GGD haalt kennisplatform voor zorgpersoneel offline wegens beveiligingslek
GGD GHOR Nederland heeft het kennisplatform KennisNet wegens een beveiligingslek offline gehaald. Daardoor is informatie voor GGD-medewerkers en zorgpersoneel, zoals werkinstructies, niet meer eenvoudig beschikbaar. Penetratietesters die door het ministerie van Volksgezondheid waren ingeschakeld wisten toegang tot documenten op het platform te krijgen die niet voor hen beschikbaar zouden moeten zijn. Dat laat minister De Jonge van Volksgezondheid in een brief aan de Tweede Kamer weten.
Zorgmedewerkers in de publieke gezondheidszorg gebruiken KennisNet voor het uitwisselen van kennis. Het platform bevat onder andere werkinstructies en handleidingen. Naast een publiek toegankelijk deel waren er besloten groepen waar specifieke personen voor toegelaten konden worden. De penetratietesters besloten het systeem op 1 februari aan de tand te voelen. De volgende dag moest minister De Jonge melden dat er toegang tot documenten was verkregen.
Vanwege het beveiligingslek werd het kennisplatform dezelfde dag uitgeschakeld. Acht dagen later is er een forensisch onderzoek gestart om te bepalen of personen toegang hebben gehad tot het systeem die niet tot de doelgroep van dit platform horen. Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden. "Gezien de aard van dit onderzoek kunnen hierover op dit moment geen verdere mededelingen worden gedaan", stelt De Jonge.
GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus, heeft tevens een voorlopige melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. De privacytoezichthouder gaf vervolgens opdracht tot het uitvoeren van een nader onderzoek.
"Door de uitschakeling van de genoemde voorziening is informatie die medewerkers van de GGD nodig kunnen hebben voor hun werk (zoals werkinstructies) nu niet meer eenvoudig beschikbaar. Ik zal GGD GHOR Nederland helpen bij het tijdelijk, op een alternatieve en veilige manier beschikbaar maken van deze informatie", merkt de minister op. Volgens GGD GHOR is het offline halen van KennisNet vervelend voor gebruikers, maar heeft het geen onoverkomelijke gevolgen voor de bestrijding van het coronavirus.
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
[...]
Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden.
Als het een kennissite is, dus een soort wiki met instructies, handleidingen en weetjes, waarom staat daar dan gevoelige informatie op, of informatie die niet gedeeld had mogen worden.
Waren er geen moderatoren in die afgesloten groepen?
En dan is ook de beveiliging nog eens brak.
De zorg-wereld en (ict)beveiling. Ook een drama.
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
Kan er weinig aan doen, maar heel mijn vertrouwen begint nu toch wel deprimerend te worden.
Dat de Tweede Kamer een controlerende functie heeft ja, maar toch niet op dit niveau?
https://www.security.nl/posting/688243/Z-CERT+en+Nederlandse+ggz+gaan+samenwerken+rond+cybersecurity
De GGD is (nog) niet aangesloten bij Z-CERT. Dat moet zo snel mogelijk worden voltooid. En wat mij betreft worden de volgende elementen verplicht en afdwingbaar door Z-CERT:
- Security By Design
- Open Standaarden
- Periodieke pentesten, met Responsible Disclosure en beloning.
De Overheid is incompetent ..... x10
Maar in NL er is altijd wel een goed betaald baantje voor een kneusje.
https://en.wikipedia.org/wiki/Nineteen_Eighty-Four
Een bekende figuur in dit boek "1984" is BigBrother (Stalin, of een andere totalitaire heerser) die communiceert in NewSpeak, met de partijpropaganda slogans Oorlog is vrede (war is peace), Vrijheid is slavernij (freedom is slavery), Onwetendheid is kracht (ignorance is strength).
George Orwell probeert daarmee te waarschuwen tegen de gevaren van een totalitaire staat.
Maar ik zie geen relatie tussen George Orwell en het lek in het GGD-GHOR Kennisnet. Dus waarom haal je dit er bij?
Volgens mij is het vrij overzichtelijk. Er stond privacy-gevoelige (vertrouwelijke) informatie op de site van de GGD-GHOR:
"Forensisch onderzoek is gestart om te bepalen of personen toegang hebben gehad tot het systeem die niet tot de doelgroep van dit platform horen. Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden."
De meeste mensen lenen boeken bij de openbare biblotheek, waar vrij toegankelijke (openbare) informatie te vinden is.
Op de site van de GGD-GHOR is ook openbare informatie te vinden.
Maar ook privacy-gevoelige informatie die dus niet openbaar toegankelijk mag zijn, en dat kennelijk abusievelijk wel was, zoals het Red-Team ontdekt heeft.
Big Brother zou gezegd kunnen hebben "Privacy is Openbaarheid", maar het Red-Team maakt deze vergissing niet.
Big Brother zou gezegd kunnen hebben "Privacy is Openbaarheid", maar het Red-Team maakt deze vergissing niet.
Lees even bet artikel. Het gaat hier NIET om dat datalek met ongewenst delen van persoonsgegevens. Het gaat om een kennisnet, raadplegen van informatie. Raadplegen van informatie in hard copy formaat ofwel boek zou je in een bibliotheek doen.
Nu sla je openbare en niet openbare informatie op dezelfde wijze op, openbare boeken, telefoonboeken, persoonlijke contactlijsten dossiers over personen. De datakwalificatie geeft als het goed is het risco aan.
Een red-team lijkt tegenwoordig een technisch vinkenlijstje van gangbare tools te zijn. Je hebt prima door waar ik heen wilde.
Big brother in new speak: "privacy is openbaarheid" .
De technische kwetsbaarheid op de sysgemen met naslaginformatie zal door de tools gevonden zijn. Deze wordt in de openbaarheid gebracht als een datalek. Ja het red team maakt dat soort fouten.
Het oast geheel in het nederlandse befehl ist befehl houding met een dictatoriele insteek en het volledig willen volgen van een ieder.
Ds eis ligt nu dat elje ambtenaar 24*7 in woord beeld en schrift gevolgd moet worden want andsrs is de kamer niet geinformeerd.
Zie je de big brother dreigin, arguent privacy, openbaarheid zo sel?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
