Ben ik nou de enige die me zorgen gaat maken als een projectleider slechts twee specifieke beveiligingsmaatregelen noemt en dan de bewering doet dat alle gevens daarom veilig zijn?

Nu heb ik niet de illusie dat er in de afgelopen 100 jaar nooit miljoenen patientgegevens op papier zijn verloren, onterecht ingezien of gejat zijn. Maar je kan je natuurlijk in de huidige tijd ook voordoen als Mobility Specialist en vervolgens geen zak verstand hebben van ict-beveiliging maar wel heel goed zijn in pr-babbeltjes. Dan komt alles goed, toch? Goedgelovigheid als ICT-beveiliging, goed voor je eigen portemonnee en die van bijvoorbeeld Dell.

Aangezien er gesteld is dat het LSP alleen een koppelvlak was, neem ik aan dat met EPD de interne systemen van het Medisch Centrum bedoeld worden, waar gegevens in opgeslagen worden.

Voor de rest is dit een leuk verhaaltje,wat vertelt hoe gebruiksvriendelijk het is voor de verpleegkundige en arts.
Er wordt echter niets verteld over de beveiliging van de data.
Hoe hebben de verpleegkundigen toegang? Hoe goed zijn de tablets beveiligd (gedurende de werkdag)?
Wat gebeurt er bij verlies of diefstal?
Hoe vindt de communicatie palats (un-encrypted communicatie via onbeveiligde wifi?)
etc, etc.

Een leuk promotie praatje dus, met weinig inhoud.

Nou, daar moet je dus niet meer zijn. Zonder enige beveiliging...

Ik zie het probleem niet. Oh wacht... de server kan gehackt worden.........
Hmm..... Neee.... Dell zegt dat het veilig is toch??? Dan reken ik het goed ????????????

Hoe werkt het met authenticeren ?

Want alle mensen die toegang tot het EPD/LSP zouden willen moeten dit doen via een persoonlijk UZI-pas, en de paslezer kan niet aangesloten worden op die Windows 8 tablet.....

of

Men maakt gebruik van een UZI-servercertificaat in het zorgsysteem/zorgapplicatie en laat de tablets het zorgsysteem/applicatie bevragen. Als dit het geval is dan heeft het medisch centrum Amersfoort de authenticatie eis omzeilt en kan straks iedereen die de tablet in handen heeft toegang tot het EPD krijgen ..... (wellicht dat je bij sommige tablet de eerst 0000 moet intoetsen om toegang te krijgen .... )

Persoonlijk ben ik fel tegenstander van het LSP/EPD en vindt ik het alleen maar angstiger als ziekenhuizen zelf gaan zitten prutsen aan allerlei uitbreiding op het LSP/EPD. En dat dit vervolgens gebeurd met een commerciële partij die waarschijnlijk een vinger in de pap heeft m.b.t. de gegevens verwerking en er totaal geen transparantie is over de werking van applicatie en bijv. veiligheidsmechanismes.....

de naiëviteit van de zorgverleners druipt er weer vanaf.....


Ah, dus als gegevens niet op de tablet worden opgeslagen en tablet worden bewaard in een Ergotron kast is alles veilig en gebeurt er niks meer mee....... Maar natuurlijk, dat niemand dat ooit begrepen heeft!!! Security specialist maken zich voor niks druk om dit soort oplossingen, maargoed zij hebben straks geen werk meer want Medische Centrum Meander heeft het ei van Columbus m.b.t. cyber security; Geen gegevens opslaan op de tablet en de tablet bewaren in een ergotron kast!!!

Helaas zal geen enkele security expert zich hier achter schalen of dit durven te bevestigen, maar gelukkig hebben zij iemand van Dell die zich Mobility Specialist noemt. (Euh Wattes?) Ja precies Mobility Specialist (iemand die specialist is in mobiliteit? Iets met auto's, bussen enz. ?) Neuh, iemand die een app op tablet installeert en demonstreert hoe je rondjes met die tablet kunt lopen. (Euh serieus?) Ja, en die persoon zegt dat het veilig is ! (natuurlijk dan stellen we verder geen vragen meer heh?)

En dan zijn we er nog niet...

Want wel probleem is er nu precies opgelost met deze dure en zeer waarschijnlijk onveilig oplossing die de zorg zelf zeerwaarschijnlijk ook nog eens onnodige duurder maakt.

Vroeger hing het dossier aan de rand van het bed en nu kan mijn digitaal kijken ! Joepie!


En natuurlijk kunnen nu de verpleegkundige zien wat ze moeten doen ..... Wat impliceert dat ze nu doelloos rondlopen in het ziekenhuis omdat men schijnbaar niet weet wat men moet doen.


meer dan 60% van de Nederlanders staat niet in het EPD of LSP en daarbij registreer je dus helemaal niks in te computer. Overigens hangt het dossier gewoon aan het einde van het bed dus ik weet niet wat mevrouw daarvoor achter een de computer deed ? Ik zie de tijdwinst niet ....


Bij patienten die niet beter weten... bij mij komt het over alsof jullie een stel kneuzen zijn die niet weten welk probleem je nu precies hebt opgelost. De risico's niet zin en in plaats van kwalitatieve goed en betaaldbare zorg te leveren het belangrijker vinden dat jullie "hip" werken ....


Overigens heb ik even de LinkedIN pagina, van meneer de Mobility Specialist bekeken en daar zie ik wat anders staan. Daar heet de meneer "Business Development Manager Mobility" niet echt specialist dus, maar meer een manager... Maargoed als je even door leest staat er;

"As Business Develop Manager (BDM) Mobility I am a quota carrying salesperson focused on driving the sale of Dell’s Mobility Solutions (tablet, ultrabook, notebook and associated services, software & peripherals) focusing on the Medium, Large & Public customer segments. As BDM Mobility I will make customer sales calls to surface, qualify, position and close new opportunities (at existing dell customers and new acquisition customers) and own the Mobility sales quota for the Netherlands."

Dus in het artikel hebben we te maken met een specialist, draagt mogelijk de titel van manager, maar is eigenlijk gewoon een verkoper..... ik kan alleen maar zeggen; lol !

https://www.security.nl/posting/361069/Nieuwe+Windows+8+heeft+%22achterdeurtje+voor+NSA%22
..dat.

Een windows tablet heeft vaak een USB-poort, heb je nagetrokken of ze een tabletversie van die paslezer hebben?


Op een windows tablet kan inloggen binnen een Active Directory domein worden gebruikt, net zoals dat op PC's kan. Dan heb je (bij de juiste instellingen) een veilige manier van inloggen. Wanneer de data alleen via dit AD-domein bereikbaar zijn, moeten ze dus behalve de tablet ook nog de login gegevens van een domeinuser hebben.


Dit zouden aanvullende maatregelen moeten zijn op wat ik hierboven aangeef en dan zou dat dus de situatie verbeteren.

Ik kan me niet onttrekken aan de indruk, dat je bij het lezem van het woord tablet meteen bent gaan denken aan goedkope thuisoplossingen en niet aan een draagbare PC. Maar veiligheid van alle computersystemen is natuurlijk uiteindelijk altijd ook afhankelijk van de gebruiker. Daar helpt geen paslezer enz. tegen.

Foutje?

Moet in mijn opinie zijn:
Dell, MS de ontwikkelaar v/d app en de verpleegkundige zien in één scherm voor welke patiënten die dag moet worden gezorgd, compleet met de belangrijkste gegevens, zoals diagnose, behandelend arts, allergieën, wel of niet reanimeren, temperatuur, bloeddruk, infusen, ademhaling, pijnscore en andere gegevens.


Humor?
In de uniformzak v/d verpleegkundige dus. Gelukkig staan mensen er om bekend nooit fouten te maken...
Het grootste voordeel is natuurlijk dat gestolen data maar beperkt nut heeft, omdat het slachtoffer waarschijnlijk toch al op korte termijn gaat overlijden. Top!

Promotieartikel ?

Nouja, dan heb je dus of een losse paslezer met een draadje aan dat apparaat hangen, waarmee het niet meer zo handig in de jaszak past, of die pas steekt permanent in het apparaat, waarmee je als kwaadwillende eenvoudigweg de kleedkamer omspit voor een paar van die apparaten-met-pas-er-nog-in en je hebt fijn toegang.

Dat hele concept van een UZI-pas (ratatatata) die toegang geeft tot (landelijk) alle data is overigens een van de grote zwakke plekken en dat die in dit slinks ombenoemde LSP nog steeds zo werkt als voor het in-naam-afgeschoten EPD betekent dat deze zwakheid nog steeds vol aanwezig is.

En we zien dus dat dit ziekenhuis zijn werkwijze ophangt aan dit kapotte concept en daarmee de patient effectief geen keuze laat. Het wordt je dus alsnog door de strot geramt, zoals voorspeld.

De grap is dat het gros van de industrieele "oplossingen" inderdaad bestaat uit in esssentie goedkoop thuis- of kantoorspeelgoed in een duur "ruggedized" jasje.

En de gebruiker? De gebruiker, in dit geval de verpleegkundige, moet gewoon z'n werk doen, en dus kunnen doen. Die moet zich niet om moeilijk doen omwille van de beveiliging hoeven bekommeren, dus als die dat "natuurlijk" wel moet, dan is het systeem net zo natuurlijk onveilig te achten.

Predjuh, u haalt het landelijke EPD/LSP door elkaar met het lokale informatiesysteem van Meander.

Hebben ze eraan gedacht een bordje 'Verboden te zakkenrollen' op te hangen bij de ingang?

Ik vraag me nu wel af hoe snel deze gegevens bij de verschillende zorgverzekeraars beschikbaar zijn. Net als het EPD, daarbij is het niet de vraag of ze er aan kunnen komen, maar eerder hoelang hebben ze de gegevens al.

"...Ik kan me niet onttrekken aan de indruk, dat je bij het lezem van het woord tablet meteen bent gaan denken aan goedkope thuisoplossingen en niet aan een draagbare PC..."

Ik heb gekeken naar de specificatie van de genoemde tablet:

http://www.dell.com/nl/p/dell-venue-8-pro/pd

Poorten & aansluitingen
1 x Micro-AB USB 2.0 (voor opladen met "trickle"-functionaliteit en gegevensoverdracht)
1 x hoofdtelefoon en microfoon-comboaansluiting
1 x 3FF micro-SIM-kaartsleuf (binnenkort verkrijgbaar, optioneel met WWAN-configuratie)

In elk geval ontbreekt een gewone USB poort en is de USB host functionaliteit niet benoemd. Je kan er dus bijna vanuit gaan dat het niet mogelijk is om gewoon een UZI-pas aan te sluiten, daarnaast zou je de hele dag met een UZI-lezer en een UZI-pas in zak moeten rondwandelen....

Wat betreft het AD, leuk dat je daar op in kan loggen maar de bedoeling van een UZI-pas is toch echt multifactor. Het gebruik van het zelfde account op de tablet als op de PC maar gebruik alleen maar iets risico voller in tegenstelling tot wat jij "Veilig noemt" blijf ik van mening dat gevoeligheid van de gegevens dusdanig is dan username + password gewoon niet afdoende is of beter gezegd niet naar stand der techniek. . AD of niet....

Tot slot zeg je ; "...Dit zouden aanvullende maatregelen moeten zijn op wat ik hierboven aangeef en dan zou dat dus de situatie verbeteren..." met betrekking tot de ergoton kast. Ik vraag me dan af, aanvullende op wat ?

In het artikel staan twee zogenoemde maatregelen, het niet opslaan van gegevens op de tablet en de ergotron kast. Voor de rest is er geen enkele maatregel benoemd. Ik vind het dan ook niet juist om te spreken over aanvullende maatregelen omdat ze in de context van het artikel geen aanvulling op andere maatregelen zijn. Afgezien daarvan zijn het ook nog eens twee maatregelen die na mijn optiek enige doeltreffendheid missen. Immers; als er geen gegevens op de tablet staan hoe waarborgt een dergelijke kast dan de veiligheid van de gegevens. Het geen je opslaat in de kast bevat geen gegevens schrijven ze eerder....

vertel mij dan maar eens hoe die kast bijdraagt aan de beveiliging van gegevens als je de gegevens zelf niet in kast gaan.....

Los van het aspect wat hierboven wordt beschreven over de veiligheid van data en tablet, is het vermakelijk hoe weer twee zaken door elkaar worden gehaald.
Namelijk het LSP en een EPD.
Een EPD is niks meer en niks minder dan een lokaal(ziekenhuis) draaiende applicatie waar patientgegeves direkt door zorgverleners en behandelaars worden vast gelegd.

Verder is het alrijd vermakelijk om te lezen hoe mensen uit de heup schieten met hun reacties zonder zich echt te verdiepen in het onderwerp.
Zie het door elkaar halen van EPD en LSP.

Ik zou dan dus ook verwacht hebben dat op een site als deze en met deskundigen zoals jullie dat er de juiste vragen gesteld zou worden om e.a. verduidelijkt te krijgen m.b.t de dat beveiliging. En opmerkingen hoe dat beter beveiligt kan worden.

Je draait de zaken om. De politiek (en de staart die de hond kwispelt, de verzameling zorgverzekeraars) heeft zelf "EPD" zozeer besmet en vervolgens onhandig ombenoemd dat iedere melding van "EPD" betekent "gaan we weer", wat gezien de in het verleden behaalde resultaten niet onterecht is. Zegge: Volstrekt terecht.

Het logische gevolg daarvan, maar ook zonder dat een staande vereiste, is dat zo'n systeem vol met gevoelige informatie zelf laat zien dat ze goed opgelet hebben, geleerd van eerder gemaakte fouten, en zo verder. Dat ze dus een solide en goed, constructief beveiligd ontwerp hebben neergezet. Dat haal je uit zo'n juichberichtje niet naar voren. We moeten dus afgaan op "het is allemaal GE-WEL-DIG mensun!!1!" en dat riedeltje hebben we eerder gehoord.

Kan je wel lacherig gaan doen over de reacties, maar ook dat is niet constructief. Je bent dus evenzogoed onderdeel van het probleem. Je kan er wat aan doen door een gedetailleerde beschrijving van technische en procedurele garanties te publiceren en wellicht zelfs aan te kondigen hier vragen te komen beantwoorden.

Als de opslag in de kast iets aan de beveiliging toevoegt, moet ik concluderen dat je als je zo'n tablet te pakken krijgt dus meteen bij gegevens kunt...

Gezien dat ik in mijn omgeving een aantal mensen ken met zo'n pas... Deze wordt in veel gevallen niet eens afgedwongen.
Ik vind het beschamend dat men geen gebruik maakt van 2FA voor zulke gevoelige gegevens. Wordt tijd dat het CBP eens actie onderneemt.

Het is duidelijk dat Anoniem uit "03-02-2015, 10:54 door Anoniem" uit zijn nek kletst zonder veel kennis van zaken.

In een persbericht voor leken kunnen uiteraard niet alle details worden genoemd die nodig zijn om tot een evenwichtig oordeel over beveiliging te komen.

Een ziekenhuis wordt periodiek geaudit op alle beveiligingsaspecten (NEN7510, NIAZ) en heeft daarom beveiliging als een belangrijke prioriteit. Dit in tegenstelling tot veel commerciële bedrijven.

Een Windows 8 tablet kan worden beschouwd als een goed beveiligde werkplek binnen een Microsoft AD-gebaseerde infrastructuur, en kan met domeinaccounts veilig door meerdere medewerkers worden gebruikt, met audit trail.

Dit in tegenstelling tot iPads en Androids.

I rest my case.