Recentelijk beweerde iemand de UZI-pas gekraakt te hebben. Is dat erg? In ICTzorg stelt Comfort-IA dat als het verhaal al waar is, de gevolgen hooguit lastig zijn en goed te verhelpen.

De check tegen het BIG-register met de UZI pas de toegang tot veel bestaande patiëntinformatiesystemen veiliger maken.

Volledige artikel:

'Kraak UZI-pas hooguit lastig'

02 maart 2009•

 Waardering:

Beveiligingsexpert Erik Westhovens beweert dat hij de UZI-pas heeft gekraakt. Volgens Jaap van der Wel, managing partner van Comfort-IA en ook gespecialiseerd in informatiebeveiliging in de zorg, is het op zich best mogelijk dat Westhovens de pas gekraakt heeft. “Het zou niet de eerste keer zijn dat op grote schaal de beveiliging zo lek als een mandje blijkt te zijn.”

“Zo was enige tijd geleden voor de draadloze netwerken bij de IP-telefonie van KPN voor de consumentenmarkt, een programmaatje te downloaden die de beveiligingscode kon berekenen waardoor draadloos internet bij consumenten onveilig was. Een situatie die meer dan een jaar geduurd heeft en pas recentelijk is verholpen. En het verhaal van de OV-chipcard kennen we allemaal.

Toch moet ik met betrekking tot de UZI-pas nog zien of het verhaal van de kraak wel waar is. Doordat de kraker met naam en toenaam met de kraak in verband wil worden gebracht, zonder VWS de tijd voor een reactie te gunnen, komt bij mij over als het stoken van een vuurtje.

En als hij de pas heeft gekraakt, dan lijkt me dat overigens hooguit lastig maar geen ernstig probleem voor het EPD. Ik ga er vanuit dat men vrij vlot kan overschakelen op een andere pas als dat nodig is, waardoor de beveiliging weer maximaal is. Bij een project van een dergelijke omvang, moet je namelijk een terugvalscenario achter de hand hebben omdat de veiligheid van dit soort technologie nu eenmaal beperkt houdbaar is.

Ongure types

Bovendien, als de UZI-pas al gekraakt zou zijn op de in de pers beschreven manier, dan is de toegang tot het landelijk EPD nog altijd beter beveiligd dan bij de al bestaande systemen in de zorg. Die systemen worden steeds meer via internet toegankelijk maar zijn soms alleen afgeschermd met een wachtwoord dat weinig of niet wordt gewijzigd. Dat terwijl vanuit allerlei plaatsen in de wereld ongure types er een sport van maken om zwak beveiligde systemen binnen te dringen. Ik vind dat een veel zorgelijker situatie die te weinig aandacht krijgt.

De UZI-pas kan bij de beveiliging van deze systemen een rol spelen. Want zelfs als de UZI-pas gekraakt zou zijn, dan nog zou daarmee de toegang veel beter afgeschermd zijn. Het belang van de UZI-pas gaat daarmee veel verder dan alleen de bewaking van de toegang tot het landelijk EPD. Toegang tot de bestaande systemen door middel van alleen een wachtwoord moet naar mijn mening direct verboden worden zodra de UZI-pas op grote schaal beschikbaar is voor zorgverleners. En beleidsmakers moet zich daarom tweemaal bedenken voordat zij de uitrol van de UZI-pas stilzetten, mocht deze inderdaad gekraakt zijn.”