Tientallen sites Brabantse zorgverleners onveilig
Privacygevoelige informatie die verstuurd wordt via de websites van tientallen Brabantse zorginstellingen, huisartsen en psychologen, kan onderschept worden. De websites zijn onvoldoende beveiligd tegen meelezen, zo blijkt uit onderzoek van Omroep Brabant.
Het gaat onder andere om een Brabants meldpunt voor slachtoffers van huiselijk geweld, een verslavingsinstelling uit Breda en een Tilburgse organisatie waar 'eergerelateerd' geweld kan worden gemeld.
Zo kan het gebeuren dat aanvallers een contact- of aanmeldformulier bestemd voor huisarts of psycholoog kunnen meelezen, maar ook informatie kunnen aanpassen of verwijderen. Om dat te kunnen doen, moet een aanvaller wel de verbinding kunnen manipuleren.
Meelezen kan bijvoorbeeld door in te breken op een wifi-verbinding, mee te lezen via onveilige wifi in de trein of een café, of door een valse wifi-hotspot op te zetten. Bij sites die wel goed zijn beveiligd, zien meelezers dan enkel een onleesbare brei tekens.
Het probleem van onbeveiligde sites speelt al langer: in 2017 werd hier door de Open State Foundation - een instantie die opkomt voor digitale transparantie - al op gewezen.
Geen slotje
Omroep Brabant keek naar een deel van alle zorgverleners in de grote steden in Brabant. In meer dan twintig gevallen bleek de beveiliging niet op orde.
De websites zijn onveilig, omdat een zogeheten TLS-certificaat ontbreekt. Dat zorgt er voor dat informatie die via de site verzonden wordt, versleuteld is. Zo'n certificaat is te herkennen aan een slotje in de adresbalk. Bij sites zonder certificaat kunnen kwaadwillenden meelezen als iemand een formulier op de site invult en verstuurt.
Volgens Jaap-Henk Hoepman, als computerwetenschapper verbonden aan de Tilburg University, is het installeren van een certificaat op een website "zo simpel dat eigenlijk iedereen het kan doen".
Onderscheppen
Een van de websites die de beveiliging niet op orde heeft, is een site die zich richt op huiselijk geweld. Slachtoffers van huiselijk geweld, of mensen die huiselijk geweld bij bekenden vermoeden, kunnen er hun verhaal doen.
Ethisch hacker Schoonbrood bij beveiligingsbedrijf White Hats zegt over die site: "Iemand die in dezelfde koffiebar of hetzelfde hotel als de melder aanwezig is, kan deze berichten onderscheppen. Hetzelfde geldt voor huisgenoten of mensen die bij hetzelfde bedrijf als de melder werken." Het gaat dan om mensen die samen een draadloze internetverbinding delen.
Thijs Schoonbrood en Kamil Wasylkiewicz van WhiteHats laten zien hoe dat digitale inbreken gaat:
Schoonbroods advies: gebruikers moeten goed opletten dat ze alleen met sites met een beveiligde verbinding werken, te herkennen aan het slotje in de adresbalk.
Martijn Pols van de Autoriteit Persoonsgegevens zegt dat de veiligheid van websites in de zorg hun speciale aandacht heeft. "Dat is niet voor niks, met name in de zorg gelden extra strenge eisen."
Toch zijn er voor het ontbreken van een werkend TLS-certificaat nog geen boetes uitgedeeld. "We doen regelmatig onderzoeken en gaan er vanuit dat de zorgsector er zelf ook scherp op is", zegt Pols.
