Beveiliging van Landelijk EPD vergeleken met die van andere grootschalige systemen

In gesprekken wordt mij soms de vraag voorgelegd waarom het landelijk EPD niet veilig te krijgen is, terwijl banken, de belastingdienst en de politie ook grote informatiesystemen hebben met privacygevoelige data. Waarom lukt het in die organisaties wel en niet in de zorg?

Daarvoor moeten we eerst op een rij zetten wat de kern van het beveiligingsprobleem is van het landelijke EPD. Het grote probleem is dat honderdduizenden gebruikers, zonder screening door een veiligheidsdienst, toegang krijgen tot privacygevoelige gegevens van alle Nederlanders, vanaf honderdduizenden slecht te beveiligen komputers in praktisch openbare ruimten, ruimten die zij door de aard van het werk soms in spoed moeten verlaten.

belastingdienst

Om te beginnen met de belastingdienst. Deze organisatie is veel kleiner dan de zorg en heeft dus veel minder medewerkers. Bovendien werken deze gebruikers vanuit een zeer beperkt aantal belastingkantoren in het land. Deze gebouwen zijn niet voor het grote publiek toegankelijk. De machines worden door een centrale organisatie beheerd en niet door tal van zelfstandig opererende maatschapjes, vakgroepjes of praktijken. De organisatie is centraal opgezet en informatiebeveiliging is een centraal aandachtspunt. Daarnaast is de informatie volgens mijn informatie gekompartimenteerd, zodat een belastinginspekteur alleen bij de gegevens kan in het eigen werkgebied of domein.

politie

De situatie bij de politie is ook niet te vergelijken met de situatie in de zorg. Informatiebeveiliging is een belangrijk aandachtspunt bij de politie. Niet dat het perfekt is (zie de problemen rond het CIOT), maar het zit toch wel in de genen. Politieambtenaren zijn gescreend door de inlichtingendienst. Ook bevinden de komputers met gevoelige gegevens zich niet op lokaties die zo toegankelijk zijn als een onbemande receptie of een sommige kantoren in een ziekenhuis. Tenslotte heeft de politie een zeer hiërarchische organisatie met duidelijk funktieomschrijvingen, waardoor het eenvoudig is toegang tot verschillende gegevenskompartimenten te koppelen aan verschillende funktionarissen.

internet-bankieren

Tenslotte de vergelijking van de beveiliging van het landelijk EPD en het internet-bankieren. Wat betreft het aantal gebruikers en het aantal machines is dit systeem omvangrijker dan het landelijk EPD. Ook hier hoeven we geen hoge verwachtingen te hebben van de beveiliging van de machines waarmee de gebruikers hun bankzaken thuis verrichten. Volgens schatting is zo’n %30 van de komputers in Nederland besmet met malware, virussen, spyware, enz. Om die reden, heeft men de gebruiker in-the-loop getrokken. Zonder expliciete betrokkenheid van de gebruiker en zonder gebruik van een zogenaamd second channel is een banktransaktie niet mogelijk. Om de klant op te lichten, moet de aanvaller dus minstens twee kanalen gelijktijdig hacken, namelijk de komputer en het andere toegangsmiddel (beveiligingskalkulator of telefoon).

Om te beginnen geven de toegangsmiddelen van de bankklant (beveiligingskalkulator of TAN-kodes) slechts toegang tot de privégegevens van één enkel persoon, namelijk die van de klant zelf. De belangen van de gebruiker en van de klant lopen daarmee parallel. Chantage, korruptie of ordinaire nieuwsgierigheid kan daarmee al uitgesloten worden. Daarnaast verricht een bankklant hoogstens enkele tientallen transakties per maand. Daardoor is het haalbaar om op meerdere momenten in de transaktie te vragen om gebruikersauthentikatie (bijvoorbeeld bij het aanmelden en bij het fiatteren van een betaling). Het voortdurend authenticeren van de gebruiker is niet praktisch in de zorg.

Ook is een beveiligingskalkulator met PIN en uitleesvenster een zwaarder toegangsmiddel dan de UZI-pas met PIN. Als de kalkulator niet verbonden is met de komputer van de bankklant, dan is de klant opgenomen in-the-loop van de transaktie. Kortom, een banktransaktie is niet mogelijk zonder expliciete handeling van de klant. Bij de UZI-pas ontbreekt die beveiliging. Als de komputer voldoende geïnfekteerd is, kan de UZI-pas handelingen authenticeren zonder medeweten van zijn gebruiker. Hetzelfde gunstige verhaal geldt voor het versturen van een TAN-code per SMS: zonder betrokkenheid van de klant is de transaktie niet mogelijk. Voorwaarde is dan wel dat de gebruiker zijn bankzaken niet doet vanaf een mobiele telefoon die dezelfde is als de telefoon waar de TAN-kode naar gestuurd gaat worden.

Zorg, politie, banken en belastingdienst; niet te vergelijken.