan.
Tegenwoordig kun je AES-versleuteling op een moderne i5 laptop-CPU al met enkele GB's per sec. uitvoeren, dus waarom wordt dat niet vaker gebruikt. Er is geen technische reden meer om het achterwege te laten.
Versleutel die data die je backupt en je raakt alleen een restore-mogelijkheid kwijt wanneer de tape verdwijnt.
Dit zou wereldwijd verplicht moeten worden voor data met persoonsgegevens.
Een desktop computer zou ook geen patiënten-gegevens mogen bevatten. Dat trek je dan maar vanaf een server.
En voor een server is het ook helemaal niet erg dat systeembeheer de versleuteling actief moet ontsleutelen bij het booten. Dan ben je alleen maar een stuk infrastructuur (en dus tijd/geld) kwijt wanneer 'ie gejat wordt, of toevallig bij het grof vuil aan de straat komt te staan.
Tegenwoordig kun je AES-versleuteling op een moderne i5 laptop-CPU al met enkele GB's per sec. uitvoeren, dus waarom wordt dat niet vaker gebruikt. Er is geen technische reden meer om het achterwege te laten.
Beschikbaarheid en vertrouwelijkheid zijn 2 zaken die lijnrecht tegenover elkaar staan. En bij backups wint beschikbaarheid het in 99 van de 100 gevallen. Als je data gaat encrypten loop je een extra risico op dataverlies. Verlies de key, en je bent de data kwijt. En tijdens een recovery is zo'n risico onacceptabel.
Desktops hebben nog altijd swapfile/partities en temp-files waar gegevens in kunnen achterblijven. Dus die zal je wel moeten encrypten.
Een server waar je actief handelingen moet uitvoeren tijdens het booten? Jij hebt zeker nog nooit een datacentre plat zien gaan. Zie je het al voor je, honderden servers waar een key moet worden ingevoerd? En terwijl IT daar mee bezig is zitten duizenden anderen niets uit te voeren. En iedere keer als er een kernel-update uit komt moet dit gedaan worden?
Misschien dat ze bij de CIA en andere plekken waar ze met staatsgeheimen e.d. wat aan dat soort maatregelen hebben, maar voor de rest van de wereld zullen ze meer kwaad dan goed doen.
Versleutel die data die je backupt en je raakt alleen een restore-mogelijkheid kwijt wanneer de tape verdwijnt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.