Henk Krol krijgt pluim en boete voor journalistieke hack EPD

| AE 5127 | Hacken | 38 reacties

Henk Krol is schuldig bevonden aan computervredebreuk en krijgt een boete van 750 euro, meldde Webwereld vrijdag. De rechtbank vindt wel dat hij zorgvuldig te werk ging bij het in kaart brengen van het lek. Vorig jaar had de politicus van een tipgever gehoord dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Die misstand aan de kaak stellen was gepast, maar hij had niet zo veel dossiers mogen opvragen als hij had gedaan. En meteen naar de media rennen was ook niet helemaal zoals het hoorde.

De beveiliging van een gevoelig medisch systeem zoals een EPD is natuurlijk al snel nieuwswaardig. En bij beginnersfouten zoals gelijkluidende gebruikersnamen en wachtwoorden (of wachtwoorden van vijf tekens) is het dan ook al snel goed om aan de bel te trekken. Maar, een beetje ethisch hacker seint éérst de dienstverlener in en geeft deze een kans het probleem te herstellen. En dat is waar Krol een beetje te snel ging: na één afpoeiertelefoontje al naar de pers stappen is niet hoe het hoort. En dat de telefoniste hem niet wilde doorverbinden met een verantwoordelijke maar zei dat hij maar een brief moest sturen, maakte daarbij niet uit. Hij had op zijn minst kunnen wáárschuwen dat hij journalist was en dat het hem ernst was.

Ook het feit dat er geen technisch probleem met de beveiliging was, maar enkel één gebruiker met een dom wachtwoord, maakte dat de actie nogal overtrokken was, aldus de rechtbank. Er was geen aanwijzing dat die zwakke wachtwoorden een epidemie (haha, hij zei epidemie en het is bij een EPD) waren. En bij één dom wachtwoord al de pers bellen, gaat wat snel. Daar heb ik dan weer moeite mee: dat één zo’n zwak wachtwoord kan, bewijst dat er geen adequate checks op wachtwoorden zitten. En dan durf ik wel te zeggen dat er meer henk/henk userpasswordcombinaties zijn.

En zoals verwacht maakt de rechtbank er ook een stevig punt van dat Krol in aanwezigheid van de cameraploeg van Omroep Brabant diverse dossiers had opgevraagd, in plaats van alleen de strikt noodzakelijke. “Mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten”, heet het dan. Maar, eh, is niet juist het nieuws dát er zo veel dossiers op te vragen zijn met zo’n zwak wachtwoord? Kun je dat nieuwsfeit wel onderbouwen met één opvraging van één dossier? Maar oké, hij had een paar vrienden kunnen vragen of hij hun dossier mocht lichten als bewijs, in plaats van random users.

Daarbij woog ook nog mee dat Krol bepaalde gegevens meermalen opvroeg. Dat bewijst volgens de rechtbank dat hij niet zorgvuldig te werk ging. Hm. Ik zou denken, als ik in zo’n systeem zit dan ga ik ook eerst op knoppen drukken om te zien of het écht is, en pas als ik van de schrik bekomen ben, zou ik m’n printscreenknop te voorschijn halen. En ja, dan sta je dus dingen twee keer op te vragen.

De rechtbank twijfelt bij dit alles niet aan de goede bedoelingen van verdachte, aldus de rechtbank. Daarom wordt de geëiste boete naar €750 euro gezet.

De meer dan een ton aan schadeclaim van het zwakkewachtwoordentoelatende DvU wordt teruggebracht tot € 1.000afgewezen. De rechtbank kan niet vaststellen of sprake is van voldoende causaal verband tussen de hack en de geclaimde schade, want die is maar matigjes onderbouwd. Ook is niet duidelijk in hoeverre de schade als “eigen schuld” aan te merken is, en dat is toch echt een grond om een schadevergoeding te verlagen.

Ik ben nu wel aan het twijfelen: was het nu echt zo overtrokken wat Krol deed? Moet je bij een zwak wachtwoord op een EPD-account inderdaad maar een brief sturen en na de mededeling “dank u, het wachtwoord is gewijzigd” het erbij laten? Ligt het nou aan mij of ís het gewoon nieuws dat dit kon gebeuren?

Arnoud

Deel dit artikel

  1. Wat ik zorgwekkender vind is de reactie en houding van DvU. Dat ze uberhaupt het lef hebben om een schadevergoeding te eisen nadat het systeem wat door hen neergezet is onvoldoende veilig bleek. En dat ze de kosten voor het wel voldoende veilig maken dus op mr. Krol proberen af te wentelen, dat spreekt van een cultuur waarin ik niet zou willen dat ze ook maar in de buurt van mijn gegevens zouden komen.

    Waar is de straf voor DvU? Die zou op een bepaalde manier onder curatele gesteld moeten worden van een instantie die wel om kan gaan met privacygevoelige informatie.

    • Wat ik zorgwekkender vind is de reactie en houding van DvU. Dat ze uberhaupt het lef hebben om een schadevergoeding te eisen nadat het systeem wat door hen neergezet is onvoldoende veilig bleek. En dat ze de kosten voor het wel voldoende veilig maken dus op mr. Krol proberen af te wentelen

      Voor een groot deel zal het gaat over kosten gerelateerd aan het incident. Bijvoorbeeld extra kosten om de pers af te handelen. Had Krol minder nadrukkelijk de pers gezocht en vooraf het bedrijf geinformaard over de aard van het probleem had het bedrijf veel minder aandacht van de pers gehad en deze veel makkelijk af kunnen handelen

      En die kosten zouden er niet zijn geweest als Krol niet op deze wijze de publiciteit had gezocht. Initieel werd er, dacht ik, door Krol niet gezegd dat hij een wachtwoord van iemand had gebruikt. Dus waren er mogelijk ook extra onderzoeks/analysekosten naar een lek/hack in het systeem terwijl dat er niet was.

      Er kan dus best een valide reden zijn om een schadevergoeding te eisen door het onzorgvuldige handelen van Krol.

    • Waar is de straf voor DvU? Die zou op een bepaalde manier onder curatele gesteld moeten worden van een instantie die wel om kan gaan met privacygevoelige informatie.

      Dat vraag ik me dus ook af. Ik snap ook absoluut niet waarom het OM Krol in dit verhaal aanpakt en DvU een aai over de bol geeft. De directie van DvU zou daar gewoon in de rechtbank tekst en uitleg moeten komen geven. Wat mij betreft mogen directies van dit soort instellingen ook gewoon persoonlijk aansprakelijk gesteld kunnen worden als hun IT beveiliging niet op orde is, kijken hoe lang dit soort misstanden dan nog kunnen voorbestaan.

      Overigens vraag ik me wel weer af wie dan die instantie moet zijn die toezicht moet houden, de overheid in het algemeen heeft nou niet bepaald een best track record als het om informatiebeveiliging gaat.

      • Helaas staat “onvoldoende beveiligen” niet in het Wetboek van Strafrecht. Wat er wel kan gebeuren is dat een controlerende overheidsinstantie (Inspectie Gezondheidszorg) constateert dat de informatiebeveiliging niet aan de norm voldoet en een boete oplegt; het CBP is ook bezig hoorde ik.

        Een tweede optie is dat degenen van wie gegevens gelekt zijn een rechtszaak aanspannen en om schadevergoeding vragen. Helaas is het bijna altijd onmogelijk om de schade hard te maken, dus dat werkt niet. Misschien is het voor een gedupeerde mogelijk om met een dwangsom verdere lekken te voorkomen, daar hoor ik graag juridische meningen over.

  2. Dit was echt nieuws, en voor mij een van de redenen om me niet bij het EPD aan te melden. Het aantal mensen dat toegang heeft tot het EPD loopt in de 1000-en, een brute force aanval met simpele username / WW combinaties gaat dus lukken. De enige conclusie is, dat het huidige systeem zo lek als een mandje is, en niet vertrouwd kan worden.

    Op zich is het geen probleem als doktoren en medisch hulppersoneel (Spoedeisende hulp) toegang hebben tot (een deel van) mijn medische gegevens, maar dan moet dat WEL achter een goede beveiliging zitten. Daarnaast moet ikzelf ook inzage hebben, niet alleen in welke informatie er staat (en voor wie dat zichtbaar is) maar ook, door wie en wanneer het opgevraagd is.

  3. In Duitsland hebben we sinds niet zo heel lang een vergelijkbaar systeem. In tegenstelling tot de centrale opslag wordt echter de relevante data direct op de ‘verzekerdenkaart’ opgeslagen (een chipje in een smartcard dus). Eigenlijk is dat wel ideaal- je gaat met een grote boog om allerlei mogelijke beveiligingsproblemen heen. Fysieke toegang tot de kaart is natuurlijk voldoende om (mogelijk) gegevens te kunnen stelen- maar dat is ook het geval bij een ID-kaart of paspoort. Enige nadeel is natuurlijk dat ziekenhuizen en huisartsen alsnog hun eigen IT-systeem hebben en de gegevens bij het eerste patientcontact overdragen naar hun eigen systeem. Maargoed.

  4. Zoals je al aangeeft is het een ****** systeem. Passwords van 5 die ook nog gelijk zijn aan username. Kom op zeg wat voor BBS draaien die gasten? Dat is nieuws alleen al omdat dit aantoont dat er totaal geen bewustzijn is. Het in de wet verankerd dat er een beroepsgeheim is (lees ik op wiki 😉

    Schending van het beroepsgeheim is bovendien strafbaar (art. 272 Wetboek van Strafrecht) lees ik daar. Ik zou bijna zeggen dat dat hier het geval is, niet zozeer de klokkeluider maar het systeem wat dit soort authenticatie zwakheden toestaat.

    Ben het op zich wel eens met de rechter. Iets meer moeite had wel op zijn plaats geweest. En de grote rekening om puin te ruimen is gelukkig ook de schredder in gegaan 🙂

  5. Een zwak wachtwoord is een probleem met betrekking tot authenticatie. Welke dossiers je dan in kan zien (eventuele problemen met met betrekking tot autorisatie) is dan irrelevant voor het aantonen daarvan. Daarnaast heeft hij het wachtwoord gekregen van iemand die het gehoord had. Dat had dus evengoed een sterk wachtwoord kunnen zijn. Diegene had evengoed aan de arts kunnen vragen ‘goh, is 1234 echt uw wachtwoord’, en bij blozen of toegeven was het al nieuws geweest. Daar hoef je dus niet zelf voor achter een PC te kruipen. (Overigens gebeurt het bij vrij weinig vormen van journalistiek dat de journalist of een handlanger zelf even het allang bekende feit gaat ‘bewijzen’ , waarom bij hacken altijd wel?)

    Overigens erger ik me aan de onzorgvuldige formuleringen in de media. Een beetje zoals die kleuters in een kring die een woordje moeten rondfluisteren, en dat er dan iets anders uitkomt aan de andere kant.

    Henk Krol gebruikt gecompromitteerd wachtwoord wat hij van iemand gekregen heeft om 1 vaag systeem van 1 zorginstelling binnen te dringen. Henk Krol gebruikt zwak wachtwoord wat hij van iemand gekregen heeft om een vaag systeem van een zorginstelling binnen te dringen. Henk Krol gebruikt zwak wachtwoord wat hij van iemand gekregen heeft om een electronisch patientendossier in te zien. Henk Krol hackt een electronisch patientendossier. Henk Krol hackt een EPD. Henk Krol hackt het EPD. Henk Krol toont aan dat ‘het EPD’ onveilig is want zelfs Henk Krol kon het hacken. Het EPD is onveilig, zie je nou wel. (EDIT ik zie ‘Jasper’ hierboven deze conclusie zelfs trekken…)

    Terwijl ‘het EPD’ juist sterke two-factor authenticatie kende (iets wat je weet en iets wat je hebt) en niet is doorgegaan vanwege dit soort indianenverhalen. Oh ironie.

    • Maar het EPD is ook onveilig, want zoals bij al dit soort systemen, de zwakste schakel is de gebruiker, en veel gebruikers maken een zwak beveiligd systeem. Ik ben in zoverre slecht geinformeerd, dat de brief van mijn huisarts om maar even toestemming te geven om mijn gegevens in het EPD te zetten, geen informatie over de beveiliging had. Dus geen toestemming van mij om mijn gegevens in het EPD te zetten. Maar de hack van Krol heeft me hierover aan het denken gezet, wat er voor mij voor nodig is om wel aan zoiets mee te doen.

  6. (haha, hij zei epidemie en het is bij een EPD)
    Hoe flauw ook, ik moet er altijd om lachen op de vroege ochtend.

    @Richard: Ik kan me voor een groot deel vinden in je reactie. Echter in dit geval kan je aantonen dat er een probleem is met de authenticatie én met de autorisatie.

    Ik vind het ook ongelooflijk dat DvU een schadeclaim kon indienen en deze nog toegewezen krijgt ook. Het zou goed zijn als het OM een vervolging in gaat stellen wegens het onzorgvuldig om gaan met (medische) persoonsgegevens. Maar ik weet dat dat ijdele hoop is.

    Wellicht had Krol de instelling wat meer tijd moeten geven om de problemen op te lossen voordat het in de pers verscheen. Dus na de brief we hebben het wachtwoord gewijzigd mag je dan wat mij betreft alsnog naar de pers stappen om het aan te kaarten. Want dat er een probleem was, is inderdaad nieuws.

  7. Te snel de publiciteit zoeken lijkt me wel een verwijtbare actie, maar het gaat dan wel erg ver om dan de organisatie schadeloos te stellen omdat hun systeem naar iedere maatstaf onverantwoordelijk slecht beveiligd is. Het argument dat door de melding het systeem veiliger geworden is zou volgens mij ook een vergoeding aan Dhr. Krol rechtvaardigen. Net zoals overigens dit bij (zero-day) hacks tegenwoordig gebeurt.

      • Klopt de huidige tekst? “De rechtbank kan niet vaststellen” – de rechtbank wil niet vaststellen, omdat dat te veel tijd/inzet kost:

        De rechtbank vindt deze vordering niet eenvoudig in verband met de beoordeling van het causaal verband tussen het handelen van verdachte en de gestelde schade en de beoordeling van mogelijke eigen schuld aan de zijde van de benadeelde in relatie tot het handelen van verdachte en zijn mededader. De rechtbank is van oordeel dat nader onderzoek en behandeling van deze vordering een onevenredige belasting van het strafgeding oplevert. De rechtbank zal de benadeelde partij dan ook niet-ontvankelijk verklaren in haar vordering.

  8. Henk Krol gebruikt gecompromitteerd wachtwoord wat hij van iemand gekregen heeft om 1 vaag systeem van 1 zorginstelling binnen te dringen. Henk Krol gebruikt zwak wachtwoord wat hij van iemand gekregen heeft om een vaag systeem van een zorginstelling binnen te dringen. Henk Krol gebruikt zwak wachtwoord wat hij van iemand gekregen heeft om een electronisch patientendossier in te zien.
    Ook het feit dat er geen technisch probleem met de beveiliging was, maar enkel één gebruiker met een dom wachtwoord, maakte dat de actie nogal overtrokken was, aldus de rechtbank. Er was geen aanwijzing dat die zwakke wachtwoorden een epidemie (haha, hij zei epidemie en het is bij een EPD) waren.

    Ik meen mij te herinneren dat Krol de beschikking had over een loginnaam/wachtwoord-combinatie en dat deze bestonden uit dezelfde vijf cijfers. Vervolgens heeft hij geprobeerd of de naastgelegen combinaties ook werkten en dat bleek het geval te zijn. DvU heeft dus gewoon standaard elk account een belachelijk onveilige loginnaam/wachtwoord-combinatie toegekend.

    • Of lessen trekken en iedereen voorzien van een RSA SecurID generator (of wacht, was dat ook al niet gehackt?).

      Daarnaast heb ik wel een beetje begrip voor DvU. Zij hebben “laboratoriumwerk” als expertise. DvU neemt het veel gebruikte systeem “CyberLabs” af van MIPS, krijgt daarbij deployment consulting en leert uit de brochure/offerte dat MIPS zich bij laat staan / geaudit wordt door “Zion Security”.

      Hoe weeg je die claims dan, als je zelf niet de expertise hebt? Dit laat maar weer eens zien dat je altijd onafhankelijk moet auditen.

      • Ik denk dat jij de vinger op de zere plek legt. Diagnostiek voor U kan maatregelen treffen om haar beveiliging te verbeteren, maar MIPS zit met een product dat niet onveilig blijkt en zij zullen (hard!) aan het werk moeten om CyberLabs aan redelijke veiligheidseisen te laten voldoen. Ik ken de contractuele verplichtingen van MIPS niet, maar veiligheidsupdates worden vaak kosteloos aangeboden, daar zal voor MIPS een forse kostenpost liggen.

        De meest voor de hand liggende verbetering is om de UZI-pas van de arts te gebruiken als authenticatietoken, maar dat vergt een aanpassing aan CyberLabs. Wie gaat daarvan de kosten dragen? (Een andere vraag: Waarom heeft Nederland een compleet ander opzet voor het EPD dan Duitsland? Internationale samenwerking kan software aanzienlijk goedkoper maken!)

  9. Over het opvragen van willekeurige dosiers heeft de rechter wel een punt. Zeg maar, hij had zorgvuldiger kunnen zijn in het beschermen van de privacy van de burgers, wat tenslotte zijn doel zou moeten zijn.

    Stel meneer Krol haalt voor de camera een willekeurig dosier tevoorschijn en de camera filmt toevallig dat meneer ABC de ernstige ziekte XYZ heeft. Dan is en blijft het meneer Krol die die gegevens openbaar heeft gemaakt, en niet DvU.

  10. De meer dan een ton aan schadeclaim van het zwakkewachtwoordentoelatende DvU wordt teruggebracht tot € 1.000. De rechtbank kan niet vaststellen of sprake is van voldoende causaal verband tussen de hack en de geclaimde schade, want die is maar matigjes onderbouwd. Ook is niet duidelijk in hoeverre de schade als “eigen schuld” aan te merken is, en dat is toch echt een grond om een schadevergoeding te verlagen.

    Als ik de uitspraak lees is er geen sprake van verlaging. DvU had blijkbaar 1000 euro geeist als voorschot op geleden schade en de OvJ is daarin meegegaan maar de rechtbank heeft de [gegevensbheerder] niet ontvankelijk verklaard http://www.rechtspraak.nl/Organisatie/Rechtbanken/Oost-Brabant/Nieuws/Documents/eindhovenaar%20vonnis%20anoniem.pdf

    Hmm, inmiddels is het artikel aangepast. zal me leren om nniet op opslaan te drukken tot na de lunch.

      • Maar het is wel in het belang van de samenleving dat het bedrijf snel iets doet aan de lek in kwestie, en zoals we keer op keer in het nieuws zien zijn veel bedrijven daar niet toe bereid en is naar de pers stappen, of dreigen met de pers, soms de enige optie om het bedrijf zover te krijgen dat het zijn beveiliging op een adequaat niveau brengt.

        Verder vraag ik me inderdaad af wanneer Diagnostiek voor U voor de rechter staat, want als het echt om username/username passwords gaat is dat toch echt niet adequaat te noemen. Wij werken op het werk altijd met een username/password+token, dat is zo ongeveer standaard. Dus bij medische gegevens zou dat helemaal standaard moeten zijn, lijkt me. Een username/password kan ik met de beste wil van de wereld niet adequaat vinden.

  11. heb met zeer veel interesse deze zaak gevolgd. Twee zaken vallen mij daarbij erg op (en dat is niet de username/password).

    Namelijk ten eerste dat meneer Krol bij allerlei dossiers kon, ook van patienten die niet in behandeling waren van de arts wiens account gebruikt werd (of ik moet de tekst niet goed begrepen hebben), alleen dit is al een falen van authorisatie beleid (we maken tenslotte niet alle gebruikers lid van local-admins).

    Ten tweede dat de heer Krol te snel naar de pers is gestapt.. Wat dan wel acceptabel is word niet genoemd? Dus had meneer Krol in totaal 3 keer moeten bellen en als het dan niet word opgepakt naar de pers. Of had hij een brief moeten sturen (hoelang wacht je dan? doe je dat met ontvangstbevestiging? etc etc)..

    Daarnaast is het belang van de burger (of patient) niet gediend met lang wachten (elke dag dat dit voort duurt is er eentje waarbij kwaadwillende erbij kunnen).

    Zou mooi zijn als men eens een “richtsnoer” afgeeft over hoe bedrijven dit soort meldingen moet afhandelen (dus instructies of protocollen) zodat een melder direct bij de juiste partij terecht komt.

    • he martin, in dat “richtsnoer” word niks gerept over wacht-tijden als een organisatie niet “thuis” geeft…

      Bij bouwstenen “responsible disclosure” zie je wel dat verwacht word dat bedrijven dit nieuwe beleid uitdragen (en eventueel een online formulier maken) maar zolang die er niet is (of als men daar gewoon niet aan wil) wanneer mag je dan wel naar de media/pers??

      ik zou als melder namelijk ook niet “prettig” slapen als ik weet dat met een simpele klik iemand alle dossiers in luttele seconden kan downloaden en dus haast hebben met het oplossen ervan…(verantwoordelijkheidsgevoel)..

      En zolang een rechter een (in mijn ogen) subjectief oordeel geeft (“u had niet moeten stoppen toen de receptioniste u afwimpelde”) ben ik wel benieuwd wat dan wel voldoende was geweest (in concrete aantallen).

      Voornaamste is en blijft dat problemen snel en adequaat worden opgelost en misschien moeten we maar naar een nieuw systeem om organisaties te motiveren…(of het CBP eindelijk wat tanden en goed personeel geven zodat ze echte dwangsommen kunnen opleggen en ook kunnen handhaven).

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS