Verzuimpolitie II - Zembla over de kraak in het systeem van Verzuimreductie/Humannet

Verzuimpolitie deel II - Zembla

Afgelopen vrijdag 20 april zond Zembla een vervolg uit van de Verzuimpolitie. Centraal stond dit keer niet het case management bedrijf Verzuimreductie of de bedrijfsarts, maar het gebruikte it-systeem van het bedrijf Humannet wat gemakkelijk ( voor de ingewijden) bleek te zijn te 'kraken'. En daarmee lagen 300.000 medische dossiers potentieel 'op straat'. Geen lekkere gedachte. Vooral ook de terughoudende reactie van Humannet geeft te denken. Kijk en huiver zelf. Dit gaat nog een lang staartje krijgen.

Beluister cq bekijk ook de reacties van oa Pieter Rodenburg (NVAB), Paul Ulenbelt(SP) en Mark van Bruggen(FNV) bij de Gids.fm. De toon van met name Paul Ulenbelt is opvallend hard, hij beschouwt de case management bedrijven als 'criminele organisaties'. Dat is vrij vergaand, zal ik maar zeggen.

Reactie van Humannet:
20 april 2012

PERSBERICHT:Informatiebeveiliging Humannet Starter

De redactie van Zembla meldt in een persbericht van heden dat zij vanavond een uitzending zal wijden aan de beveiligingsstatus van Humannet Starter. Deze uitzending is een vervolg op een eerder programma waarin kritiek werd geleverd op de werkwijze van VerzuimReductie.

Zembla beweert dat het systeem Humannet Starter niet afdoende is beveiligd. Wij melden u, dat door Humannet op basis van de eerste geruchten, dat het systeem zou zijn binnengedrongen, de navolgende extra maatregelen zijn getroffen:

1. Alle inlogwachtwoorden zijn gereset.
2. Aanvullende maatregelen zijn genomen door het plaatsen van een Intrusion Prevention System.
3. Het netwerk wordt inmiddels door een derde partij ook nog bewaakt met behulp van een Intrusion Detection System. Verkeer wordt daarbij real-time ontleed en zowel automatisch als handmatig geanalyseerd waardoor bekende aanvalsvormen kunnen worden gedetecteerd.
4. Vanaf het allereerste signaal zijn twee externe onafhankelijke deskundige bureaus ingeschakeld alsmede een forensisch expert. Deze hebben mede geconstateerd dat men het systeem is binnengekomen vanaf IP-adressen van de Vara en de Radboud Universiteit.
5. Van deze inbraak is aangifte gedaan bij de politie.

Uit het onderzoek van de door ons ingeschakelde onafhankelijke experts is een aantal punten naar voren gekomen die deze inbreuk wellicht hebben mogelijk gemaakt. Deze punten zijn inmiddels verholpen en extra beveiligd.

Opvallend genoeg komt naar voren uit het onderzoek van deze experts, dat de ongeoorloofde toegang naar alle waarschijnlijkheid heeft plaatsgevonden middels voorkennis (lees: men heeft op onrechtmatige wijze een inlogwachtwoord in handen gekregen).

Nadat deze extra beveiligingsmaatregelen zijn genomen, geeft de continue bewaking van het systeem aan dat er geen geslaagde pogingen tot binnendringen meer hebben plaatsgevonden.

Vanaf het allereerste moment heeft Humannet haar klanten op de hoogte gebracht. Nog gisteravond (19 april) hebben de klanten een derde brief gekregen over alle genomen maatregelen en de huidige status van de beveiliging.

Op grond van de laatste verklaringen van de ingeschakelde deskundigen zijn wij van mening dat het systeem veilig bruikbaar is, al zal Zembla in de uitzending van vanavond mogelijk anders blijven beweren.