Nieuws
image

Minister: Java-plug-in nog nodig voor software zorgaanbieders

donderdag 27 oktober 2016, 11:30 door Redactie, 12 reacties
Laatst bijgewerkt: 27-10-2016, 13:33

Het overheidsadvies aan zorgaanbieders om hun browser niet te updaten is gegeven omdat de software in de zorg nog steeds van Java gebruikmaakt. Browserupdates die de ondersteuning van Java uitschakelen kunnen er dan ook voor zorgen dat de software van zorgaanbieders niet meer werkt.

Dat heeft minister Schippers van Volksgezondheid op Kamervragen van D66 laten weten. Vorige maand werd er een e-mail gestuurd aan zorgaanbieders die van het UZI-register gebruikmaken. Het Unieke Zorgverlener Identificatie Register (UZI-register) is het door de minister van Volksgezondheid aangewezen register van zorgaanbieders. Het wordt beheerd door het CIBG, een uitvoeringsorganisatie van het ministerie van Volksgezondheid. Het UZI-register is de certificatiedienstverlener die certificaten uitgeeft voor de unieke identificatie en authenticatie van zorgaanbieders in de zorg.

Voor het laten inloggen van zorgaanbieders wordt er van Java- en ActiveX-onderdelen gebruik gemaakt. In de betreffende e-mail aan zorgaanbieders waarschuwde het CIBG om browsers op de computer niet te updaten, aangezien die vanaf oktober de vereiste Java- en ActiveX-onderdelen niet meer ondersteunen. D66-Kamerleden Verhoeven en Dijkstra wilden weten waarom er niet eerder stappen genomen zijn om de huidige situatie te vermijden, aangezien het al sinds januari bekend is dat browsers hun Java-ondersteuning stoppen.

"Ik ben op de hoogte dat het stoppen van de ondersteuning al sinds januari 2016 bekend is. Het probleem speelt tussen de leveranciers van softwarepakketten en de afnemers van deze pakketten (zorgaanbieders). Omdat er signalen waren dat de softwareleveranciers dit probleem niet overal onderkend en opgelost zouden hebben, is besloten actie te ondernemen", aldus Schippers.

Eigen verantwoordelijkheid

Volgens de minister hebben zorgverleners een eigen verantwoordelijkheid als het gaat om het beveiligen van de eigen ict-omgeving. "Het is belangrijk dat zorgverleners zelf de afweging maken tussen beveiliging en mogelijke beperking in functionaliteit. Om deze afweging te kunnen maken heeft het CIBG besloten via de betreffende de mail de zorgverleners te informeren", schrijft Shippers. "Ik ben mij bewust van het belang van beveiligingsupdates en zal in beginsel altijd adviseren beschikbare beveiligingsupdates van browsers en bijhorende plug-ins te installeren."

In de e-mail die het CIBG verstuurde wordt geadviseerd om automatische updates niet meer te laten plaatsvinden. Dit betekent volgens Schippers dat deze updates alleen kunnen plaatsvinden in een gecontroleerd proces waarbij ook getest wordt of het pakket waar de zorgaanbieder mee werkt, ook na de update blijft werken. "Op basis van een eigen risico inventarisatie dient de aangeschreven zorgverlener te beoordelen op welke wijze hij het advies van het CIBG implementeert", laat de minister verder weten (pdf).

Schipper meldt ook dat het Nationaal Cyber Security Center (NCSC) van de overheid niet bij het advies van het CIBG was betrokken, maar zich nu wel met het dossier bezighoudt. De verplichting om Java te gebruiken zou voor het einde van dit jaar moeten zijn opgelost.

Reacties (12)
27-10-2016, 12:12 door Ron625 - Bijgewerkt: 27-10-2016, 12:12
Dan voldoet het systeem dus niet aan de Webrichtlijnen van de overheid.
Daarin staat toch, dat een plug-in de functionaliteit mag uitbreiden, maar dat alle informatie zonder plug-in toegankelijk moet zijn?
Dit was zo bij versie 1 van de richtlijnen, is er iets veranderd sinds versie 2?
27-10-2016, 12:17 door Anoniem
Door Ron625: Dan voldoet het systeem dus niet aan de Webrichtlijnen van de overheid.
Daarin staat toch, dat een plug-in de functionaliteit mag uitbreiden, maar dat alle informatie zonder plug-in toegankelijk moet zijn?
Dit was zo bij versie 1 van de richtlijnen, is er iets veranderd sinds versie 2?
Nee natuurlijk niet. Maar organisaties aanspreken op hun beloftes past niet in het huidige 'gedoog' beleid van de overheid. Temeer daar deze waarschijnlijk boter op het hoofd hebben, dus geen fatsoenlijk vuist kunnen maken, dus modderen we voort etcetera, enzovoorts en dan nog een keer
27-10-2016, 12:36 door [Account Verwijderd] - Bijgewerkt: 27-10-2016, 13:42
[Verwijderd]
27-10-2016, 12:59 door Anoniem
ActiveX ook nog? Dus het werkt maar met één type browser die zelfs door de maker als achterhaald wordt beschouwd. Prima gedaan weer.

Man, man, man, wat zit er toch voor dom volk in die organisaties?
27-10-2016, 13:44 door ph-cofi
Door Anoniem: (...) Man, man, man, wat zit er toch voor dom volk in die organisaties?

Die organisatie hebben hun IT voorziening ingekocht en zich laten adviseren door IT dienstverleners, denk je ook niet? Grote, dure projecten, waarin keuzes worden gemaakt, die niet zomaar veranderd kunnen worden met de snelheid waarmee de cyberwereld verandert. Aan de andere kant, de leveranciers zouden binnenkort wel eens alle klanten uit de branche kunnen verliezen als ze hun spullen afhankelijk houden van onbetrouwbare componenten. Werkplekken bij de klanten willen updates draaien, maar weer niet volledig, dus ingrijpen, wordt vrij snel onbeheersbaar.
27-10-2016, 20:19 door Anoniem
Ze zullen de functionaliteit wel vervangen door apps want dat is nu helemaal hip en nergens voor nodig.
27-10-2016, 20:50 door Anoniem
Wat is eigenlijk de geadviseerde methode om een smartcard of usb device met een client certificaat te gebruiken in
een webbrowser zonder daarbij Java of ActiveX te gebruiken?
27-10-2016, 22:16 door [Account Verwijderd] - Bijgewerkt: 28-10-2016, 11:10
[Verwijderd]
27-10-2016, 22:39 door Anoniem
Door Rinjani:
Door Anoniem: Wat is eigenlijk de geadviseerde methode om een smartcard of usb device met een client certificaat te gebruiken in
een webbrowser zonder daarbij Java of ActiveX te gebruiken?

Oh? Is dat wat ze doen? Smartcards, USB devices...

Tja... Dat staat nog in de kinderschoenen lijkt 't: https://www.w3.org/2012/webcrypto/webcrypto-next-workshop/papers/W3C_HID_Global_Submission.html

Ok, weer het bekende verhaal dus. De overheid is dom, de overheid snapt er niks van, de overheid houdt zich niet
aan de richtlijnen, maar als puntje bij paaltje komt heeft men hier eigenlijk ook geen betere oplossing.
28-10-2016, 08:43 door [Account Verwijderd] - Bijgewerkt: 29-10-2016, 14:09
[Verwijderd]
30-10-2016, 18:47 door Anoniem
Door Rinjani:

de Java applicatie waarover wordt gesproken is niet een Java applet die via de problematische Java-plugin wordt uitgevoerd! Het gaat hier om een Java applicatie, die buiten de browser draait en die een lokale web server aanbiedt.


Laat je de titel van dit artikel dan weer terug aanpassen?
Dat is wel zo consequent.

Of mag onterechte positieve beeldvorming over onveilig java dan weer wel blijven staan?
Vermoedens kleuren 'geurig' donkerbruin.
Altijd hetzelfde met die java fanbase.
30-10-2016, 22:13 door [Account Verwijderd] - Bijgewerkt: 30-10-2016, 22:13
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search