Ook aan ICT oplossingen moeten veiligheidseisen worden gesteld volgens professor Verhoef "In andere sectoren, zoals in de elektronica, is dit de normaalste zaak van de wereld."

PDF Versie

Onlangs lukte het Karin Spaink, schrijfster en
publiciste, om in twee ziekenhuizen in Nederland
alle patientengegevens te achterhalen. Ziekenhuizen
reageerden tamelijk lauw op deze uitkomst, terwijl
het toch schokkend is dat men dit zo gemakkelijk
voor elkaar kreeg. Zowel organisaties zelf, als de
overheid moeten meer aandacht besteden aan security
en privacy en het daarbij behorende risico. Dat
vindt professor Chris Verhoef, Hoogleraar Informatica
aan de Vrije Universiteit in Amsterdam en wetenschappelijk
adviseur van Info Support. Hoewel er in andere
sectoren, zoals in de bancaire wereld, al veel meer
regelgeving is op het gebied van security en privacy,
moet er bij ziekenhuizen nog heel wat gebeuren om
dergelijke fouten in de toekomst te voorkomen.

Er is op twee manieren getest bij deze twee
ziekenhuizen. In de eerste plaats heeft men een
SQL injection attack uitgevoerd. Daarnaast is er
getest door middel van de methode social engineering.
"SQL injection is gebaseerd op het feit dat de input
niet gevalideerd wordt. Zo kun je opzettelijk
foutmeldingen genereren waardoor allerlei informatie
vrij komt. Je kunt dan in een oogwenk de structuur
van de database achterhalen en via de website
veranderen. Bij social engineering maak je gebruik
van je sociale vaardigheden om anderen nadelig te
beinvloeden.

Men is daarbij gewoon het ziekenhuis in gelopen en
heeft eenvoudigweg gekeken hoe ver men kwam.
`Bullshit your way in', zoals de Amerikanen dat
zouden zeggen. Bij beide ziekenhuizen lukte het om
vele patientengegevens te achterhalen. In no-time
lagen 1,2 miljoen patientengegevens, inclusief de
meest intieme details, op straat. Hoewel het
natuurlijk schokkend is dat beide tests een score
van 100% hadden, viel te verwachten dat deze
ziekenhuizen heel lauw opdeze uitslag zouden reageren.
De ziekenhuizen (anoniem) reageerden door de
systeembeheerder te sturen, waarmee men de zaak
bagatelliseerde. Omdat er patientengegevens op het
spel staan zou dit duidelijk op bestuursniveau
aangepakt moeten worden.

Andere ziekenhuizen gaven in hun reactie aan dat
men zich niet druk maakte over hackers, omdat zoiets
bij hen niet zou gebeuren. Maar het zou wel heel
toevallig zijn als deze twee ziekenhuizen een
uitzondering op de regel zijn."

Regulering vanuit de overheid

Verhoef vraagt zich af of alleen de ziekenhuizen
een rol hebben bij de oplossing van dit probleem.
"De overheid zou hierin een regulerende rol moeten
hebben. Wanneer er bij een ziekenhuis patientengegevens
naar buiten komen, zijn de directe gevolgen voor
het ziekenhuis minimaal. Bij een bank zijn de
gevolgen duidelijker. Stel dat in de bancaire sector
1,2 miljoen klantengegevens op straat komen te
liggen, dan moet je als bank uitkijken dat je niet
failliet gaat omdat klanten bij je weggaan. Maar
stel nou dat er 100 euro boete zou staan op het naar
buiten brengen van de gegevens van een patient.
Dit betekent dat wanneer iemand 1,2 miljoen gegevens
kan opvragen, een organisatie 120 miljoen euro boete
kan oplopen. In Amerika zit een dergelijke regeling
al in de wet ingebakken. Het is de vraag of een
dergelijk boete-systeem in Europa ook zou werken.
Misschien moeten we hier meer denken in termen van
belonen van goed gedrag. Hoe dan ook zou de overheid
een bepaalde regulerende rol hebben. Dit betekent
dat ziekenhuizen een rol moeten hebben in het
beveiligen van gegevens, maar wel aan de hand van
bepaalde regelgeving. Ook research bedrijf Gartner
gaf recent aan dat we ons niet meer af hoeven te
vragen of er regelgeving rond ICT er komt, maar
wanneer. Dit eenvoudigweg omdat debelangen te groot
worden."

KEMA-keur voor ICT oplossingen

Maar dergelijke regelgeving alleen is niet genoeg
aldus Verhoef: "Ook al koop je als consument het
goedkoopste broodrooster, dan weet je in ieder geval
dat het een veilig apparaat is. Dit komt omdat er
veiligheidseisen gesteld worden aan het product.
Vervolgens is er een onafhankelijk instituut dat
kijkt of het product aan die eisen voldoet. In de
informatietechnologie ligt dat anders. Bestuurders
moeten hier beslissingen over nemen, terwijl ze vaak
weinig weten over security en privacy. Een ICT
product zou daarom ook aan bepaalde eisen moeten
voldoen, bijvoorbeeld op het gebied van security en
privacy.

Nu neemt de klant vaak het goedkoopste, maar dit
kan alleen als er minimale kwaliteitseisen gesteld
worden. Op dit moment heb je die kwaliteitseisen
in de ICT niet, dus moet je als bestuurder zelf aan
de slag. Het is ook aan de opdrachtnemer om een
goed advies te geven over de inrichting van ICT.
Zo kan het vanuit gebruikersperspectief goed zijn
om databases aan elkaar te koppelen. Maar vanuit
beveiligingsperspectief is het beter om alles wat
niet op het internet hoeft juist los te koppelen."

Licensering

Verhoef is van mening dat je naast overheidsregulering
en het vergroten van bewustzijn bij de klant ook
eisen moet stellen aan de leverancier. "Je zou
moeten werken met een leverancier die gelicenseerd
is om bepaalde dingen te doen. Arts, advocaat en
medicus zijn allemaal beschermde beroepen, die je
alleen mag uitvoeren met een bepaalde opleiding.
Dit zou voor ICT ook moeten gelden. Een leverancier
als Info Support werkt bijvoorbeeld met mensen met
allemaal minimaal een HBO of Universitaire opleiding
aangevuld met cursussen.

In de medische wetenschap geldt de eis dat iemand
minimaal een diploma moet hebben om aan het werk te
kunnen. Deze eis wordt bij Info Support in de praktijk
gebracht. Als mensen met een willekeurig kennisniveau
problemen komen oplossen, dan is het resultaat
soms onacceptabel. Dit was bijvoorbeeld het geval
bij de ziekenhuizen waar patientengegevens nauwelijks
beveiligd waren. Gezien de eenvoud waarmee je bij
ziekenhuizen binnenkomt, durf ik rustig te beweren
dat de mensen die de software geschreven hebben, geen
enkel benul hadden van waar ze mee bezig waren. Ze
hebben geen enkel inzicht in hoe je professionele,
industry-strength software bouwt, waarbij rekening
gehouden wordt met security en privacy. Aan de andere
kant kan het er ook aan liggen dat het ziekenhuis
niet genoeg wilde investeren. Functionaliteit van
software zie je, maar security en privacy pas als
het mis gaat. Als je werkt met afgestudeerde mensen,
en continu investeert in kennisontwikkeling, dan
beperk je een aantal grote ICT-risico's enorm."

Aranka Gorisse

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef