..... hoe lang gaat het nog duren voordat dit probleem daadwerkelijk is opgelost ?

Het is niet zo moeilijk:

Geen afdoende beveiliging = geen lokale opslag
Persoonlijke wachtwoorden danwel pasjes + PIN
Volledige encryptie van opslag media
Geen onnodige verbindigingen tot internet
enz

en vooral

Leiding verantwoordelijk stellen voor het verlies. DWZ geen tikje meer op de vingers maar juridische vervolging en verlies van medische licenties.

Waarom moet het volk wachten totdat de laptops met daarop het kabinet/1e kamer/nederlandse top/konigshuis/AIVD/justitie/... volledig op het internet belandt?

Ik heb in het verleden bij een bewakingsbedrijf gewerkt waar veel gevoelige data de ronde deed. Die data was alleen benaderbaar via een beveiligde server en kon niet gekopieerd worden op laptops of stand-alone's. Wat is er sindsdien veranderd?

Geen lokale opslag volledige afgeschermd. Je praat dan over de reincarnatie van de terminal. De 3270 ov vt100 als versie 10.0 "The function of a terminal is confined to display and input of data; a device with significant local programmable data processing capability may be called a "smart terminal" or fat client."

De verwerkingen vinden doorgaans op servers plaats. Er is niets gemeld over medische data alleen naw met patiëntid (pattientnummer met letters?). Neem dat eens voor waar aan en stel dan de vraag waarom die gegevens dan toch lokaal staan.
Er is gewoonlijk niet één systeem op servers in gebruik maar er zijn vele systemen. Als die systemen met onderbouwde redenen geen directe koppelingen hebben, dan moet je iets doen voor het kunnen synchroniseren van wat basisgegevens.

Je zou kunnen aannemen dat het afsprakensysteem gekoppeld met een internetaansluiting geheel los staat van de andere medische systemen met meer gevoelige data. Dat minimaliseert het aantal gegevens en koppelingen dat in contact staat met internet.
De synchronisatie zou dan met een losse machine, bijvoorbeeld met een laptop, naar de gescheiden netwerk/server domains gedaan kunnen worden. Ja dan gaan er wat basisgegevens over de fat-cliënt.
Elk voordeel heeft zijn nadeel.

Een andere gebruik voor fat_clients is het oplossen van het ICT probleem wat op een gebrek aan de ICT dienstverlening duidt. Dan ontstaan er vanzelf eigen gebouwde systemen als "shadow-it"
Gaarne wat meer achtergrond van wat er werkelijk speelt voordat we aan oordelen beginnen.

Briljant, resultaten uit het verleden geven geen garanties voor de toekomst, daar men hardnekkig weigert te leren van eerdere "voorvallen"

Waarom zou men zich hier druk over maken?

Zie topic,
Want je hebt toch niks te verbergen ...
(22-12-2016, 09:33 door Mr. Edlin)

Waarom heb je als UMC 1100+ laptops nodig? Er zijn geen terminals/PCs in het UMC zelf meer aanwezig?

Of werkt het medisch personeel daar vanaf thuis? Leuk voor de patienten. Maar dan kun je het UMC zelf als gebouw wel opheffen. En als men wel in het UMC werkt, dan kan dat ook op terminals ipv laptops die makkelijker ontvreemd kunnen worden.

Eens kijken, wat is er fout gegaan:

#1 er is geen security beleid voor digitaal bij UMCG
#2 er is geen sanctiebeleid voor overtreding van securitybeleid
#3 er is geen continue verbetertraject voor securitybeleid
#4 er is geen basis vanuit hoger management dat security belangrijk is (anders doe je er niet meer dan 1 jaar over om laptops 'extra' te beveiligen)
#5 waarom hebben die mensen eigenlijk laptops?
#6 waarom gebruiken ze niet zero-clients, zodat data op het datacenter blijft en het stelen van een zero-client nogal onaantrekkelijk maakt
#7 waarom staan er persoonsgegevens op laptops?
#8 waarom zijn deze onbeveiligd?
#9 waarom moet ik geloven dat er NAW gegevens op laptops staat, unencrypted, maar verder geen andere gegevens? NAW gegevens gebruikt voor kerstkaarten sturen? Ongeloofwaardig
#10 waarom zijn de laptops slechts beveiligd met een wachtwoord, niet met een staalkabel+slot en met full-disk encryptie?
#11 waarom heeft het bijna 2 maanden geduurd voordat de patienten op de hoogte zijn gebracht?

Al met al nogal wat prutswerk bij UMCG...
Gelukkig heb ik in januari nog niets te doen behalve mijn vakantiehuis verbouwen...

De meeste medici hebben de ballen verstand van ICT en al helemaal van ICT security.
Men moet dingen dus volledig "foolproof" maken, zodat het stelen van data door onbevoegden heel moeilijk wordt.
Daarbij gaat het de meeste dieven slechts om de laptop. Wat er op staat zal hun in de meeste gevallen een worst wezen.
(met namen, adressen, geboortedata en patiëntnummers kan men op zich ook niet bijzonder veel, maar elk persoonsgegeven niet door de persoon zelf of met hun toestemming verstrekt aan derden is er één teveel)

Ik vraag me of ze weten van welke patiënten de gegevens zijn gestolen en zo ja of de betreffende patiënten daarover worden ingelicht?

Staat in de krant "Op de apparaten staan persoonsgegevens van 1400 patiënten die zijn gelekt. Gedupeerden ontvingen vorige week een brief van het ziekenhuis waarin de diefstal en de gevolgen daarvan worden gemeld."
Als je weet wat er op staat, dan zijn de gegevens elders ingebracht/opgehaald.

Vandaar het idee dat het gebruikt is om tussen systemen gegevens over te zetten.

Een boel veronderstellingen met weinig/geen onderbouwing.
Zoek eens op umcg CIT RUG en epic of itask of dell ehrm je ziet vanzelf de lappendeken aan servers/applicaties.

Update: Je krijgt ook hits met Igel Citrix Appsense wom (werkplek op maat) en zelfs een beeld van de organisatie. 11.000 werkplekken met 300 ict-ers. Dat is relatief weinig meestal is het zo'n 10 %. ofwel je 900 ict-ers verwachten.
De verklaring van de CIO is het vele gebruik van standaard apps en uitbesteding.

Gelukkig maar, dat zal mensen die toegang willen ook echt buiten de deur houden. Had beter gestaan als er encryptie geactiveerd was......

Leuke opmerkingen vanuit de beste stuurlui staan aan wal. Je niet zo moeilijke oplossingen zijn anders best lastig te implementeren als je er niet goed over nadenken. Dus niet zo moeilijk zal je zwaar tegenvallen om te implementeren.
Gebruikers moeten wel kunnen werken, daarin moet je een goede mix voor zoeken.

Welke leiding bedoel je precies? De team leider? de ICT afdeling? Raad van toezicht? Raad van bestuur?
Wat als het gewoon een foutje is geweest van iemand?
Wat als het issue staat op een bug in de software?
Wat lost dit op?
Is de patient daar ook mee gelopen?

We moeten niet vergeten dat de meeste gevallen gewoon diefstal is voor de hardware, en wat er opstaat niet interessant is. Men wil de laptop gewoon verkopen voor euro's.
Sticks die men verlies, komt gewoon door domme acties.


Of het is niet gevolgd.

Knap dat je dit uit de huidige artikelen kunt halen.

Heb je wel eens ervaring gehad in grote omwissel projecten? Zeker waarbij de gebruikers niet technisch zijn, is dit een tijdrovende en kostbare traject.
Mensen moeten ook gewoon kunnen blijven werken.

Dit zijn goede vragen. Maar dit zijn vragen over de architectuur van een intra structuur die wij hier niet even kunnen beantwoorden.

Tussen beleid en beleid niet op volgen is zo gedaan. Iets waar de mens wel vaker last van heeft.

Aannames die je hier doet. Het hangt er vanaf waar de laptop voor gebruikt wordt wat voor een data er op staat.

Laptops moeten vaak mobiel zijn. De vraag is ook waar deze laptops exact gestolen zijn. Kan ook een opbergkluisje zijn. Een staalkabel met slot heeft dan ook geen nut. Waarom deze "oude" laptop geen Full disk encryptie had, is wel een goede vraag

Valt mee. Je kunt zeker een paar vragen stellen, maar je kunt ook onzin vragen stellen, die je gemakkelijk vanachter je computer kunt doen.

Onzin er is geen excuus dit niet toe te passen : "Volledige encryptie van opslag media"

Tenzij je nog op xp zit?
Nee ook dan is het geen excuus.


Of de voorstellen moeten worden gevolgd is de vraag maar wat deze reageerder bedoelt is dat je met een dergelijke nonchalant beleid niet mag wegkomen.
Met het straffen van beswust nonchalant beleid is de toekomstige patiënt geholpen omdat het veiligheid hoort te krijgen die het had mogen verwachten.
1400 laptops niet beveiligen voor ingebruikname is geen veiligheidsfoutje van 1 persoon.


Doet er niet toe : "Volledige encryptie van opslag media" is het antwoord per definitie plus eventuele extra maatregelen


1400 laptops niet voorzien van "Volledige encryptie van opslag media" is niet een kwestietje van het beleid was er wel maar we hebben het niet gevolgd.
Daar is de afwijking te groot voor.


We kunnen er in ieder geval met hoge waarschijnlijkheid uit destilleren dat er geen sprake was van "Volledige encryptie van opslag media"


Onzin argumenten het toepassen van "Volledige encryptie van opslag media" hoor een startpunt te zijn bij het configuratieproces alvorens je die dingen in gebruik geeft.
Met full disk encryptie functie ingeschakeld valt er prima te werken.


Doet er niet toe en staat los van de basis nalatigheid: "Volledige encryptie van opslag media" is het antwoord per definitie plus eventuele extra maatregelen


Geen excuus om geen "Volledige encryptie van opslag media" toe te passen.


Wanneer er "Volledige encryptie van opslag media" was toegepast hadden we deze discussie niet gehad want dan waren die data veel veiliger geweest.
De kern ligt hem in de nalatigheid van het niet toepassen van "Volledige encryptie van opslag media".


Nogmaals, de kern van het probleem is het niet toepassen van "Volledige encryptie van opslag media" bij 1400 laptops!


Nee het valt niet mee.
Dit is een groot probleem maal 1400 keer !

Waarom wordt er geen duidelijkheid gegeven over het feit of er "Volledige encryptie van opslag media" was toegepast?
Het enige antwoord daarop kan zijn dat je het niet hebt gedaan en er daarom maar over zwijgt.

Niet toepassen van "Volledige encryptie van opslag media" is PRUTSWERK!
Wat zeggen wij?

ONVERANTWOORDELIJK PRUTSWERK als blijkt dan men standaard "Volledige encryptie van opslag media" heeft nagelaten !

Anoniem 20:31 je zegt dat je niet op de architectuur kan ingaan.
Met de eerder genoemde namen kom ik echter al een heel eind. Voor werkplekken was het doel (igel) om met linux zero clients de meeste werkplekken via citrix te hebben. Er is een nieuw datacenter neergezet als tier III dat Tot 2030 mee moet.
Puredata en infosphere verraden een sterke IBM band. Ik zie ook Oracle genoemd worden en Epic in opstart.
Zeg maar het gangbare voor degelijke grote ICT organisatie met 11k werkplekken.

Ik zag ook nog een blog van een chirurg met het verhaal over transplantaties. Het probleem van tijdsdruk en nodige communicatie buiten de eigen muren levert een spanningsveld op met veiligheid privacy. Ik kan daarin duidelijk het patientbelang zien.

Mijn eerdere vermoeden zal dichter bij de waarheid zitten. Grotere organisaties kennende is dat nu net wat vaker niet goed gaat. Het wordt gemist in de architectuur opzet en bij gebruikers gelegd om het zelf maar uit te zoeken.
Zeker als de privacy waarde als laag en de kosten baten niet uitkomt is zoiets helaas vrij gangbaar.


Anoniem 16:51 ook volledige encryptie helpt niet echt. Zodra de toegang tot de machine open is staat de data ook open (spear pishing). Een gerichte aanval stop je er niet mee. Als het enkel om verdiensten van verpatsen van hardware gaat zijn ze niet geïnteresseerd in de data. Wat is de snelste methode om er geld voor te krijgen? 3 stuks tegelijkertijd duidt meer op een zaak waar het uit de eigen gebouwen van umcg is gebeurd.
Niet alle werknemers inhuur dan wel bezoekers zijn kosher.
Nee je verwijten als prutswerk waar je niet verder komt dan encryptie is het echte prutswerk.

"ONVERANTWOORDELIJK PRUTSWERK als blijkt dan men standaard "Volledige encryptie van opslag media" heeft nagelaten"

Volgens mij kun jij beter verder gaan met de verbouwing van je vakantie huisje.

Volledige encryptie is alleen van toepassing als het systeem is uitgelogd / uit staat.
als men eenmaal is ingelogd is de encryptie niet meer actief en dus jouw oplossing prutswerk.

J.