zondag 13 januari 2008

OV-chip gekraakt .........

In de Volkskrant van 12 januari jl. wordt een inkijkje gegeven in de wijze waarop Duitse computerkrakers te werk zijn gegaan bij het kraken van de OV-chipkaart. Dit nadat eerder deze week in de kranten en in de politiek hierover de nodige opschudding was ontstaan. Hoewel gratis reizen, door het kraken van de chip, nog niet echt dichterbij is gekomen, omdat het algoritme van de chip zijn geheim nog niet heeft prijsgegeven, laat het artikel wel zien hoe geraffineerd computerkrakers te werk gaan. De zogenaande Mifare-chip (door Philips ontwikkeld) werd door de krakers minitieus, millimeter voor millimeter, ontleed en uiteindelijk onder de op Ebay-gekochte microscoop gelegd. Met een zelfgeschreven beeldherkenningsprogramma werd de schakeling op de chip in kaart gebracht. Deskundigen voorspellen dat het nu nog een kwestie van tijd is voordat de "sleutel" van de OV-chip geheel gekraakt is. Het complete artikel kunt u vinden op de site van de Volkskrant. Als je een dergelijk artikel leest, vraag ik me af of informatie, waar dan ook ter wereld opgeslagen, wel veilig is. Temeer ook, daar wij straks in ons nieuwe ziekenhuis alle patienteninformatie digitaal zullen opslaan. Wij zullen dus in het nieuwe ziekenhuis geen gebruik meer maken van papieren dossiers. Inmiddels zijn we druk bezig om vóór de verhuizing alle patientendata te hebben gedigitaliseerd. In het nieuwe ziekenhuis krijgen we de beschikking over een ultra-moderne ICT-infrastructuur, verbonden door een ultra-modern netwerk. Via dit netwerk staat het ziekenhuis ook in verbinding met de buitenwereld. Aan de infrastructuur zijn natuurlijk de hoogste eisen gesteld, qua beschikbaarheid en veiligheid. Zonder goed functionerende ICT kan er straks in het nieuwe ziekenhuis niet goed worden gefunctioneerd. Dat zo'n infrastructuur kostbaar is zult u kunnen begrijpen. Meer dan € 15 miljoen is hierin geinvesteerd. U zult u misschien afvragen of de opslag van alle gegevens wel veilig genoeg is. In de eerste plaats kan ik u dan melden, dat wij dit als ziekenhuis niet zelf doen. Wij maken hierbij gebruik van gespecialiseerde bedrijven. De opslag van patienteninformatie geschiedt fysiek bij de rekecentra van KPN. Met dit bedrijf zijn natuurlijk waterdichte afspraken gemaakt over veiligheid, beschikbaarheid en privacybescherming. Ook kan ik melden dat alle patientendata niet op één fysieke locatie is ondergebracht. Immers bij een calamiteit (brand, vliegtuigcrash of iets dergelijks) zou één rekencentrum verloren kunnen gaan. Daarom is er voor gekozen om alle data twee keer op te slaan in twee gescheiden rekencentra, verspreid over Nederland. In ons geval bevindt de data zich in het rekencentrum van KPN in Heerlen en in het rekencentrum van KPN in Amstelveen. Ook in het ziekenhuis is het netwerk goed gescheiden om ervoor te zorgen dat bij een defect in het netwerk, niet het gehele ziekenhuis verstoken raakt van informatie. Ook de verbinding met de rekencentra van KPN loopt via fysiek gescheiden kabels door de grond, om er voor te waken dat niet één graafmachine in staat is het ziekenhuis te onregelen. Kortom, tal van maatregelen om de informatie van al onze patienten, via meerdere parallelle maatregelen, veilig te stellen. Kosten noch moeite is gepaard, zoals u ziet. Of dit allemaal toereikend is voor het caliber hackers, zoals in het nieuws deze week rondom de OV-chipkaart wage ik persoonlijk te betwijfelen. Ik ben daar eerlijk in. Anderzijds moet ik wel constateren dat met de digitalisering van alle patienteninformatie in het nieuwe ziekenhuis een geweldige sprong voorwaarts wordt gemaakt. Immers in het nieuwe ziekenhuis kan er straks geen papieren medisch dossier meer zoek zijn, is de informatie altijd beschikbaar voor alle behandelaars, op meerdere plaatsen tegelijk, en kan de informatie ook makkelijker worden uitgewisseld met andere ziekenhuizen, indien de noodzaak zich voordoet. Wel moet het ziekenhuis de veiligheid van de informatie met alles wat in haar vermogen is waarborgen. Ook tegen hackers .....

1 opmerking:

W.R. zei

www.ICTzorg.com publiceerde op 19 nov 2007 de constatering van de Inspectie voor de Gezondheidszorg dat de "Informatiebeveiliging van ziekenhuizen slecht" is. Hierbij is de factor 'mens' zwaarwegender dan de factor 'techniek'. U wijst in uw artikel met name naar de externe mens, de hacker... In hoeverre gaat u de interne mens, uw medewerkers bewuster maken van de omgang met systemen. Hoe denkt u over de immer geldende afweging tussen "efficient werken versus overbeveiliging/over-regulering"?