Beveiliging en Privacy in het Nederlandse EPD

Trojaanse paarden en het EPD: de les van Pobelka

Ik sprak en schreef al eerder over het risico van trojan horses en botnets bij het EPD. In de tweede kamer sprak ik hier ook over. Recent kwam deze scan in mijn bezit. Het toont een overzicht van systemen die geinfecteerd zijn met het Pobelka botnet. Over dit botnet werd recent in het NOS journaal uitgebreid gerapporteerd.

Het pobelka botnet is een netwerk van gecompromitteerde machines (ongeveer een kwart miljoen PC's in Nederland - niet alleen van gewone burgers maar ook bij overheden, banken en in de zorg). Pobelka is een variant van de krachtige Citadel malware toolkit, die aanvallers (in geval van Pobelka vanuit Rusland) de mogelijkheid geeft om de controle over een PC volledig over te nemen. Een botnet wordt zo genoemd, omdat een aanvaller een groot aantal geinfecteerde computers op afstand kan aansturen en naar hartelust als 'robots' kan gebruiken. Citadel wordt ook gebruikt als basis om andere, aanvullende malware te installeren, als eenmaal een computer geinfecteerd is. Zo kan een specifieke PC gebruikt worden als 'springplank' voor andere, meer specifieke aanvallen, zoals op industriele doelwitten die de hacker vindt in het netwerk van de PC. Ook bij Pobelka blijken dergelijke doelwitten in kaart te zijn gebracht.

SurfRight en Digital Investigations hebben een uitstekend rapport over Pobelka geschreven. Het blijkt dat de russische criminelen achter het botnet hun netwerk ten volle hebben gebruikt om vanuit besmette computers andere computers te besmetten, en om over lange tijd allerlei soorten informatie van deze computers te verzamelen. Kennelijk is er een markt voor de gezochte informatie, want zo'n actie kost moeite en tijd.

Pobelka is ruim doorgedrongen in zorgsystemen. In het NOS item was onder meer te zien dat een Promedico-asp systeem geinfecteerd was. Promedico is een (gehost, ASP) huisarts informatie systeem dat gecertificeerd is voor aansluiting op het LSP. Het zou dus moeten voldoen aan de normen voor een goedbeheerd zorgsysteem (GBZ), de beveiligingseisen van Nictiz die ervoor moeten zorgen dat de systemen die op het EPD/LSP zijn aangesloten zijn, niet gecompromitteerd worden met virussen of andere kwaadaardige software.

Het onder pobelka liggende Citadel virus gebruikt, net als veel andere kwaadaardige software, technieken om aan de aandacht van virusscanners te ontsnappen. Het is daarom niet zo vreemd dat de GBZ normen (of de NEN-7510 normen die ook in de zorg worden toegepast) infecties zoals deze niet kunnen voorkomen. Nuttig als ze zijn, GBZ, NEN en andere algemene beveiligingsnormen kunnen nooit volledig voorkomen dat (vaak door hun complexiteit inherent onveilige) computersystemen geinfecteerd worden met malware, zelfs als ze volledig zouden worden nageleefd.

Ezorg levert de netwerk aansluiting en diensten zoals email voor veel zorgverleners. De verschillende computers die via ezorg op het Internet aangesloten zijn, zitten achter een proxy. Vanaf het Internet lijkt het alsof alle op ezorg aangesloten zorgverleners hetzelfde Internet adres (internet.ezorg.nl) hebben; hier horen slechts een beperkt aantal IP adressen bij. Naast reguliere Internet toegang biedt ezorg ook een door Nictiz gecertificeerde netwerk aansluiting voor aansluiting op het LSP aan. De reguliere aansluiting op het publieke Internet loopt in de regel gewoon daarnaast, vanaf dezelfde machine; dit moet wel, want ook dokters gebruiken wikipedia, google, email, en ander zaken, naast zorgspecifieke websites zoals bijvoorbeeld het farmacotherapeutisch kompas, in hun dagelijkse werk.

De scan laat het resultaat zien van een scan op aanwezigheid van het botnet vanaf één van de IP-adressen van ezorg, met behulp van de tool check.botnet.nu. De scan laat zien of onder de op het ezorg netwerk aangesloten systemen van zorgverleners die dit IP adres gebruiken, geinfecteerde systemen zitten.

check.botnet.nu is een webpagina waarmee mensen kunnen controleren of hun machine besmet is. De site gebruikt een lijst van geinfecteerde machines, die digital investigations van de pobelka-moederserver heeft bemachtigd. Als je vanaf je eigen PC de website aanroept, kun je zien of één of meerdere computers op jouw IP adres geinfecteerd zijn.

Uitgevoerd vanaf een machine in het ezorg netwerk, toont de scan het resultaat: achter één van de drie IP-adressen van het (vrij grote) ezorg netwerk zijn 29 computers geinfecteerd. Andere botnetten, al dan niet gebaseerd op het citadel virus staan niet in de lijst, en naast ezorg zijn er ook andere ISPs in de zorg actief, die mogelijk ook geinfecteerde systemen bevatten; ook die staan niet in de scan.

Analyse en conclusie

Allereerst een korte analyse van wat er in de scan te vinden is, aan de hand van twee voorbeelden: SPRKKMR3 lijkt me een helder geval van een computer in de spreekkamer. Bij een LSP aansluiting zou deze computer dus zeker ook aan het LSP hangen, en deze computer was onderdeel van het Pobelka botnet en dus op afstand door de russische criminelen achter het botnet bestuurbaar. Dit is een helder geval van een ingang tot het LSP voor criminelen, vanaf een geinfecteerde computer. HAIOKAMER zal een PC in een kamer voor Huisartsen In Opleiding zijn. Het is onwaarschijnlijk dat zo'n PC aan het LSP hangt, maar het is wél waarschijnlijk dat deze PC in hetzelfde netwerk staat als de PCs van de baliemedewerker en van de huisarts(en) die straks wel op het LSP aangesloten zijn. Vanaf de HAIOKAMER kan een hacker daarom, gebruik makend van een van een veelheid van kwetsbaarheden in de lokaal vindbare en addresseerbare PCs, eenvoudig doorspringen naar een PC die wel aan het LSP hangt.

Wat is nu het risico voor het EPD/LSP? Het LSP vertrouwt op de beveiliging van de aangesloten computers. Op deze computers vindt een lokale toets plaats op het bestaan van een behandelrelatie (zie eerder nieuwsitem voor meer informatie), die eenvoudig te passeren is voor een hacker. Ook prepareert de computer de verzoeken om patiëntinformatie die naar het LSP gestuurd worden. Deze worden weliswaar, al dan niet digitaal ondertekend, naar het LSP verstuurd over een beveiligde verbinding (authenticatie dient plaats middels een persoonlijke UZI pas, een beveiligde smartcard met PIN code van de arts, die als identificatie en authenticatiemiddel dient waarmee beveiligde communicatiekanalen kunnen worden opgezet en waarmee berichten kunnen worden ondertekend), maar als er kwaadwillende software op de PC staat kan die eenvoudig het BSN nummer en eventueel andere informatie van een patiënt vervangen door de informatie van iemand anders. De UZI pas ondertekent het braaf, of het verzoek wordt over de beveiligde verbinding verbinding gestuurd; en het LSP retourneert al even braaf wat er gevraagd werd. De dokter ziet misschien een foutmelding, en probeert opnieuw. Het opgevraagde dossier is inmiddels naar de moederserver van het botnet (in Rusland of de oekraine) gestuurd. Wat ervoor nodig is om dit te doen mag bekend worden verondersteld, is redelijk simpel, en zal op gegeven moment onderdeel uitmaken van hacker toolkits zoals Citadel, of uitbreidingen daarvoor.

Omdat het LSP in feite alle aangesloten computers vertrouwt, is slechts één besmette computer nodig om willekeurige patiëntendossiers via het LSP op te vragen. Dit geeft precies aan waarom grootschalige uitwisselingssystemen zoals het LSP een de beveiligingsrisico's vergroten ten opzichte van de huidige situatie. Waar nu de schade van een botnet zoals ``pobelka'' beperkt blijft tot SPRKKMR3 of HAIOKAMER en de dossiers die daar te vinden zijn, is straks elk van die computers een springplank naar alle informatie die via het LSP raadpleegbaar is.

Het enige dat hiertegen helpt is te zorgen dat de hoeveelheid computers die gegevens op kunnen vragen van een specifieke patiënt zoveel mogelijk te beperken. Dit is bijvoorbeeld te realiseren door bij het geven van toestemming te zorgen dat de toestemming een zo beperkt mogelijke groep (of categorie) van zorgverleners, corresponderend met wat voor die patiënt nodig is, betreft. Bijvoorbeeld, alleen de huisartsenpost en niet alle huisartsen in een regio, en niet alle ziekenhuizen in het hele land. Een gerelateerde oplossing is door ervoor te zorgen dat de patiënt, of diens (huis)arts namens hem, specifieke zorgverleners expliciet kan autoriseren. Dit kan met behulp van digitale handtekeningen, bijvoorbeeld gezet met behulp van een pasje dat de patiënt bij zich kan dragen.

Ook over zo'n moderne variant van de zorgpas (je kunt het ook als een meer flexibele variant van de Duitse Gesundheitskarte zien), heb ik al meerdere malen geschreven, en ook vanuit het parlement is al meerdere malen tevergeefs een oproep gedaan om een (optionele) autorisatiepas voor de patiënt beschikbaar te stellen waarmee patiënten die dat willen hun gegevens beter kunnen beveiligen. Het pobelka botnet laat zien dat hierover nadenken (en ernaar handelen!) geen overbodige luxe is.

Guido van 't Noordende - last modified May 13, 2013.

Terug naar EPD overzichtspagina: terug