Kwetsbaarheid GSM zorgt voor uitstel inzage EPD

Als gevolg van een kwetsbaarheid in het GSM protocol stelt de Minister van Volksgezondheid de toegang van burgers tot het EPD voorlopig uit. De alternatieven verbeteren de veiligheid marginaal of zijn niet op korte termijn te implementeren.

De minister schrijft in Voortgangsrapportage landelijke infrastructuur voor gegevensuitwisseling in de zorg tweede kwartaal 2010:

De risicoanalyse bestond uit de volgende onderdelen: (1) het in kaart brengen van de kwetsbaarheid van het EPD-DigiD ten gevolge van de GSM-kwetsbaarheid en het schatten van het tijdstip waarop de middelen beschikbaar zijn om deze kwetsbaarheid te exploiteren en (2) het uitvoeren van een risicobeoordeling en –behandeling naar de genoemde kwetsbaarheid voor de beveiliging van het EPD-DigiD.

Totdat er meer duidelijkheid bestaat over mogelijke mitigerende maatregelen, wordt vooralsnog een pas op de plaats gemaakt met de ontwikkeling van die onderdelen van het Klantenloket die van de beveiligingskwetsbaarheid in SMS afhankelijk zijn, waaronder een patiëntenportaal. Immers, voorop staat dat een zo optimaal mogelijk niveau van privacybescherming een absolute voorwaarde is voor het op verantwoorde wijze verschaffen van elektronische toegang tot patiëntgegevens.

In de risicoanalyse schrijven de onderzoekers van PWC en de Radboud Universiteit Nijmegen in het rapport Risicoanalyse EPD-DigiD naar aanleiding van de A5/1 kwetsbaarheid in GSM:

In actuele berichtgeving, van onder andere GOVCERT, is een kwetsbaarheid naar voren gekomen in het A5/1 algoritme, dat wordt gebruikt voor de versleuteling van GSM verkeer (waaronder SMS) in Nederland, die mogelijke implicaties heeft voor het gekozen authenticatiemiddel EPD-DigiD.

Het beschikbaar komen van een werkende opstelling (ontvanger, PC, publiek beschikbare software) die SMS berichten kan onderscheppen levert een reële kwetsbaarheid op voor EPD- DigiD. In realistische zin moet er rekening mee worden gehouden dat een dergelijke opstelling binnen drie jaar ontwikkeld is en kan worden gedemonstreerd. In het meest ongunstige geval moet er rekening mee worden gehouden dat de kwetsbaarheid binnen een half jaar wordt gedemonstreerd […]. De kosten van een dergelijke opstelling (hardware en software) schatten wij in als zeer beperkt. […]

Op basis van ons onderzoek komen wij tot drie belangrijke bedreigingen gerelateerd aan de kwetsbaarheid die wij onderstaand toelichten:

  1. Verlies van (vertrouwelijkheid van) patiëntinformatie, indien de kwetsbaarheid daadwerkelijk wordt geëxploiteerd bij een patiënt. Het risico gerelateerd aan deze bedreiging beoordelen wij als Matig. 
  2. Verlies van publiek vertrouwen in het landelijk Elektronisch Patiënten Dossier (hierna: EPD), indien exploiteerbaarheid van de kwetsbaarheid aantoonbaar in de openbaarheid komt. Het risico gerelateerd aan deze bedreiging beoordelen wij als Hoog/Zeer Hoog.
  3. Non-compliance met regelgeving; de verzwakking van SMS betekent dat het EPD-DigiD strikt genomen niet meer aan de eisen van een ‘sterk’ authenticatiemiddel voldoet in de zin van de Nederlandse beveiligingsnorm NEN 7512. [..] het niet (meer) voldoen aan deze eisen kan aldus betekenen dat niet wordt voldaan aan de eisen die het CBP stelt. Dit risico gerelateerd aan deze bedreiging beoordelen wij als Hoog.

De onderzoekers beschrijven een aantal oplossingen om de beveiliging weer te verbeteren. De oplossingen die worden aangedragen zijn meestal niet op korte termijn te implementeren of verbeteren de beveiliging alleen marginaal.