High-integrity » identiteitsfraude

Amerikaanse elektronische patiëntendossiers massaal gestolen

Karel Thönissen — Fri, 07 Dec 2012 21:03:55 +0000

Miljoenen Amerikaanse EPDs worden elk jaar gestolen. In de helft van de gevallen zou dit geleid hebben tot identiteitsfraude. Jaar in jaar uit. In de meeste gevallen door onzorgvuldig handelen van de gebruikers. Dat is waar beveiligingsexperts van het EPD in Nederland ook voor waarschuwen: 200_000 zorgverleners met een onhandige UZI-pas vormen de zachte onderbuik van het systeem.

De juichstemming van VZVZ-direkteur Edwin van Velzel is daarom nogal misplaatst. Volgens zijn tweets hebben penetratietests geen sukses gehad. Om te beginnen kunnen tests alleen maar fouten aantonen. Als alle tests doorstaan worden, wil dat niet zeggen dat er geen fouten meer in zitten. Wijsheid van niemand minder dan Edsger Dijkstra. Vervolgens is de vraag hoelang, door hoeveel hackers en met welke kwaliteiten deze tests uitgevoerd zijn. Tenslotte de vraag wat de scope van de tests is geweest: alleen de technische kant aanvallen of ook de organisatorische kant. Zonder nadere specifikatie is zijn bewering geen assurance en puur voor de bühne.

Het zal me niet verbazen als het EPD al binnen en paar weken in het nieuws is wegens een lek.

Waarom willen bedrijven mijn geboortedatum weten als ze toch geen kaart sturen voor mijn verjaardag?

Karel Thönissen — Thu, 29 Nov 2012 16:17:42 +0000

Het is bijna zover dat de groenteboer mijn geboortdatum wil weten als ik bij hem een kilo appels koop. Liefst ook een telefoonnummer erbij en een e-mailadres. Ik kom dit tegen bij nutsbedrijven, hotels, de spoorwegen, webwinkels.

Soms is het belang van de geboortedatum evident, bijvoorbeeld in het ziekenhuis. Voor behandeling is leeftijd een relevant parameter en een geboortedatum is een effektieve manier om verwarring van patiënten te voorkomen.

Maar waarom moet de Wehkamp, de Nederlandse Spoorwegen of de elektriciteitsboer mijn geboortedatum kennen. Vooruit, ze moeten misschien weten of ik meerderjarig ben en tekeningsbevoegd ben (wat overigens niet alleen hoeft af te hangen van mijn leeftijd), maar waarom de leeftijd op de dag nauwkeurig?

De risiko’s zijn van verstrekken zijn namelijk niet onaanzienlijk. Sommige banken gebruik een kombinatie van naam, voorletters en geboortedatum als authentikatiemechanisme voor telefonische transakties. Omdat Brenno de Winter meedere keren per week lijkt aan te tonen dat de gegevensbeveiliging in de zorg, in het onderwijs en in het bedrijfsleven in Nederland een lachertje is, wil ik de gegevens die nodig zijn voor sommige bankzaken niet in de gatenkaas bewaard hebben die sommigen een informatiesysteem noemen.

De aandachtige lezer zal nu wel begrijpen dat ik een beetje sjoemel. Niet met het doel onrechtmatig financieel voordeel te behalen, maar om mijn eigen privacy te verdedigen.

Overigens is ook het hele idee belachelijk dat geboortedata gebruikt zouden kunnen worden voor toegangsautorisatie: De geboortedata van een grote kring van bekenden heeft iedereen. En voor de rest van de wereld zet men het tegenwoordig op facebook.

Maar ja soms gaat het ook wel eens mis, zoals gisteren. Ik bel het nutsbedrijf en noem mijn naam en adres. De juffrouw vraagt me naar mijn geboortedatum. Ik zeg dat ik het niet verstrekt, waarop ze zegt: ‘ik mag u niet verder helpen zonder uw geboortedatum, want u had ## – ## – #### moeten zeggen.

Dankjewel, nu heeft elke social engineer een mogelijkheid om mijn geboortedatum los te peuteren en mij vervolgens een kaart voor mijn verjaardag te sturen!

Kopie van paspoort verstrekken

Karel Thönissen — Thu, 29 Nov 2012 14:29:06 +0000

We kennen allemaal de situatie dat we een kopie van een identiteitsbewijs moeten verstrekken aan een overheid, een instantie of een bedrijf. Om te voorkomen dat deze kopie een eigen leven gaat leiden en gebruikt kan worden voor identiteitsfraude, adviseer ik de kopie te betekenen. Schrijf met pen midden op de afbeelding wanneer en voor welk doel de kopie gemaakt is. Op die wijze kan de kopie niet misbruikt worden.