Onderzoek: Meeste zorgsites zonder https-verbinding
Een meerderheid van de zorgsites maakt geen gebruik van een beveiligde https-verbinding, zo blijkt uit onderzoek van de Open State Foundation onder ruim 22.000 websites. Https zegt niets over de veiligheid van de website zelf, maar zorgt voor een versleutelde verbinding tussen de website en bezoekers en helpt bij het identificeren van de website. Daarnaast garandeert https de integriteit van de uitgewisselde data.
Van de onderzochte websites ondersteunt 39 procent https, wat neerkomt op zo'n 8600 websites. Van deze websites blijkt dat de https-verbinding bij bijna 1800 websites niet wordt afgedwongen. Gebruikers lopen zo alsnog onnodig risico, aldus de onderzoekers. Van de onderzochte websites van verloskundigen, aanbieders van geestelijke gezondheidszorg en thuiszorg ondersteunt 34 procent https. Bij minder dan een derde van deze websites wordt https afgedwongen. Ook websites van fysiotherapeuten (30 procent) en aanbieders van paramedische zorg (24 procent) scoren laag.
Verder blijkt dat iets minder dan de helft van de onderzochte apotheeksites https ondersteunt, waarbij 45 procent dit afdwingt. Bij de websites voor tandartsen, mondhygiënisten en aanbieders van gehandicaptenzorg maakt bijna 40 procent gebruik van https. Een derde van deze websites zorgt ervoor dat alleen de https-versie kan worden bezocht. Websites van ziekenhuizen en huisartsen beschikken het vaakst over een https-verbinding. Driekwart van de 108 onderzochte ziekenhuissites ondersteunt een https-verbinding en 68 procent dwingt dit ook af. Bij de bijna 3500 websites van huisartsen biedt 66 procent een https-verbinding aan, die bij 61 procent wordt afgedwongen.
Onbeveiligde formulieren
Uit een steekproef van de onderzochte websites blijkt ook nog eens dat verschillende zorgaanbieders op onbeveiligde websites online formulieren aanbieden. Zo zijn er aanmeldings- en inschrijfformulieren te vinden op onbeveiligde websites van huisartsen, apotheken, verloskundigen en aanbieders van geestelijke gezondheidszorg. Via deze online formulieren wordt gevraagd naar persoonsgegevens zoals bsn-nummers en medische gegevens. Ook zijn op deze websites zonder beveiligde verbinding online formulieren te vinden voor het aanvragen van (herhaal)recepten en voor het stellen van vragen.
een probleem elders is geen oplossing. dit gebrek aan gebruikt van https is dermate eenvoudig en goedkoop te realiseren dat dit gewoonweg schandelijk is voor de IT bedrijven die dit zo hebben geimplementeerd in het veld!
In principe is dit makkelijk te testen, met name naar een domein toe. De kans dat er medisch geheim in emails voorkomt is waarschijnlijk flink wat groter dan dat van het bezoeken van een willekeurige medische site via HTTP.
En dan is er ook het probleem van de trackers. Daar moet men in de medische wereld ook vanaf. Helaas zijn de meeste sites met medische informatie commercieel, daar is de slagingskans het laagst.
Precies. En het steeds maar weer de aandacht vestigen op https maakt het voor "de gewone man" alleen maar
onduidelijker wat nu een veilige website is. Door dit nieuwsitem hoor je weer in de journaals "verbindingen zonder
een slotje zijn niet veilig en met slotje zijn wel veilig" en daarmee wordt het begrip veilig alleen maar ge-erodeerd.
De veiligheid van de website zelf is veel belangrijker dan die van de verbinding, omdat je met een veiligheidsprobleem
in de website meestal veel meer data lekt dat met het onversleuteld zijn van de verbinding naar de gebruiker.
Geen goede actie dus.
Klopt, maar het is wel een begin.
En met een sniffer tool kun je wel zien wat voor artikel anderen bekijken (als je op hetzelfde LAN zit).
Grappig trouwens dat de AD en Telegraaf dit ook melden op hun website en dat ze zelf ook geen https gebruiken.
Precies. En het steeds maar weer de aandacht vestigen op https maakt het voor "de gewone man" alleen maar
onduidelijker wat nu een veilige website is. Door dit nieuwsitem hoor je weer in de journaals "verbindingen zonder
een slotje zijn niet veilig en met slotje zijn wel veilig" en daarmee wordt het begrip veilig alleen maar ge-erodeerd.
De veiligheid van de website zelf is veel belangrijker dan die van de verbinding, omdat je met een veiligheidsprobleem
in de website meestal veel meer data lekt dat met het onversleuteld zijn van de verbinding naar de gebruiker.
Geen goede actie dus.
Als een (zorg-)website geen https ondersteunt, is de kans dat de website zelf veilig is ook zeer klein, omdat blijkbaar niemand zich voor de beveiliging van de gegevens interesseert. Dus "websites zonder slotje zijn niet veilig" is een zeer goede vuistregel, ook voor "de gewone man". Dat betekent echter niet, dat een "website met slotje" veilig is.
Daarom is het wel degelijk een goede actie. De vraag is, of iemand iets met de resultaten gaat doen...
Ik hoop echt dat de AP volgend jaar snoeihard optreed tegen dit soort prutsers. Die laatste hebben genoeg boter op hun hoofd om de half hongerende wereld te voeden. en ja, ik ken er wel een paar...(prutsers en ego strelers)
<einde>
's avonds even met de auto naast het pand gaan staan en hacken maar.
En met een sniffer tool kun je wel zien wat voor artikel anderen bekijken (als je op hetzelfde LAN zit)
op open wifi netwerken) en bovendien ben je op dat moment ook strafbaar en kan je tot één jaar cel opgelegd worden.
Ik kan dat niet zien, of een formulier over https gaat, maar er zijn genoeg therapeutische praktijken waar dat sowieso niet gebeurt. Dus dan mag je je halve medische voorgeschiedenis in een formulier invullen plus alle persoonsgegevens en dat gaat dan onversleuteld over de lijn. Wat me ook te denken geeft over hoe het vervolgens afgeschermd is op de plaats van bestemming.
Als ik zoiets tegenkom stuur ik altijd een berichtje dat het beveiligd hoort te zijn, en ik krijg altijd een schaapachtig mailtje terug dat daar nog aan gewerkt wordt, of dat ze daar geen geld voor hebben, of dat hun webleverancier hun heeft verzekerd dat het helemaal tiptop veilig is zoals het is.
Ik zal hier wel niet mogen namen en shamen maar het blijft vrij schandalig hoe er in therapieland (en medisch land) met privacy omgegaan wordt. Nou levert lezen op Medisch Contact ook gelijk op dat artsen weinig begaan zijn met privacy, want het gaat om de gezondheid van de patient. Ja, dat klopt, maar die moet daarna wel verder en dan is het vervelend als hij alsnog last krijgt van de gemakzicht van de medische wereld.
Als er echter geen HTTPS gebruikt wordt, maar wel persoonsgegevens over de lijn worden gestuurd, dan weet je dat de organisatie praktisch gezien niet in veiligheid geintereseerd is, en zelfs onrechtmatig handelt.
Waarom heeft deze website HTTPS nodig ?
Er zullen vast genoeg websites tussen zitten zonder HTTPS, waarbij het wel nodig is, maar dit onderzoek gaat wel kort door de bocht, indien men niet let op de vraag of HTTPS al dan niet nodig is op de websites die zijn getest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.