Lekken in software voor patiëntendossiers gepatcht
In software voor het bijhouden van elektronische patiëntendossiers zijn verschillende kwetsbaarheden gepatcht waardoor een aanvaller gevoelige patiëntgegevens kon stelen of patiënten kon mailen, zo laat het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit weten.
De kwetsbaarheden bevonden zich in de Electronic Health Record (EHR) webapplicaties van de Amerikaanse leverancier drchrono. Via cross-site scripting (XSS) en cross-site request forgery (CSRF) was het mogelijk om nieuwe gebruikers in de software aan te maken, waaronder beheerders, alle data te lezen en patiënten e-mails te sturen. Om de aanvallen uit te voeren had een aanvaller een ingelogde gebruiker, bijvoorbeeld een arts, naar een pagina moeten lokken waar de aanvalscode op aanwezig was.
"Door een gebruiker een speciaal geprepareerde pagina te laten bezoeken, kan een aanvaller bijna alle EHR-data bemachtigen, waaronder gevoelige patiëntgegevens en persoonlijk identificeerbare informatie", aldus het CERT-CC. De kwetsbaarheden werden begin deze maand gepatcht. Of de software ook in Nederland wordt gebruikt is onbekend. Wel staat het pakket vermeld in de Digitale Zorggids.
EPD is en blijft een waardeloos en gevaarlijk systeem.
Waarmee de enige juiste conclusie is dat zelfs met alle huidige best current practices, de verkrijgbare techniek gewoon niet goed genoeg is voor dit soort toepassingen op publieke netwerken. Hetzelfde geldt voor, bijvoorbeeld, electronisch stemmen. We moeten gewoon toegeven dat wat we presteren ondermaats is, en niet blijven proberen de schijn op te houden. Pas daarna kunnen we ons bezinnen hoe nu verder. Dat we dan de geprojecteerde (en grotendeels uit de duim gezogen, zoals altijd) voordelen van verregaande verdigitalisatie niet kunnen plukken doet daar niets aan af. Het grondbeginsel moet zijn: Vooraleerst, doe geen kwaad. Veroorzaak dus ook geen informatieschade.
Net als de bij de FSB dus weer typemachines aanschaffen en dossiers in een niet-papierloos kantoor opslaan. Ook papieren dossiers kunnen gestolen danwel gekopieerd worden, maar dan gaat dat niet met een x-aantal dossiers tegelijk naar de andere kant van de oceaan.
Overigens, het bedrijf dat achter het LSP zit gaat rechtstreeks over de grens, maar onze volksvertegenwoordiger houdt vol dat alles veilig is... Burgers zijn maar lastig!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.