Cookiewet wordt aangepast

Iemand is bij zinnen gekomen. Naast de funktionele cookies worden ook de cookies toegestaan die gebruikt worden voor het verzamelen van statistieken, mits die niet gedeeld worden met derden.

Het lijkt me dat de aanbieder van een site er een gerechtvaardigd belang bij heeft te weten welke pagina’s bekeken worden door de bezoekers en hoe lang, enz. Dat wil een winkelier met een winkel van steen ook weten over zijn klanten. Als bezoeker verwacht je niet anders, en je hebt ook een keuze. Als je niet wilt dat een bepaalde site gebruiksstatistieken over je verzamelt, dan moet je die site gewoon niet bezoeken. Of na afloop de cookies (zie cookies zijn polsbandjes) zo snel mogelijk weggooien.

De zaak wordt anders als de aanbieder van de website de statistieken deelt met andere partijen. Daar heb je als bezoeker namelijk geen zicht op. In mijn lezing van de brief van de minister wordt het niet toegestaan om de statistieken te laten verzamelen door Google Analystics of vergelijkbare partijen. Omdat Google de statistieken verzamelt voor heel veel bedrijven, zijn zij mogelijk een derde die bezoekgedrag kan kombineren van heel veel verschillende sites. De brief spreekt ook expliciet over het toestaan van first-party analytische cookies.

In de brief wordt gesteld dat de verzamelde gegevens anoniem moeten zijn. Dat wordt nog een punt van grote diskussie. Bij de statistieken wordt gewoonlijk ook verzameld welk besturingssysteem door de bezoeker gebruikt wordt, welke browser, welke schermresolutie, enz. Dit zijn zeer relevante statistieken voor de aanbieder van de website. Maar al die gegevens bij elkaar vormen een uniek profiel van de gebruiker. Weliswaar zonder naam, adres en woonplaats, maar toch. Meng daarbij het IP-adres en je weet toch nog erg veel van de bezoeker.

Het probleem dat er cookies nodig zijn tegen cookies blijft bestaan. Maar in ieder geval bedrijven die alleen cookies aanbieden voor funktionele redenen of voor het verzamelen van bezoekstatistieken, hoeven de gebruiker nu niet meer lastig te vallen met pop-ups en cookies tegen cookies.

Beveiliging van Landelijk EPD vergeleken met die van andere grootschalige systemen

In gesprekken wordt mij soms de vraag voorgelegd waarom het landelijk EPD niet veilig te krijgen is, terwijl banken, de belastingdienst en de politie ook grote informatiesystemen hebben met privacygevoelige data. Waarom lukt het in die organisaties wel en niet in de zorg?

Daarvoor moeten we eerst op een rij zetten wat de kern van het beveiligingsprobleem is van het landelijke EPD. Het grote probleem is dat honderdduizenden gebruikers, zonder screening door een veiligheidsdienst, toegang krijgen tot privacygevoelige gegevens van alle Nederlanders, vanaf honderdduizenden slecht te beveiligen komputers in praktisch openbare ruimten, ruimten die zij door de aard van het werk soms in spoed moeten verlaten.

belastingdienst

Om te beginnen met de belastingdienst. Deze organisatie is veel kleiner dan de zorg en heeft dus veel minder medewerkers. Bovendien werken deze gebruikers vanuit een zeer beperkt aantal belastingkantoren in het land. Deze gebouwen zijn niet voor het grote publiek toegankelijk. De machines worden door een centrale organisatie beheerd en niet door tal van zelfstandig opererende maatschapjes, vakgroepjes of praktijken. De organisatie is centraal opgezet en informatiebeveiliging is een centraal aandachtspunt. Daarnaast is de informatie volgens mijn informatie gekompartimenteerd, zodat een belastinginspekteur alleen bij de gegevens kan in het eigen werkgebied of domein.

politie

De situatie bij de politie is ook niet te vergelijken met de situatie in de zorg. Informatiebeveiliging is een belangrijk aandachtspunt bij de politie. Niet dat het perfekt is (zie de problemen rond het CIOT), maar het zit toch wel in de genen. Politieambtenaren zijn gescreend door de inlichtingendienst. Ook bevinden de komputers met gevoelige gegevens zich niet op lokaties die zo toegankelijk zijn als een onbemande receptie of een sommige kantoren in een ziekenhuis. Tenslotte heeft de politie een zeer hiërarchische organisatie met duidelijk funktieomschrijvingen, waardoor het eenvoudig is toegang tot verschillende gegevenskompartimenten te koppelen aan verschillende funktionarissen.

internet-bankieren

Tenslotte de vergelijking van de beveiliging van het landelijk EPD en het internet-bankieren. Wat betreft het aantal gebruikers en het aantal machines is dit systeem omvangrijker dan het landelijk EPD. Ook hier hoeven we geen hoge verwachtingen te hebben van de beveiliging van de machines waarmee de gebruikers hun bankzaken thuis verrichten. Volgens schatting is zo’n %30 van de komputers in Nederland besmet met malware, virussen, spyware, enz. Om die reden, heeft men de gebruiker in-the-loop getrokken. Zonder expliciete betrokkenheid van de gebruiker en zonder gebruik van een zogenaamd second channel is een banktransaktie niet mogelijk. Om de klant op te lichten, moet de aanvaller dus minstens twee kanalen gelijktijdig hacken, namelijk de komputer en het andere toegangsmiddel (beveiligingskalkulator of telefoon).

Om te beginnen geven de toegangsmiddelen van de bankklant (beveiligingskalkulator of TAN-kodes) slechts toegang tot de privégegevens van één enkel persoon, namelijk die van de klant zelf. De belangen van de gebruiker en van de klant lopen daarmee parallel. Chantage, korruptie of ordinaire nieuwsgierigheid kan daarmee al uitgesloten worden. Daarnaast verricht een bankklant hoogstens enkele tientallen transakties per maand. Daardoor is het haalbaar om op meerdere momenten in de transaktie te vragen om gebruikersauthentikatie (bijvoorbeeld bij het aanmelden en bij het fiatteren van een betaling). Het voortdurend authenticeren van de gebruiker is niet praktisch in de zorg.

Ook is een beveiligingskalkulator met PIN en uitleesvenster een zwaarder toegangsmiddel dan de UZI-pas met PIN. Als de kalkulator niet verbonden is met de komputer van de bankklant, dan is de klant opgenomen in-the-loop van de transaktie. Kortom, een banktransaktie is niet mogelijk zonder expliciete handeling van de klant. Bij de UZI-pas ontbreekt die beveiliging. Als de komputer voldoende geïnfekteerd is, kan de UZI-pas handelingen authenticeren zonder medeweten van zijn gebruiker. Hetzelfde gunstige verhaal geldt voor het versturen van een TAN-code per SMS: zonder betrokkenheid van de klant is de transaktie niet mogelijk. Voorwaarde is dan wel dat de gebruiker zijn bankzaken niet doet vanaf een mobiele telefoon die dezelfde is als de telefoon waar de TAN-kode naar gestuurd gaat worden.

Zorg, politie, banken en belastingdienst; niet te vergelijken.

EPD, waar hebben we het over?

Alle spannende verhalen over het landelijk EPD ten spijt, zal het systeem niet gebruikt kunnen worden voor de patiënt die buiten zijn eigen regio met spoed opgenomen moet worden. Voorlopig voorziet het landelijk EPD namelijk alleen maar in uitwisseling van medikatiegegevens en gegevens voor waarnemende huisartsen. Medische dossiers van specialisten zijn dus nog niet beschikbaar. Dus voorlopig is het nut van het landelijk EPD nogal beperkt, te meer daar waarneming en medicijnverstrekking met name in de eigen regio plaatsvindt. Hiervoor zijn de bestaande regionale en lokale systemen voldoende. Het grote argument van de voorstanders wordt dus helemaal nog niet gerealiseerd.

Nog meer drogredenen omtrent het EPD

In de diskussie rond het landelijk elektronisch patiëntendossier wordt door de voorstanders gesteld dat de afwezigheid van een enkele centrale gegevensbank met de medische dossiers de beveiliging verbetert. Dat blijkt onjuist.

Het landelijk EPD is eigenlijk een infrastruktuur waarmee de bestaande regionale en lokale EPDen aan elkaar gekoppeld worden. Dus de medische dossiers die nu in elektronische vorm gehouden worden door ziekenhuizen, apotheken en huisartsenpratijken blijven op de plek, maar komen met het landelijk EPD voor andere zorgverleners beschikbaar.

Met andere woorden, het landelijk EPD slaat geen gegevens op, het verbindt bestaande oplossingen alleen maar aan elkaar door. Hiertoe heeft het Nictiz kommunikatiestandaarden vastgesteld en een landelijk schakelpunt (LSP) ingericht. Het LSP routeert gegevens van de dossierhoudende zorgverlener naar de zorgverlener die om de gegevens verlegen zit.

Het vaststellen van standaarden, zodat uitwisseling van gegevens mogelijk is, is een goede zaak. Vanuit beveiligingsoptiek is hier weinig tegenin te brengen.

Maar door voorstanders van het landelijk EPD worden twee beveiligingsvoordelen naar vorengebracht die ik als drogreden zou willen kwalificeren: nieuwe moderne beveiliging en decentrale opslag.

Gesteld wordt dat de huidige regionale en lokale systemen op gebied van beveiliging achter lopen op de stand van de techniek. Dat zal zo zijn. Maar de komst van het LSP brengt geen verbetering in deze situatie, in tegendeel. Er is geen sprake van verbetering, omdat alle bestaande regionale en lokale systemen gewoon blijven bestaan, want die zijn nog altijd verantwoordelijk voor de opslag en de lokale ontsluiting. Dus alle kwetsbare plekken van al deze systemen blijven onverminderd voortbestaan. De situatie verslechtert in feite, omdat het LSP er zijn eigen lijst met kwetsbaarheden aan toevoegt. Hoewel we nu niet weten welke technische kwetsbaarheden het LSP bevat, kan dit nooit minder dan nul zijn.

Ook in de interaktie tussen ontsluiting aan de ene kant van het land en de opslag aan de andere kant van het land kunnen nieuwe kwetsbaarheden ontstaan. Integriteit (waaronder security) is geen modulaire eigenschap van een systeem. Een systeem kan niet veilig gemaakt worden door er een magische beveiligingsmodule aan toe te voegen. Systemen worden veelal veiliger door onderdelen te verwijderen, niet door onderdelen toe te voegen.

Dan het argument dat het LSP veilig is, omdat er geen centrale gegevensbank is met medische dossiers. Dit is beveiligingsbedrog. Alle aangesloten regionale en lokale systemen kunnen vanuit het LSP bevraagd worden. Dus bij een geslaagde hack lopen alle regionale en lokale systemen gewoon leeg via het LSP. Vergelijk het met de centrale verwarming in huis. Warm water wordt in tal van radiatoren decentraal opgeslagen en niet op een enkel punt in een centrale installatie. Maar de radiatoren zijn wel verbonden via pijpen met een centrale verwarmingsinstallatie en een pomp. Als daar een lek ontstaat, lopen alle radiatoren via het buizenwerk gewoon leeg. Alle water weg, alle water op de vloer.

Policeware

In een eerdere post heb ik geschreven over hoe het Nederlandse opsporingsbeleid zijn eigen nieuwe kriminele mogelijkheden schept.

Malware die zich als de politie voordoet is niet nieuw, maar als Opstelten zijn zin krijgt en de politie de mogelijkheden heeft om komputers binnen te dringen met behulp van ‘policeware’, dan wint deze vorm van kriminaliteit aan geloofwaardigheid. Hoe kan de eenvoudige burger dan het verschil zien tussen policeware en malware die zich als politie voordoet? Tot nu toe was die vraag eenvoudig te beantwoorden, omdat de politie zoiets niet deed.

Dus ook hier een voorbeeld hoe goede (maar domme) bedoelingen de wereld onveiliger maken.

Beleidsmakers en beveiligers moeten naar beveiliging kijken vanuit een criminal’s mind. Dus analyseren hoe beveiliging door een misdadiger in zijn voordeel misbruikt zou kunnen worden bij een aanval.

De droeve staat van virus-scanning

Vandaag in het nieuws dat een bepaalde virusscanner de meeste malware doorlaat. In dat opzicht een typische virus-scanner.

Virus-scanners zijn poreus, en het wordt met de dag erger. elke dag komen er duizenden nieuwe virussen en stukken spyware en malware bij. Virus-scanning is een natte pleister voor een uitslaande brand. Ik zal net niet durven beweren dat het gebruik van een virus-scanner zinloos is, maar het scheelt niet veel meer.

Virus-scanners komen met een eigen kwetsbaarheden en eigen achterdeurtjes. De scanners lopen altijd achter de feiten aan. De scanner vreten aanzienlijke performance en kosten dus ook veel kilowatturen en dus ook gewoon veel geld. De scanners detekteren binnenkomende bestanden, maar hebben de grootste moeite reeds diepgenestelde virusinfekties op te sporen of te bestrijden.

Het op één na beste advies ter voorkoming van malware-infekties is voorzichtigheid en bedachtzaamheid tijdens het komputergebruik. Niet maar zo bestanden downloaden, niet maar zo bestanden openen, URLs goed nakijken, niet maar zo ergens heen surfen, en altijd werken vanuit een account van een gewone gebruiker. Ieder van deze adviezen houdt meer ellende buiten de deur dan een poreuze virus-scanner.

Helaas veronderstelt dit advies een voorzichtigheid en een kennisnivo dat de gemiddelde gebruiker gewoon niet heeft. En we misschien eigenlijk ook niet mogen verwachten.

Het beste advies is een beveiligingsarchitektuur waar besmetting in het geheel niet mogelijk is. High-integrity programmatuur die inherent veilig is. Niet alleen, omdat de leverancier het zelf zegt, maar omdat de programmatuur zo is gemaakt dat anderen dat ook met zekerheid kunnen vaststellen. Geen high-security, geen high-integrity, maar high-assurance.

We moeten high-assurance hebben, niets minder.

Burgerservicenummer is een merkwaardige keuze

In het Nederlandse zorgstelsel is ervoor gekozen het burgerservicenummer te gebruiken voor de identifikatie van patiënten. Een zeer merkwaardige keuze, omdat veel mensen helemaal geen BSN hebben:

  • buitenlanders
  • illegalen
  • daklozen
  • ongeborenen
  • overleden voorouders

Ook een buitenlander kan wel eens zorg nodig hebben bij een Nederlandse arts, in een Nederlands ziekenhuis of in een Nederlandse apotheek. Soms kan kontante betaling een optie zijn, maar soms is dat geen niet mogelijk. Ook wij Nederlanders staan raar te kijken als we in het buitenland een langere of kortere ziekenhuisopname meteen kontant moeten voldoen.

Daklozen is een ander verhaal. Een dakloze met de Nederlanderse nationaliteit komt in principe in aanmerking voor een BSN. Maar zonder vaste verblijfplaats kan het BSN niet verstrekt worden. Juist deze medisch kwetsbare groep heeft zorg nodig.

Ongeborenen en overleden voorouders mag gezocht lijken, maar dat is het in het licht van de ontwikkelingen in de gezondheidszorg zeker niet. Hoewel nog niet heel erg gebruikelijk worden ongeboren kinderen in toenemende mate geopereerd in utero. De rekening kan misschien gekoppeld worden aan de moeder, maar de operatie moet ook opgenomen worden in het medisch dossier van de foetus. Daarvoor zou dus een BSN nodig zijn, maar dat heeft een foetus nog niet.

Overledenen zijn geen onderwerp van zorg en in die zin hoeven overledenen niet een BSN te hebben of gehad te hebben. Rekeningen sturen is hoe dan ook niet meer mogelijk. Maar door ontwikkelingen in de genetika komen (overleden) familieleden in toenemende mate in het vizier. In genetisch onderzoek wil men de verbanden onderzoeken tussen het genenpatroon en ziekteverschijnselen. Liefst ook binnen familieverband, omdat daar de genetische variatie minder is. Met behulp van ziektehistorie van patiënt en (mogelijk overleden) familieleden en aan de hand van het DNA van patiënt en familieleden (voorzover dat celmateriaal er nog is), kan wetenschappelijk onderzocht worden wat het verband is tussen het genenpatroon en bepaalde ziekteverschijnselen. Voor dergelijk onderzoek moeten dus ook overledenen uniek aangeduid kunnen worden. Hiervoor zijn BSNs niet geschikt.

Kortom: voor een moderne en brede zorg is het BSN als identifikatiemiddel niet bijzonder geschikt.

Schijven, printers en scanners lekken gevoelige gegevens

Vandaag in het nieuws dat printers, scanners en schijven die verbonden zijn aan het Internet alle gegevens lekken.

De situatie is ernstiger dan dat. Veel ernstiger.

Niet alleen printers, scanners en schijven met een web-interface zijn in de praktijk niet met een wachtwoord beveiligd. Voeg in dit rijtje toe webcams, beveiligingscamera’s, slimme energiemeters, slimme thermostaten en Internet-babyfoons.

Een router met fire wall gebruiken? Voegt in de praktijk weinig toe: veel routers zijn nog met het fabriekswachtwoord beveiligd.

Dan maar een professionele router met fire wall gebruiken? Ook lek. De virus scanner die er op zit is zo lek als een mandje.