Kblog

Professionals

Ik las net iets over het proces tegen Henk Krol, de voorman van de partij 50+, waar ik overigens geen fan van ben. Ik vind dat 50+ ers prima vertegenwoordigd worden door alle andere partijen en ik vind het eigenlijk meer een belangenorganisatie ( handen af van ons pensioen ) dan een partij.
Maar hij heeft zijn bekendheid gebruikt als megafoon om de aandacht te vestigen op iets dat anders onder het tapijt zou zijn geveegd :
De waardeloze beveiliging van patientgegevens.
Een arts is meestal geen computerdeskundige en ook geen hacker. Of een razendsnelle typist.
Artsen worden weleens ziek, dus een patient kan ook een arts zijn.
Een patient kan alles zijn, misschien wel microbioloog, of misschien wel hacker.

En zo gebeurde het dus dat iemand zomaar zag wat voor password zijn psychiater intikte. ( 4 cijfers, als je dat gebruikt voor wordpress, noemt hij het “weak” )
De arts had toegang tot een database met gegevens van 2600 mensen en die was toegankelijk vanuit de hele wereld en alleen maar met dat “wachtwoord” beveiligd.
De gebruikersnaam was gelijk aan het wachtwoord (!).
De patient zag het, en hij vertelde het aan Henk Krol.
En toen de organisatie die de database in beheer had, liet weten er niets aan te gaan doen, stapte Henk naar de pers.
En nu moet hij zich verantwoorden voor de rechter, en wil het bedrijf de schade die ze door zijn handelen hebben geleden ( ze moesten hun beveiliging verbeteren ) op hem verhalen.
Ze zeggen dus eigenlijk : als hij het niet openbaar gemaakt had, hadden we alles zo gelaten.
Elk zichzelf respecterend bedrijf heeft draaiboeken klaarliggen voor allerlei rampscenario’s. Een brand. Een inbraak. Een melding dat iemand een pasje of een USB-stick verloren is. Ze doen zelfs weleens ontruimingsoefeningen, om te zien of alles werkt als gepland, of ze schakelen zomaar de stroom uit, om te zien of dat noodaggregaat echt wel wil starten.
Dit bedrijf had kennelijk niets, dat iemands password openbaar zou worden, daar hadden ze nooit aan gedacht.
Ze claimen 100.000 euro schade te hebben geleden, dat klinkt niet als een routinehandeling.

Wat mij betreft krijgt dat bedrijf dezelfde behandeling als een wietplantage :
Alles in beslag nemen, in de versnipperaar en zoeken jullie allemaal maar werk waar je wel geschikt voor bent.
Want het toeval wil, dat ik ook bezig ben met een applicatie die iets met zulke gegevens moet doen. In het klein. Voor hooguit 5 mensen, geen 2.600
Ik heb dagen nagedacht over functiescheiding, gegevensencryptie, toegangsbeheer en logging.
Want een systeembeheerder hoeft niet te weten hoe een patient heet en een dokter hoeft geen verstand te hebben van public key encryptie en zo, maar hij moet wel met het systeem kunnen werken.
Die lullo’s hadden zulke dingen dus gewoon niet geregeld !

De opdrachtgevers die het systeem hebben laten bouwen, hebben ook boter op hun hoofd.
Niet iedereen heeft verstand van computers, maar iedereen kan schrijven :
“bouw een systeem waarin deze gegevens veilig zijn, en bewijs mij dat het veilig is”

Posted

in

by

beheerder

Tags:

,

Comments

5 responses to “Professionals”

  1. Aad Verbaast Avatar
    Aad Verbaast

    == De gebruikersnaam was gelijk aan het wachtwoord (!). ==
    Dan is die 100.000 euro wel een erg hoog bedrag om een beter wachtwoord te verzinnen.

  2. knutselsmurf Avatar
    knutselsmurf

    Aad, die hele website hebben ze waarschijnlijk in elkaar laten knutselen door een groep HAVO studentjes, als stage. Dat zal ze een mooie besparing opgeleverd hebben, waar ze nu het grootste deel van kwijt zijn, door de kosten van de advocaat en het reclamebureau.
    En dan ook nog het lef hebben om te proberen er een slaatje uit te slaan, door met zo’n eis te komen.

    Wat ze gedaan hebben om tot die eis te komen was :
    Een projectcode verzinnen, en iedereen die uren besteed heeft aan het probleem die uren laten boeken op dat project. En dat hebben ze vermenigvuldigd met een bedrag dat zij vonden dat die uren waard waren, en zo kwamen ze op 100.000 euro binnen een paar weken.

    De rechter gaat daar natuurlijk niet in mee.
    Ik schat dat hij Henk Krol een boete van 1 euro geeft, en Diagnostiek voor U zijn eigen problemen laat oplossen.

  3. beheerder Avatar
    beheerder

    Uitspraak over 14 dagen. Intussen is half Nederland op de stoel van de rechter gaan zitten. Terwijl iedereen de feiten kent, proberen de bezoekers van nujij.nl elkaar de loef af te steken met vergelijkingen met fietssloten, al dan niet afgesloten deuren en nog 1001 voorbeelden uit een andere werkelijkheid.

    Voor Diagnostiek voor U wordt de werkelijkheid intussen minder comfortabel, want 8 beveiligingsexperts hebben zich intussen in de strijd gemengd, en niet aan de kant van het bedrijf. Ze worden nu zelf aangeklaagd, en zelfs als ze met 2-0 winnen wordt 2013 een slecht jaar. Ik voorspel dat ze hun naam gaan wijzigen.

  4. beheerder Avatar
    beheerder

    Henk Krol moet 750 euro boete betalen. Dat valt me nog tegen.
    http://nieuws.nl.msn.com/regionaal-nieuws/noord-brabant/boete-henk-krol-voor-tippen-media-na-hacken-diagnostiek-voor-u

  5. beheerder Avatar
    beheerder

    Die schadeclaim van 100.000 euro is overigens ingetrokken. De rechter had het voorschot ( van 1.000 euro ) al afgewezen, dus ik denk niet dat er veel kans was dat ze dat nog gingen winnen :
    http://www.omroepbrabant.nl/?news/188710742/Diagnostiek+voor+U+laat+schadeclaim+tegen+Henk+Krol+vallen.aspx

Leave a Reply

Your email address will not be published. Required fields are marked *