VWS: ‘Dit lek was met elke pentest gevonden’

Het ministerie van VWS controleert niet met een eigen penetratietest (pentest) of de systemen van aanbieders van coronatests, die gekoppeld zijn met de Coronacheck-app, deugen. De verantwoordelijkheid voor die pentest ligt volledig bij de externe aanbieders. Dat vormt een flink risico voor de Coronacheck-app, dat de officiële verstrekker is van digitale testbewijzen. De procedure gaat mogelijk op de schop.

Bij een negatieve testuitslag stuurt een externe coronatestaanbieder deze naar de app van VWS die deze omzet in een QR-code waarmee iemand kan aantonen dat hij getest of gevaccineerd is en op reis kan of een evenement kan bezoeken.

Afgelopen weekend meldde RTL-nieuws dat door een lek bij aanbieder Testcoronanu het mogelijk was om valse reis- en toegangsbewijzen in de app Coronacheck te krijgen. Ook waren de privégegevens van ruim 60.000 mensen die bij dat bedrijf een coronatest deden, gelekt.
Een verslaggever kon na het maken van een afspraak via twee regels code in de webbrowser toegang krijgen tot de database van de coronatestaanbieder. Door schrijfrechten kon hij een eigen negatieve test toevoegen. Die data werd via een koppeling met  de CoronaCheck-app van de overheid omgezet in een officieel digitaal testbewijs. Het toonde aan hoe mensen die niet getest zijn aan een negatief testbewijs kunnen komen.
VWS heeft de koppeling tussen de systemen van de CoronaCheck-app en coronatest-aanbieder Testcoronanu direct gestaakt nadat het lek bekend werd.

Stappenplan

“‘Dit lek was met elke pentest naar voren gekomen.’”

Volgens de woordvoerder van VWS zijn er rond de dertig commerciële aanbieders van coronatests aangesloten op de Coronacheck-app. Volgens hem gaat het in het geval van het datalek om een incident en zijn in de andere gekoppelde systemen geen kwetsbaarheden van die omvang aangetroffen. ‘Dit lek was met elke pentest naar voren gekomen.’ Er wordt nu onderzocht of er en zo ja, hoe, de pentest heeft plaatsgevonden.
Om die aansluiting tot stand te krijgen, moeten die partijen allerlei procedures volgen en documentatie voorleggen. Zoals beveiligings- en privacy-eisen en een pentest.
Het aansluiten op de app van de rijksoverheid verloopt volgens een strikt stappenplan, maar lijkt gezien het bekende beveiligingslek vooral een papieren tijger te zijn. In de lijst met antwoorden op veelgestelde vragen staat over de pentest dat de aanbieder verantwoordelijk is om kwetsbaarheden te beheersen (zie kader). Daarmee legt de overheid wel erg makkelijk de verantwoordelijkheid bij de andere partij, zeker in een tijd waarin steeds vaker wordt gewaarschuwd voor risico’s in de keten van partners en toeleveranciers.

NEN 7510

Op welke systemen en applicaties moet ik de pentesten uitvoeren?

De pentest moet u uitvoeren op alle systemen in de keten die van toepassing zijn voor de Coronacheck-app. Dit heeft in ieder geval betrekking op de applicatie die mensen gebruiken om afspraken te maken, voor het verwerken van testen en delen van uitslagen met de gebruiker. Een aanbieder is eindverantwoordelijk om de kwetsbaarheden van de systemen te beheersen die onderdeel zijn van de keten volgens NEN 7510.

Bron: Vragen en antwoorden over aansluiten op Coronacheck-app

Weer in de fout

Na het melden van het beveiligingslek meldde RTL-nieuws dat het gewraakte Testcoronanu opnieuw in de fout is gegaan met data en privacy. Er ontstond een nieuw datalek doordat alle mensen, die op de hoogte werden gesteld dat hun afspraak niet door ging, ‘in cc’ waren gezet. Daardoor waren alle mailadressen van mensen met een geannuleerde afspraak zichtbaar.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses artificial intelligence and machine learning to reduce spam. See how your comment data is processed.

Related posts

GGD ging plat door aanvallen op DigiD-leverancier

De storing waardoor websites van de GGD eerder niet bereikbaar waren, is veroorzaakt door meerdere aanvallen op een leverancier van de GGD. Het gaat om de maker van de koppeling waarmee met DigiD kan worden ingelogd op de GGD-websites. Inmiddels zijn de websites weer bereikbaar. De getroffen partij riep de hulp in van de Nationale Beheerorganisatie Internet Providers (NBIP).

Read more

Machine learning geeft medicijnontwikkeling oppepper

Machine learning (ml) leidt tot een revolutie in de medicijnontwikkeling. Vooral ml-algoritmes die voorspellen of een kandidaatmedicijn bijwerkingen kan gaan vertonen, nemen een hoge vlucht. Hiermee is de effectiviteit van het medicijn in een vroege fase vast te stellen.

Read more

Duizend zorgmedewerkers gestart met ai-cursus

Sinds de aftrap op 12 mei 2021 zijn ruim duizend zorgmedewerkers gestart met de Nationale AI-Zorg cursus. Die gratis online cursus richt zich specifiek op ai in de zorg. Het lesprogramma moet zorgverleners meer inzicht geven in wat kunstmatige intelligentie (ai) kan betekenen in hun dagelijks werk. De cursus is gericht op een brede doelgroep van artsen tot verpleegkundigen en van GGZ-medewerkers tot mantelzorgers.

Read more

Zorg-ai: veel beeldanalyse, dossier is spelbreker

In de zorg is ai in opkomst. Er zijn steeds meer toepassingen, bijvoorbeeld voor beeldanalyse bij oncologie en een slimme pleister die de patiënt monitort en aangeeft wanneer de situatie gevaarlijk snel achteruitgaat. Maar er zijn ook gebieden die achterblijven, zoals de geestelijke gezondheidszorg (ggz). Daar staan grote verschillen in dossiervorming data-analyse in de weg.

Read more
U bent helemaal bij, dit was het laatste bericht.
  • Tags

  • Categories

  • Archives

  • Skip to content