Mijn medisch dossier inzien ? Nee, dat is iets tussen mij en mijn arts.
Zembla zendt haar tweede uitzending over 'Verzuimpolitie' uit. Op kinderlijk eenvoudige wijze wordt duidelijk dat medische dossiers kunnen worden blootgelegd. Als security professional ben je wel wat gewend en sta je niet zo snel raar te kijken van dit soort beveiligingsissues.
We hebben DigiNotar en 'lektober' gehad, NING heeft ook de mogelijkheid geboden om 100 miljoen accounts in te zien. Maar in de uitzending van Zembla kwam die dagelijkse werkelijkheid wel heel dichtbij. Professor Bart Jacobs (Radboud Universiteit Nijmegen) schrok toen hij de gegevens kon inzien. Hij wilde op een gegeven moment de informatie niet eens inkijken.
Het start al op het moment dat door 'case managers' medische gegevens gevraagd worden aan zieke medewerkers. Vervolgens worden die gegevens opgeslagen in de verzuimsoftware. Je staat er niet eens meer van te kijken dat zoiets gebeurt. De wet vraagt om actieve participatie van werkgever en zieke medewerker om het arbeidsverzuim efficiënt terug te dringen. Dan springen gewillig allerlei commerciële bureau's in het 'gat van de markt'.
Kun je dit tegengaan?
Wetgeving en gaten in de markt, waar iedereen gewillig in springt, zijn moeilijker te beïnvloeden. Dat is helder. Op dat vlak zal zeker veel moeten gebeuren. Maar het veilig ontwerpen, ontwikkelen, testen, in gebruiknemen en beheren van software is niet iets dat je links kunt laten liggen.
Softwareontwikkelaars hebben de simpele plicht om software veilig te maken. Onderzoek heeft ook aangetoond dat het voorkomen van kwetsbaarheden in software goedkoper is dan het verhelpen van kwetsbaarheden als de software al in gebruik is.
Veilige software ontwikkelen is een organisatieaspect voor softwarebedrijven. Om dit goed in te richten is er bijvoorbeeld het OpenSAMM raamwerk. Een procesmatige aanpak waarin risicomanagement gedurende de gehele software lifecycle is verweven.
OpenSAMM of soortgelijke raamwerken lijken erg complex en overdone voor het probleem. Toch ben ik van mening dat het een (in)directe koppeling zou moeten hebben met wetgeving waarin gesteld wordt dat vertrouwelijke (medische) gegevens 'adequaat' beveiligd moeten worden 'naar de stand van de techniek'.
Als een organisatie gecertificeerd is voor ISO 27001/2 kan met enige zekerheid iets gezegd worden over de beveiliging van vertrouwelijke gegevens. Echter deze internationale standaard richt zich maar voor een klein deel op de veilige ontwikkeling van software. Daar hoort mijns inziens echt een verdiepingsslag achter (de koppeling met raamwerken als OpenSAMM).
Doktortje spelen als commercieel bureau is verwerpelijk. Onveilige software ontwikkelen ligt daar mee in lijn. Denk hier over na als je in jouw organisatie een nieuw softwaretraject opstart. Beter nog, denk hier over na als je nieuwe software aanschaft! Ook dan heb je de verplichting om de kwaliteit van je bedrijfsmiddel onder de loep te nemen!
Een medisch gegeven van mijzelf wil ik wel met je delen. Ik ben allergisch voor onveilige software!
Blijf alert - je hebt nog enkele artikelen te goed over de securitytriade (CEO, CIO en CSO) en wetgeving met betrekking tot cybersecurity! Tot de volgende post!
Geen opmerkingen:
Een reactie posten