30 sep

Kamervragen over onveilige webbrowsers i.v.m. UZI-pas. VZVZ dekt zich in

questions-1328466_640

Op 21 september meldde ik op deze website dat alle UZI-pas-houders een email van het UZI-register gekregen hadden. Het UZI-register valt onder de dienst CIBG van het ministerie van VWS. In die email stond het dringende verzoek om met ingang van 1 oktober geen update van de webbrowsers te doen. Dat is dus overmorgen. Het heeft te maken met het uitfaseren per 1 oktober van de browser-hulpprogramma’s Java en Active X door de leveranciers van webbrowsers. Doet men de browser-updates wel, dan zal de UZI-pas niet meer werken was de boodschap. Deze pas is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Dat maakt dit probleem zeer pregnant. Inmiddels zijn door de Tweede Kamerleden Verhoeven en Dijkstra vragen gesteld over deze materie.

Webbrowsers

De Kamerleden focussen niet zozeer op het niet meer kunnen werken van zorgaanbieders door het uitvallen van het inlogsysteem met de UZI-pas, maar meer op het feit dat een webbrowser, waaraan geen updates uitgevoerd worden, snel kwetsbaar wordt voor indringers. Er komen namelijk geen beveiligingsupdates voor de webbrowser meer binnen. Een indringende vraag van hen is dan ook of de inhoud van de brief door het ministerie van VWS gecoördineerd is met het Nationaal Cyber Security Centrum (NCSC)? Indien dat niet het geval is vragen de Kamerleden of de minister bereid is alsnog advies in te winnen bij het NCSC. Op zich is dit een zeer relevante vraag, maar daarnaast zou er ook aan de minister gevraagd moeten worden hoe ze denkt om te gaan met de verantwoordelijkheid voor de goede werking van zorginformatiesystemen van zorgaanbieders(huisartsen en apotheken). Onder verantwoordelijkheid van het ministerie is een inlog-systematiek opgetuigd met de UZI-pas, die alleen maar kan werken als een keten van software(en hardware) naar behoren werkt. Daarbij blijken nu hulpprogramma’s voor webbrowsers de zwakke schakels in de keten te zijn.

VZVZ  

Het kan geen toeval zijn dat de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) op het zorgverleners- en het ICT-leveranciersdeel van haar website net 24 uur voordat het UZI-register haar dringende email deed uitgaan een onschuldig lijkend artikel publiceerde, genaamd: “Werken in de LSP-keten”. Daar zal wel enige overleg kort ervoor met het ministerie(UZI-register) als initiatiefnemer aan vooraf zijn gegaan.Wel heel toevallig gaat het artikel over storingen in de LSP-keten, waarbij een paar mogelijkheden werden genoemd met als laatste het geval dat de UZI-pas niet goed werkt. De zorgverlener kan dan klikken op een link naar een document genaamd “Storingen in het LSP-Incidentmanagement”. De inhoud van dit zeer recent gemaakte stuk komt het erop neer dat de op het LSP-aangesloten zorgaanbieder vooral de helpdesk van de eigen ICT-leverancier moet bellen. Fijntjes wordt gewezen op het Convenant gebruik landelijke infrastructuur 2016-2020 waar de rollen van alle deelnemers in beschreven staan. Mocht het totaal onduidelijk zijn waar een storing in de LSP-werking vandaan komt dan ziet VZVZ nog wel een faciliterende taak voor haar eigen helpdesk.

Pers

Inmiddels hebben diverse media op het internet dit probleem met de UZI-pas opgepikt. Meerdere websites uit de ICT- en beveiligingsbranche brengen het bericht over de email van het UZI-register aan de pashouders. Op de website www.huisartvandaag.nl stond in een reactie op het eerdere artikel over dit onderwerp van mijn hand (dat ook daar verscheen), dat een huisarts op 25 september al meldde dat een update van Windows 10 bleef hangen op de software van Safe Sign(UZI-pas software). De waarschuwing verscheen bij hem dat installeren van de update de software van de UZI-pas onbruikbaar maakte. Het is net geen oktober. Over een paar dagen gaan we zien hoe groot het probleem wordt.

Wordt uiteraard vervolgd. Morgen is het 1 oktober.

W.J. Jongejan

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *