image

Ziekenhuizen voorzien websites van beveiligde verbinding

maandag 23 januari 2017, 14:43 door Redactie, 12 reacties

Meerdere websites van Nederlandse ziekenhuizen waar gegevens eerst nog onversleuteld werden verstuurd beschikken nu over een beveiligde verbinding. Uit recent onderzoek bleek dat een kwart van de 97 onderzochte ziekenhuissites geen beveiligde verbinding aanbood.

Verder bleek dat bij 11 van de 97 ziekenhuissites de https-verbinding niet goed was geconfigureerd. De uitkomsten zorgden zelfs voor Kamervragen aan minister Schippers die nog niet zijn beantwoord. De ziekenhuizen die geen beveiligde verbinding aanboden of dit niet goed hadden geconfigureerd hebben dit nu verholpen, zo meldt Women in Cyber Security (WiCS), de organisatie die het onderzoek uitvoerde.

Bij het onderzoek werd niet naar de veiligheid van de websites zelf gekeken, maar alleen of er een beveiligde verbinding aanwezig was, te herkennen aan https in de adresbalk. De aanwezigheid of het ontbreken van een beveiligde verbinding zegt niets over de veiligheid van de achterliggende ziekenhuissite. De onderzoekers zeggen dat ze de komende tijd met meer onthullingen komen.

Reacties (12)
23-01-2017, 15:29 door Anoniem
Misschien kan WiCS zelf ook even https juist configureren op hun website...?
23-01-2017, 16:05 door Anoniem
Door Anoniem: Misschien kan WiCS zelf ook even https juist configureren op hun website...?
O wauw.... wauw.... Dat is... wauw... self signed EN nog het verkeerde domein ook.... wauw....
23-01-2017, 16:40 door [Account Verwijderd]
Door Anoniem: Misschien kan WiCS zelf ook even https juist configureren op hun website...?

Lijkt me idd geen slecht idee, sinds ze wordpress draaien, en dus waarschijnlijk over een http verbinding inloggen op de admin interface.
23-01-2017, 19:17 door Anoniem
Niet alleen dat, ook de nameserver config van ze... om te huilen... powerdns versies van 5 jaar geleden...
23-01-2017, 19:23 door karma4
Welke privacy gevoelige data zou er bij wics te vinden zijn? Impact.... laag.
Ik zou me meer zorgen maken over de algehele secùrity bij de ziekenhuissystemen. Als deze als https in de basis al niet goed zit hoe zou het dan met de rest er voor staan.
23-01-2017, 21:11 door Anoniem
Door karma4: Welke privacy gevoelige data zou er bij wics te vinden zijn? Impact.... laag.
Ik zou me meer zorgen maken over de algehele secùrity bij de ziekenhuissystemen. Als deze als https in de basis al niet goed zit hoe zou het dan met de rest er voor staan.
Zaken suggereren, net zoals de wics ook doen, maakt de suggestie niet realistisch. Kom dan met feiten. Het feit is dat de wics grotendeels ongefundeerd klagen dat het niet (juist) hebben van https heel erg onveilig is en ondertussen wensen ze zelf niet te practiseren wat ze prediken. Er werkt maar een ding: kom met goed bewijs in plaats lekker suggestief te doen over hoe fout en onveilig het zou zijn.
24-01-2017, 08:58 door Anoniem
st-anna.nl CN op LOCALHOST .... nee jongens, goed op orde gebracht op 16 december 2016.
Oh, ik zie het al, het was een vrijdag klusje.
24-01-2017, 09:21 door Anoniem
Maar even een mailtje gedaan:

Ls,

Op security.nl kwam ik een artikel tegen waarin melding gemaakt werd van uw onderzoek naar de beveiligde verbindingen van ziekenhuizen.
De geloofwaardigheid van uw onderzoek wordt volledig ondermijnd doordat u zelf uw SSL certificaat niet op orde heeft.
O.a. een CN name (odin.com) die een mismatch heeft, zwakke RSA key en self-signed is.

U kunt uw certificaat online verifiëren via de volgende link:
https://www.ssllabs.com/ssltest/analyze.html?d=wics.online&latest

Tevens kan ik u melden dat st-anna.nl er helemaal een potje van maakt met een CN op localhost.
24-01-2017, 09:36 door Anoniem
Mooi dat toch een aantal ziekenhuizen stappen hebben ondernomen. Heb te vaak gehoord dat directe meldingen bij ziekenhuizen weinig uithalen, dus kan me de stap naar de media wel voorstellen. Goed initiatief van WICS
24-01-2017, 10:46 door Anoniem
goed initiatief. jammer dat het zo lang moet duren.
heb zelf bij een ziekenhuis een open sollicitatie gedaan om dergelijke dingen in kaart te brengen en op te lossen.
krijg je terug dat er geen issues zijn of vacaturen. ahuh.
24-01-2017, 13:22 door Anoniem
Door karma4: Welke privacy gevoelige data zou er bij wics te vinden zijn? Impact.... laag.

Als je httpS aanbied moet je zorgen dat het in orde is, anders moet je het niet aanbieden.
24-01-2017, 17:27 door karma4
Door Anoniem:
Door karma4: Welke privacy gevoelige data zou er bij wics te vinden zijn? Impact.... laag.

Als je httpS aanbied moet je zorgen dat het in orde is, anders moet je het niet aanbieden.
Verdiep je in nen7510 iso27k en meer van die zaken. Een ziekenhuis hoort met de data die ze verwerken dat soort zaken op orde te hebben. Issue het Is niet op orde. Bedenk er gaan grote tot zeer grote bedragen rond met zeer goed betaalde bestuurders.

Kijk naar wat en wie achter wics zit. Het Is een klein groepje dat uit idealisme dit soort zaken doet. Dat er verwijten die kant heen gaan Is dat om die ziekenhuizen vrij te pleiten van de It onkunde. Het lijkt er en zou me niet eens verbazen.
De taktiek van big brother...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.