Patiëntenportaal betrouwbaar?

https://www.karify.nl/security-data/

kijk hier eens.
Ze geven zelf aan NEN7510 gecertificeerd te zijn.

Zit er verder iets als MFA bij (dus dat je nog via een extra code die je krijgt moet inloggen)?

[ Voor 57% gewijzigd door YellowCube op 02-07-2023 15:52 ]

YellowCube schreef op zondag 2 juli 2023 @ 15:51:
https://www.karify.nl/security-data/

kijk hier eens.
Ze geven zelf aan NEN7510 gecertificeerd te zijn.

Zit er verder iets als MFA bij (dus dat je nog via een extra code die je krijgt moet inloggen)?

ChatGPT kan nog betere voorwaarden genereren. Niemand zegt dat Daantje van development niet gewoon bij productie kan en de patiëntdata van z'n buurvrouw op usb-stick meeneemt naar huis.

---

Ik heb ook verschillende portalen gebruikt in m'n medische geschiedenis, en stuk voor stuk zijn het lelijke omgevingen die uitblinken in gebrek aan functionaliteiten waarin de gemiddelde webmail en forum al decennialang voorzien.

Omdat ik een sms moet ontvangen om een bericht te lezen betekent niet ineens dat het hele systeem van begin tot eind veilig is, hoe hard dat inlogscherm dat ook claimt. Je moet maar vertrouwen op de certificering en het naleven van de bijbehorende principes.

[ Voor 33% gewijzigd door CodeCaster op 02-07-2023 16:00 ]

Tsja, dat is het probleem met die certificeringen. Je kunt je ook voorstellen dat ze het laatste pentest rapport of hun risico analyse niet met Jan en alleman delen. Wat zou een klant wel ervan overtuigen dat de dienst veilig is?

CodeCaster schreef op zondag 2 juli 2023 @ 15:54:
[...]

ChatGPT kan nog betere voorwaarden genereren. Niemand zegt dat Daantje van development niet gewoon bij productie kan en de patiëntdata van z'n buurvrouw op usb-stick meeneemt naar huis.

---

Ik heb ook verschillende portalen gebruikt in m'n medische geschiedenis, en stuk voor stuk zijn het lelijke omgevingen die uitblinken in gebrek aan functionaliteiten waarin de gemiddelde webmail en forum al decennialang voorzien.

Omdat ik een sms moet ontvangen om een bericht te lezen betekent niet ineens dat het hele systeem van begin tot eind veilig is, hoe hard dat inlogscherm dat ook claimt. Je moet maar vertrouwen op de certificering en het naleven van de bijbehorende principes.

Ok. Thanks
Dit is de informatie waar ik en TS het mee moet doen.
En natuurlijk is MFA niet hét teken dat het systeem daarmee veilig is. En nee, je weet inderdaad niet of een devver of wie dan ook die bij alle data kan de data zo even meeneemt of op een ander stuk van het systeem zet wat niet veilig is.

Ik ben wel benieuwd wat jouw antwoord nu uteindelijk is:
Nee, het is niet veilig?

YellowCube schreef op zondag 2 juli 2023 @ 16:04:
[...]


Ok. Thanks
Dit is de informatie waar ik en TS het mee moet doen.
En natuurlijk is MFA niet hét teken dat het systeem daarmee veilig is. En nee, je weet inderdaad niet of een devver of wie dan ook die bij alle data kan de data zo even meeneemt of op een ander stuk van het systeem zet wat niet veilig is.

Ik ben wel benieuwd wat jouw antwoord nu uteindelijk is:
Nee, het is niet veilig?

Dat van ChatGPT sloeg op de pagina waarnaar je linkt, niet op jouw post.

Mijn antwoord is de laatste zin van mijn post:

Je moet maar vertrouwen op de certificering en het naleven van de bijbehorende principes.

Security certificering is niet meer.dan marketing hier.

Meerzeggend is dat ze wel een Security engineer en een security officer in het team hebben zitten.

Het LinkedIn profiel van de Security engineer is echter niet heel indrukwekkend.

Ardana schreef op zondag 2 juli 2023 @ 15:49:
Vrijwel de hele GGZ maakt gebruik van Karify. Dat is een programma gemaakt door 'n commercieel bedrijf, waar je niet kan inloggen met DigiD, maar gebruik moet maken van hun eigen systeem.

DigiD mag je alleen gebruiken als je een publieke taak uitvoert, m.a.w. overheids gerelateerd. Aangezien een GGZ daar niet onder valt, mogen ze volgens mij geen DigiD gebruiken. https://www.logius.nl/dom...digid/aansluiten-wijzigen. Overigens zou het wel meteen aangeven dat een applicatie redelijk veilig is, aangezien de aansluitnormen voor DigiD vrij pittig zijn.

Ardana schreef op zondag 2 juli 2023 @ 15:49:
Dus, hoe weet je of 'n patiëntenportaal betrouwbaar is?

Je kunt zelden aan de buitenkant zien of een portaal betrouwbaar is. Over security zeggen ze dit: https://www.karify.nl/nl/privacy-veiligheid/beveiliging/. Zegt eigenlijk niet zoveel, al haal ik er een paar positieve dingen uit, waaronder:
[/quote]
Verder is monitoring en logging onderdeel van onze werkwijze, we houden actief en passief in gaten of er ongebruikelijke activiteit in ons netwerk plaatsvindt.

Dat zie ik niet veel terug in publieke statements en ook niet vaak in de praktijk. Ook niet als er een certificering is. Voor mij een duidelijk punt dat ze meer dan dan alleen strict noodzakelijk.

Certificeringen zeggen helaas niets. Die moeten ze hebben en vaak is het dan een papierwinkel in plaats van echte security toepassingen.

Hier (https://www.karify.nl/nl/...eid/privacy-cookiebeleid/) staat ook nog een optie die je kan uitoefenen:

7.4. Voor meer informatie over de beveiliging van Karify kan Gebruiker en Bezoeker contact opnemen met de Security Officer van Karify, te bereiken via security@karify.com.
[quote]

Mijn afdronk is dat je op basis van extern beschikbare informatie eigenlijk niet kan beoordelen of zo'n portaal veilig is. Als ik echter kijk naar wat ze publiceren ben ik licht positief en zie ik meer dingen dan dat je stict van ze mag verwachten in het kader van de certificeringen. Dat geeft mij het idee dat ze het echt doen om secure te zijn en niet allen voor de bühne. Als je echt wil weten of het veilig is, moet je vragen of ze een pentest rapport kunnen laten zien.

CodeCaster schreef op zondag 2 juli 2023 @ 15:54:
[...]
Omdat ik een sms moet ontvangen om een bericht te lezen betekent niet ineens dat het hele systeem van begin tot eind veilig is, hoe hard dat inlogscherm dat ook claimt.

Dat is juist niet veilig, er zijn genoeg accounts gehackt door een simkaart over te nemen. Dan moeten ze wel weten welk nummer het is en moet er een social engineering aanval uitgevoerd worden, maar SMS is tweede in het rijtje onveiligste opties voor MFA.

CodeCaster schreef op zondag 2 juli 2023 @ 15:54:
[...]

ChatGPT kan nog betere voorwaarden genereren. Niemand zegt dat Daantje van development niet gewoon bij productie kan en de patiëntdata van z'n buurvrouw op usb-stick meeneemt naar huis.

Die NEN7510 zegt hier wel iets over en voor zo'n certificering wordt je ook geaudit.
Dus er wordt getoetst of jouw werkprocessen aansluiten bij wat NEN7510 voorschrijft en of je je eigen werkprocessen naleeft.

Voor de liefhebber de online NEN7510: https://www.webtoolmanage...ae-413b-8564-7ca7df60bde1

SiErRa schreef op maandag 3 juli 2023 @ 09:56:
[...]


Die NEN7510 zegt hier wel iets over en voor zo'n certificering wordt je ook geaudit.
Dus er wordt getoetst of jouw werkprocessen aansluiten bij wat NEN7510 voorschrijft en of je je eigen werkprocessen naleeft.

Voor de liefhebber de online NEN7510: https://www.webtoolmanage...ae-413b-8564-7ca7df60bde1

Je linkt nu naar de oude versie. De meest recente versie komt uit 2017.

Ardana schreef op zondag 2 juli 2023 @ 15:49:
Dus, hoe weet je of 'n patiëntenportaal betrouwbaar is?

Leg de vraag neer bij de GGZ die dit portaal aanbied...

Ik werk momenteel zelf bij één van de grotere gemeente in Nederland, en werk veel voor en met de GGZ in deze regio. Reken maar dat de eigen security afdeling van de gemeente portalen waar bijzondere persoonsgegevens in opgeslagen worden volledig doorlicht voordat hier live mee gegaan wordt.

Ardana schreef op zondag 2 juli 2023 @ 15:49:
Dus, hoe weet je of 'n patiëntenportaal betrouwbaar is?

Niet

Maar aangezien er regelgeving in NL is waar systemen met digitale gegevens in de zorg aan moeten voldoen, is het aannemelijk dat het patiëntenportaal daar aan voldoet. Als aanvulling daarop komt er ook nog "Wet Digitale Overheid", de wet is aangenomen en treedt op 1 juli 2023 gefaseerd in werking. De voltooiing ligt daarvan ergens in de tweede helft van 2026, zodat de verschillende organisaties voldoende tijd hebben om ook daar aan te kunnen voldoen.

https://www.rijksoverheid...van-digitale-zorggegevens

Betekent regelgeving dat iets 100% betrouwbaar is, nee. Net zoals een corrupte ambtenaar niet mag maar wel bestaat (en bij ontdekking ook aangepakt zal worden).

-- als aanvulling, er is ook weer een partij die zorgaanbieders, -gebruikers en leveranciers bij elkaar brengt en afspraken maakt over het veilig uitwisselen van medische gegevens. PGO’s en zorgverleners met een MedMij-label volgen deze regels. Ik zie in de lijst met deelnemers Karify niet terug.

[ Voor 16% gewijzigd door Qwerty-273 op 03-07-2023 10:17 ]

SiErRa schreef op maandag 3 juli 2023 @ 09:56:
[...]


Die NEN7510 zegt hier wel iets over en voor zo'n certificering wordt je ook geaudit.
Dus er wordt getoetst of jouw werkprocessen aansluiten bij wat NEN7510 voorschrijft en of je je eigen werkprocessen naleeft.

Voor de liefhebber de online NEN7510: https://www.webtoolmanage...ae-413b-8564-7ca7df60bde1

Dat zal allemaal best. Ik bagatelliseer die certificering niet, het is goed dat dat bestaat en gehandhaafd wordt.

Tegelijkertijd ben ik bezig met een aanvraagtraject via een van 's lands grootste verzekeraars, en omdat het invullen van mijn medische dossier via de site niet lukte (want prutsende front-enders die niets testen zijn niet alleen voorbehouden aan onze landsbanken), moest ik dat na telefonisch navragen per e-mail nazenden.

Op mijn vraag of dat wel veilig was, kreeg ik "ja hoor, alleen wij kunnen in die mailbox".

Dus ja, tegen personeel is niet op te auditen. Medische gegevens. In platte tekst, over God wie weet over wiens servers. Veilig. Uiteraard.

[ Voor 3% gewijzigd door CodeCaster op 03-07-2023 10:21 ]

BytePhantomX schreef op maandag 3 juli 2023 @ 09:13:
DigiD mag je alleen gebruiken als je een publieke taak uitvoert, m.a.w. overheids gerelateerd. Aangezien een GGZ daar niet onder valt, mogen ze volgens mij geen DigiD gebruiken.

Interessant, want als ik op het patientenportaal van het HMC inlog gaat dat gewoon met mijn DigId, namelijk.

Het zal dus voor zorginstellingen wel kunnen - en het zou me bevreemden als de GGZ daar dan weer buiten valt. Maar goed, er zijn wel vreemdere regels in dit land...

Mijn afdronk is dat je op basis van extern beschikbare informatie eigenlijk niet kan beoordelen of zo'n portaal veilig is. Als ik echter kijk naar wat ze publiceren ben ik licht positief en zie ik meer dingen dan dat je stict van ze mag verwachten in het kader van de certificeringen. Dat geeft mij het idee dat ze het echt doen om secure te zijn en niet allen voor de bühne. Als je echt wil weten of het veilig is, moet je vragen of ze een pentest rapport kunnen laten zien.

Dat is natuurlijk altijd de uitdaging bij dit soort vragen. Overtuigend het tegengestelde aantonen is vaak heel eenvoudig. Iedereen snapt dat het systeem onveilig is na een datalek. Net als iedereen de conclusie trekt dat een stof onveilig is als alle gebruikers eraan overlijden.

Maar aantonen dat een systeem, een medicijn, een voedseltoevoeging, etc. wel veilig is, is ettelijke malen lastiger.

In dat licht zijn certificeringen ook zo dubbel. Het is zeker foute boel als ze er niet zijn, maar als ze er wel zijn is dat geen enkele garantie dat alles goed zit.

En ja, dat is frustrerend voor de argwanende burger, maar die frustratie komt op heel veel plekken voor. "Kan deze change veilig naar productie?". Tsja, aantonen dat een bug is opgelost is simpel, aantonen dat er echt helemaal niets anders om is gevallen kost heel wat meer moeite.

SiErRa schreef op maandag 3 juli 2023 @ 09:56:
[...]


Die NEN7510 zegt hier wel iets over en voor zo'n certificering wordt je ook geaudit.
Dus er wordt getoetst of jouw werkprocessen aansluiten bij wat NEN7510 voorschrijft en of je je eigen werkprocessen naleeft.

Voor de liefhebber de online NEN7510: https://www.webtoolmanage...ae-413b-8564-7ca7df60bde1

NEN kijkt of processen aanwezig zijn en of controls geïmplementeerd zijn. Op basis van een steekproef. Het zegt vooral dat ze redelijk goede processen hebben, meer niet (ik heb jarenlang ISO en NEN implementaties gedaan, zelfs met amper vastlegging haal je het nog als je de juiste antwoorden geeft).

Ze schrijven dat hun data center gecertificeerd is. Nergens lees is dat het bedrijf zelf ook gecertificeerd is en dat ze hun zaakjes op orde hebben.

Rukapul schreef op zondag 2 juli 2023 @ 16:21:
Security certificering is niet meer.dan marketing hier.

Meerzeggend is dat ze wel een Security engineer en een security officer in het team hebben zitten.

Het LinkedIn profiel van de Security engineer is echter niet heel indrukwekkend.

Dat het profiel niet indrukwekkend is is ook weer een indicatie dat het hebben/noemen van de functies uiterlijke schijn is of kan zijn.

Voor een stukje architectuur ben ik me ook aan het inlezen in NEN (o.a. 7510), en het zegt niets anders dat je een proces moet hebben voor xyz. E.g. je moet een proces hebben om om te gaan met cryptografisch sleutels... als je dan in je proces beschrijft dat je ze op een shared drive zet met wat access control, dan voldoe je aan de norm.
Ik vond dit ook altijd opmerkelijk als een bedrijf advertised dat ze ISO 9001 certified zijn, whooptidoo... ISO 9001 zegt niets anders dat je gedocumenteerd hebt dat je een kwaliteitsproces hebt... Het zegt niets over de kwaliteit van je product.

De zwakste schakel is nog altijd het uitvoerende personeel. Dus als inderdaad Daantje van IT even in moet loggen om wat in productie recht te breien, en je hebt gedocumenteerd hoe Daantje dat moet doen, en gelogd dat Daantje dat gedaan heeft (NEN7513), dan voldoe je aan de norm. Dat Daantje dan stiekum alles geupload heeft naar het dark web... of minder kwaadaardig: per ongeluk de database open zet voor het publiek... tja. Je voldoet aan de norm, maar bent nog steeds aan het prutsen.
En ik heb ook wel eens gezien dat het zorgpersoneel systemen oneigenlijk/fout gebruikt waardoor te veel data naar buiten gaat. Ik heb wel eens een voor+achternaam gezien in een diagnose-veld: "Mevrouw Lies de Vries heeft een wondje op haar been".

Dit soort zaken zijn eigenlijk ook niet af te dwingen met normen of certificeringen omdat het aantal technische oplossingen/implementaties/variaties gewoon te groot is.
En het is ook lastig voor een kleine club om alles wat in de normen staat (NEN7510/7512/7513/7516) te bevatten en goed te implementeren.
E.g. stichtingen zoals bijvoorbeeld een patientenfederatie hebben vaak niet de middelen om dit allemaal op poten te zetten.

Wat is dan de oplossing? Geen idee! De tijd dat alle correspondentie en data in een archiefkast lagen is voorbij en we waarderen snelle beschikbaarheid van informatie en gemak boven privacy.

Hoe weet je dan of zo'n portaal betrouwbaar is? Niet.

boxlessness schreef op maandag 3 juli 2023 @ 14:08:
Voor een stukje architectuur ben ik me ook aan het inlezen in NEN (o.a. 7510), en het zegt niets anders dat je een proces moet hebben voor xyz. E.g. je moet een proces hebben om om te gaan met cryptografisch sleutels... als je dan in je proces beschrijft dat je ze op een shared drive zet met wat access control, dan voldoe je aan de norm.

Dus ja, tegen personeel is niet op te auditen. Medische gegevens. In platte tekst, over God wie weet over wiens servers. Veilig. Uiteraard.

Een bedrijf bestaat vaak uit verschillende functies. Je lijkt bij je vraag of het veilig is geen intetesse te hebben aan wie je de vraag stelt, kennelijk om makkelijk te kunnen klagen dat je niet een gewenst antwoord krijgt waarop je hoopt. Natuurlijk mag je een onderbouwd antwoord verwachten, maar als je er zelf al geen moeite voor lijkt te doen een gewenst antwoord te krijgen en je kennelijke ervaring niet inzet om het beste antwoord te krijgen, dan is cynisch doen over personeel of audits nogal makkelijk.

Ardana schreef op maandag 3 juli 2023 @ 16:44:
Hmmm.. duidelijk. Er is dus geen duidelijkheid over te krijgen. Onhandig.

De uitdaging waar heel cyber security mee te maken heeft. Er is bijna geen enkele certificering o.i.d. die echt aangeeft dat het veilig is.

Veilig voor de buitenwereld is 1 ding, maar beheerders in allerlei vormen en maten hebben vaak ook enigszins van toegang tot bepaalde gegevens. Een geheimhoudingsplicht is niet heel veel waard.

Ik heb ook ergens gewerkt waar ik databases van EPD's beheerde. Daar kon ik als IT'er gewoon in kijken. Sterker nog, ik moest soms zelf data scramblen voor acceptatie/test/trainings omgevingen.

Het komt dan dus aan op het verantwoordelijkheidsgevoel van een beheerder.

BytePhantomX schreef op maandag 3 juli 2023 @ 20:25:
[...]


De uitdaging waar heel cyber security mee te maken heeft. Er is bijna geen enkele certificering o.i.d. die echt aangeeft dat het veilig is.

En dat kan ook niet. 100% veiligheid bestaat helaas niet. Ongeacht hoe vaak en hoe grondig je iets audit, hoe secure je iets ontwerpt; er kan iets over het hoofd worden gezien. Wat nu als veilig wordt geacht is dat misschien morgen niet meer etc. etc.

kodak schreef op maandag 3 juli 2023 @ 15:22:
[...]
Een bedrijf bestaat vaak uit verschillende functies. Je lijkt bij je vraag of het veilig is geen intetesse te hebben aan wie je de vraag stelt, kennelijk om makkelijk te kunnen klagen dat je niet een gewenst antwoord krijgt waarop je hoopt. Natuurlijk mag je een onderbouwd antwoord verwachten, maar als je er zelf al geen moeite voor lijkt te doen een gewenst antwoord te krijgen en je kennelijke ervaring niet inzet om het beste antwoord te krijgen, dan is cynisch doen over personeel of audits nogal makkelijk.

Dat is de omgekeerde wereld, niet? Nogmaals de flow:

1. Ik ben een verzekering aan het aanvragen.
2. Men wil daarvoor mijn volledige medische geschiedenis hebben, ingevuld via een website.
3. De website zuigt, dus het indienen van mijn aanvraag gaat mis.
4. Ik bel het aangegeven nummer dat specifiek bestaat voor vragen over de medische acceptatie.
5. Ik meld daar dat niet alle medische gegevens zijn doorgekomen.
6. Ik krijg te horen dat ik die dan maar per e-mail moet aanleveren, naar een speciaal hiervoor bestaande mailbox (gezien de naam daarvan).
7. Ik vraag of e-mail wel veilig genoeg is voor dat doeleinde.
8. Men zegt: "ja hoor, alleen wij kunnen bij deze mailbox".

Dat druist rechtstreeks in tegen alles wat je bij alle protocollen en certificeringen hieromtrent vastlegt? Wat had ik dan moeten vragen? "Spreken jullie PGP?" Of "Mag ik jullie security officer spreken?"

Veiligheid is gebaseerd op vertrouwen. Dit komt te voet en gaat te paard. Een webinterface die eruitziet alsof 'ie uit 2000 komt (zoals bij best wel veel zorgplatforms), geeft geen vertrouwen. Mensen die jouw medisch dossier moeten behandelen en niet weten waarom e-mail daarvoor geen geschikt medium is, geven ook geen vertrouwen.

[ Voor 17% gewijzigd door CodeCaster op 04-07-2023 00:08 ]

Medische gegevens via de mail versturen mag niet, daarvoor zijn juist dit soort portalen opgezet. Om dit te vergemakkelijken is enkele jaren geleden TVS (ToegangVerleningService) opgezet in samenwerking met verschillende ministeries om via DigiD medische gegevens in te kunnen zien.

Bor schreef op maandag 3 juli 2023 @ 20:42:
[...]


En dat kan ook niet. 100% veiligheid bestaat helaas niet. Ongeacht hoe vaak en hoe grondig je iets audit, hoe secure je iets ontwerpt; er kan iets over het hoofd worden gezien. Wat nu als veilig wordt geacht is dat misschien morgen niet meer etc. etc.

Precies, en niet alleen omdat er nieuwe standaarden / lekken komen, maar ook omdat ze een update uitrollen, en die blijkt ineens niet veilig te zijn. Tja wat is dan de oplossing? Elke update door een complete externe audit te laten gaan van een partij goedgekeurd door de overheid voor die mag worden uitgerold? Dan hopen dat er geen significante zero-day ergens komt, want voordat die elke update die het oplost hebben goedgekeurd ben je een jaar verder.

En zo is het overal. Ik werk (onder andere) in automotive wereld. Vol met veiligheidsstandaarden. Maar je moet ons maar erop vertrouwen dat we het netjes implementeren. En natuurlijk daar heb je botstesten die je wat zekerheid kunnen geven, maar dat is maar een beperkt gedeelte van de veiligheid. Wie zegt dat als je de claxon gebruikt bij hard remmen de airbags niet spontaan af gaan bijvoorbeeld?

Ik ben vanuit mijn IT-rol bij een aantal bedrijven werkzaam geweest die zorgoplossingen maken. Ik ben er niet onder de indruk geraakt van de werkwijze en de beveiliging. Nou wil dat absoluut niet zeggen dat dit bij elk bedrijf het geval is, maar ik bespeur toch met name de houding "we doen security omdat het moet" en dan vlak daarachter "en dus het moet zo weinig mogelijk kosten". Om over het ontbreken van fatsoenlijke IAM- en Governance-oplossingen nog maar te zwijgen.

CodeCaster schreef op maandag 3 juli 2023 @ 21:42:
[...]
Wat had ik dan moeten vragen? "Mag ik jullie security officer spreken?"

Na het horen van het antwoord was dat inderdaad wat je has kunnen doen. Zeker als je kennelijk weet dat het personeel wat je spreekt je een antwoord geeft waaruit blijkt dat ze niet doen wat de bedoeling is en jij en anderen er de nadelen van kunnen ondervinden.

Veiligheid is gebaseerd op vertrouwen.

En het is gebaseerd op samenwerken, niet opzettelijk tegenwerken en dan klagen dat je in de ander geen vertrouwen hebt.

Die functionaris gegevensbescherming en security officer zijn er ook om als klant aan te spreken op misstanden of onduidelijkheid. Daarom is eerder ook geschreven dat als je niet duidelijk weet waarom je vertrouwen kan hebben je daar je probleem voor legt en samen een oplossing zoekt.

kodak schreef op dinsdag 4 juli 2023 @ 09:00:
[...]

Na het horen van het antwoord was dat inderdaad wat je has kunnen doen. Zeker als je kennelijk weet dat het personeel wat je spreekt je een antwoord geeft waaruit blijkt dat ze niet doen wat de bedoeling is en jij en anderen er de nadelen van kunnen ondervinden.


[...]
En het is gebaseerd op samenwerken, niet opzettelijk tegenwerken en dan klagen dat je in de ander geen vertrouwen hebt.

Die functionaris gegevensbescherming en security officer zijn er ook om als klant aan te spreken op misstanden of onduidelijkheid. Daarom is eerder ook geschreven dat als je niet duidelijk weet waarom je vertrouwen kan hebben je daar je probleem voor legt en samen een oplossing zoekt.

Ik werk niemand opzettelijk tegen, waar haal je dat vandaan?

Ik ben bezig met een dure, levenslange verzekering aanvragen waarbij het maar de vraag is of ik geaccepteerd wordt, wat spannend is. Daarnaast moet ik mijn hele medische geschiedenis in een niet meewerkend formuliertje invullen, wat zowel emotioneel belastend als gewoonweg frustrerend is.

En als ik dan mijn gegevens op een onveilige manier moet nasturen, moet ik hen ook nog eens uitleggen dat ze hun proces niet op orde hebben? Ik ben de klant, niet de uitvoerder. Ik wil niet mijn eigen glazen wat betreft het verkrijgen van die verzekering ingooien. "Daar heb je weer zo'n lastige klant".

Ik meld al bij genoeg instanties dat hun site of proces ruk is. Zoals laatst bij een grote factureringsinstantie (in de zorg, uiteraard). Als je daar na het invullen van de sms-code op Enter drukt om je factuur te downloaden, dan krijg je niet de factuur, maar nóg een sms. Of foutmeldingen bij de ABN bij het betalen. Of meldingen bij de ACM van spammers. Melden bij Ziggo en KPN dat er partijen doen alsof ze namens hen bellen, en waarom ze die telefoonnummers niet blokkeren maar wel de door hen aangedragen contracten accepteren.

Van beveiliging weet ik niet genoeg om daar diezelfde acties te ondernemen, en juist dat daaromtrent zoveel protocollen, processen en certificaten zijn, zou ervoor moeten zorgen dat men zo'n gapend gat zelf detecteert, toch?

[ Voor 5% gewijzigd door CodeCaster op 04-07-2023 09:37 ]

CodeCaster schreef op dinsdag 4 juli 2023 @ 09:12:
[...]
Ik werk niemand opzettelijk tegen, waar haal je dat vandaan?

Ik wil niet mijn eigen glazen wat betreft het verkrijgen van die verzekering ingooien. "Daar heb je weer zo'n lastige klant".

Ik meld al bij genoeg instanties dat hun site of proces ruk is.

Je noemt eerder en ook nu meerdere redenen op waarom je opzettelijk niet meer doet. Om vervolgens te gaan klagen dat bepaalde beveiliging en personen niet aan eisen voldoen, niet om het daarmee veiliger voor jezelf en anden te krijgen. Dat lijkt mij opzettelijk tegenwerken.

Van beveiliging weet ik niet genoeg om daar diezelfde acties te ondernemen, en juist dat daaromtrent zoveel protocollen, processen en certificaten zijn, zou ervoor moeten zorgen dat men zo'n gapend gat zelf detecteert, toch?

Dus je weet niet genoeg, maar klaagt wel dat ze zich niet aan protocollen houden. Je weet niet genoeg welke stappen je kan ondernemen, maar weet wel welke beveiliginsfuncties er bestaan die bedoeld zijn om contact mee op te nemen.
Je wil dat ze zelf iets doen, maar stelt dat het niet lijkt te gebeuren.
Hoe verwacht je dat je klagen hier dan voor verbetering voor jezelf en anderen gaat zorgen?

kodak schreef op dinsdag 4 juli 2023 @ 10:26:
[...]
Dat lijkt mij opzettelijk tegenwerken.
[...]
Hoe verwacht je dat je klagen hier dan voor verbetering voor jezelf en anderen gaat zorgen?

Goed, inactiviteit is ook activiteit, maar waarom neem je aan dat ik hier kom voor verbetering? Ik kom hier enkel om met een praktijkvoorbeeld aan te tonen dat het bestaan van normen niet inherent zorgt voor veiligheid.



Regelmatig wanneer ik niet of slecht functionerende zaken aan de kaak probeer te stellen bij instanties, word ik niet begrepen, weggehoond, met een kluitje in het riet of van het kastje naar de muur gestuurd, of een combinatie daarvan. Ik heb doorgaans wel wat beters te doen met m'n tijd.

[ Voor 3% gewijzigd door CodeCaster op 04-07-2023 10:51 ]

Ardana schreef op maandag 3 juli 2023 @ 11:49:
Ow, dat heb ik wel 'ns gedaan. Maar die hebben nog nooit van NEN gehoord, laat staan van 'n pen-test.

Dat heeft de patiëntenhelpdesk van het ziekenhuis waar ik voor werk inderdaad nog nooit van gehoord. Dat wil niet zeggen dat ik als beheerder niet druk bezig ben de resultaten van de pentest van vorige maand te beoordelen en (indien nodig) verbeteringen aan aan het brengen ben

Die helpdesk kan die vraag uitzetten naar de beheerders, zeker, maar dat degene die je spreekt er nog nooit van gehoord heeft wil niet altijd veel zeggen.

Rukapul schreef op zondag 2 juli 2023 @ 16:21:
Het LinkedIn profiel van de Security engineer is echter niet heel indrukwekkend.

De mijne ook niet. Ik doe simpelweg niks met LinkedIn. Wil dat zeggen dat ik slecht ben in mijn werk?

---

Ik heb geen mening over Karify of die security engineer en ik snap dat het van buitenaf zoeken is naar strohalmen om je aan vast te klampen want meer informatie heb je niet, maar besef je dat die strohalmen niet representatief (hoeven te) zijn

Ardana schreef op dinsdag 4 juli 2023 @ 13:57:
Punt is, ik heb ook te vaak mee gekregen dat, als er dan 'n keer 'n lek oid is, dat het dan is "Ow, maar dat had je kunnen weten, want X". Of "je weet toch dat dat soort systemen zo lek als 'n mandje zijn? Nooit vertrouwen".

Wie zegt dat? Een random Internet "expert" waar we er 17 miljoen van hebben, of iemand die weet waar'ie het over heeft? Want je kunt altijd wel iemand vinden die vindt dat het je eigen schuld is.

Ardana schreef op dinsdag 4 juli 2023 @ 13:57:
[...]

Punt is, ik heb ook te vaak mee gekregen dat, als er dan 'n keer 'n lek oid is, dat het dan is "Ow, maar dat had je kunnen weten, want X". Of "je weet toch dat dat soort systemen zo lek als 'n mandje zijn? Nooit vertrouwen".

Dat soort opmerkingen kan ik nooit zoveel mee. Zijn vaak schippers die aan wal staan en het altijd beter weten. En achteraf weten ze het al helemaal beter. Waar mensen werken worden fouten gemaakt en security is over het algemeen dermate complex dat je het nooit allemaal goed kan doen.

Ardana schreef op dinsdag 4 juli 2023 @ 13:57:
[...]
Zeker als je niet alle ins en outs weet, kún je geen gedegen afweging maken. Net zo min als dat je weet naar wie je moet vragen om informatie te krijgen. Of dat je weet welke vragen je moet stellen. Of dat je de antwoorden naar waarde kan schatten.

Ook als je alle ins en outs weet ga je alsnog verschillende meningen krijgen. Het is niet zo dat alle security professionals het altijd met elkaar eens zijn. Zoals eerder gezegd 100% veilig bestaat niet. En organisaties moeten hun eigen risicoafweging maken. En daar hoeft een ander het niet mee eens te zijn.

De hele essentie van dit is dat je een partij moet vertrouwen en die partij moet zijn best doen om jouw vertrouwen te winnen. Dat is altijd een persoonlijke afweging.

Vertrouw je het niet, dan zorg je ervoor dat er zo min mogelijk data van jou in staat. En kies je er voor om zo snel als kan een verwijderverzoek in te dienen. In de praktijk is de kans dat het echt goed mis gaat gelukkig klein gebleken tot nu toe, maar daar heb je niets aan als je zelf een keer het slachtoffer wordt.

[ Voor 5% gewijzigd door BytePhantomX op 05-07-2023 10:51 ]

BytePhantomX schreef op maandag 3 juli 2023 @ 09:13:
[...]


DigiD mag je alleen gebruiken als je een publieke taak uitvoert, m.a.w. overheids gerelateerd. Aangezien een GGZ daar niet onder valt, mogen ze volgens mij geen DigiD gebruiken. https://www.logius.nl/dom...digid/aansluiten-wijzigen. Overigens zou het wel meteen aangeven dat een applicatie redelijk veilig is, aangezien de aansluitnormen voor DigiD vrij pittig zijn.

Bij zowel zorgdomein en het ziekenhuis waar ik af en toe kom, kan ik beide inloggen met DigID. Het zou me dus verbazen wanneer dat bij een GGZ niet zou mogen.