image

Bruins behandelde vervanging UZI-certificaten als calamiteit

maandag 7 oktober 2019, 12:00 door Redactie, 4 reacties

Minister Bruins voor Medische Zorg heeft de vervanging van UZI-certificaten als calamiteit behandeld, zo meldt de minister in een brief aan de Tweede Kamer. Het UZI-register (Unieke Zorgverlener Identificatie register) is de organisatie die de unieke identificatie van zorgaanbieders in de zorg mogelijk maakt.

De organisatie verstrekt UZI-passen aan zorgverleners. Dit is een identificatie- en authenticatiemiddel om medische gegevens uit te wisselen en de identificatie van de patiënt vast te stellen. Naast de UZI-pas geeft het UZI-register ook servercertificaten uit. De certificaten worden gebruikt voor het opzetten van beveiligde verbindingen en maken het mogelijk voor zorgaanbieders om aan te tonen dat het systeem bij hen hoort. Organisaties zoals ziekenhuizen, apotheken, huisartsenposten en -praktijken, verpleeg- en verzorgingstehuizen en fysiotherapiepraktijken maken er gebruik van.

In maart stelde overheidsinstantie Logius vast dat UZI-servercertificaten die in de zorgsector worden gebruikt niet aan de strengere uitleg van de eisen voor certificaten voldeden. Eerder dit jaar werd bekend dat certificaatautoriteiten een fout hadden gemaakt bij het genereren van certificaten. De standaarden voor certificaten verplichten dat die over een 64-bit serienummer moeten beschikken. De certificaatautoriteiten hebben echter certificaten uitgegeven die effectief over een 63-bit serienummer beschikten. Dit kwam door een standaardinstelling van de gebruikte uitgiftesoftware EJBCA.

Daarop werd eerder al besloten om PKIoverheid-certificaten te vervangen. Nader onderzoek wees uit dat ook de UZI-servercertificaten moesten worden vervangen. De vervangingsoperatie werd begin september aangekondigd en moest voor 1 oktober zijn afgerond. "De versnelde vervanging van de set UZI-certificaten was een majeure opgave die goed moest worden uitgevoerd om de kwaliteit van zorg niet te doen verlagen. Daarom heb ik besloten de versnelde vervanging als een calamiteit te besturen en dit heeft tot het gewenste effect geleid", aldus Bruins.

Zo besloot het CBIG, de organisatie die overheidsbeleid op het gebied van de zorg uitvoert, de capaciteit op te schalen en werd ook de Inspectie voor Gezondheidszorg en Jeugd betrokken. "De geïntensiveerde inspanningen hebben ertoe geleidt dat nagenoeg alle zorgaanbieders op 1 oktober een versnelde vervangingsaanvraag hebben ingediend bij het CIBG", schrijft de minister. Op 1 oktober zijn vervolgens de oude UZI-certificaten ingetrokken van zorgpartijen die een nieuw certificaat hebben ontvangen en van zorgpartijen die bewust hebben aangegeven geen certificaat meer te willen. Voor partijen die nog geen of een onvolledige aanvraag hebben ingediend is een alternatief intrekkingsplan opgesteld.

Reacties (4)
07-10-2019, 16:41 door karma4
Dat ging toch om dat ene bitje signed unsigned waardoor de specificatie ofwel het vinkenlijstje niet goed zat?
Je moet er wat voor over hebben om een partij uit te sluiten als je het zelf niet goed doet.
07-10-2019, 18:40 door Anoniem
Nouja wellicht wel een goed idee om zo iets totaal irrelevants als dit te benaderen alsof het een calimiteit is.
Noem het maar een calamiteits-oefening. Dan heb je ervaring opgedaan voor het geval er een keer een echte
calamiteit is.
07-10-2019, 19:37 door Anoniem
Het aardige is dat vanuit VWS bij hoog en laag wordt gezegd dat het slechts om een compliance-probleem ging en niet om een security-item. Het was een item waar men aanvankelijk wat loconiek over deed binnen Logius, de ICT-afdeling van het ministerie van Binnenlandse zaken. Zo laconiek dat browserproducent Mozilla indringende vragen stelde waarom het allemaal zo lang moest duren. En dan gaat de minister van VWS het opeens als een calamiteit behandelen!,
07-10-2019, 19:41 door Anoniem
Door Anoniem: Nouja wellicht wel een goed idee om zo iets totaal irrelevants als dit te benaderen alsof het een calamiteit is.
Noem het maar een calamiteits-oefening. Dan heb je ervaring opgedaan voor het geval er een keer een echte
calamiteit is.

Ik denk dat 'besturen als calamiteit' betekent dat er maximale prioriteit aan gegeven wordt en dat er heel snel budgetten/resources/approvals beschikbaar moeten zijn.

"Het eerstvolgende changewindow is de derde zondag van November" - nope, niet bij een 'calamiteit' .

De feitelijke security relevantie van de certificaten was nihil - maar een risico op het verwijderen van PKI Overheid uit de root stores maakt het wel terecht om de calamiteiten knop in te drukken.

Een vrij brede calamiteiten proces oefening is ook een nuttige bonus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.