Voor het aanmelden was het plan om gebruik te maken van een combinatie van DigiD en SMS en dat blijkt geen haalbare kaart. De versleuteling van SMS is door beveiligingsonderzoekers gekraakt en dus is het niet meer te gebruiken voor het toegankelijk maken van gevoelige medische gegevens. Dat concluderen onderzoekers van de Radboud Universiteit Nijmegen en PriceWaterhouseCoopers (PWC), die de zaak voor CDA-minister Ab Klink onderzochtten.

Sterke authenticatie

Om patiënten toegang tot hun medische gegevens te geven zijn er drie eisen opgesteld. Zo moeten mensen zich aanmelden met hun BurgerServiceNummer (BSN), moet er sprake zijn van sterke authenticatie en worden er hoge eisen gesteld aan de hulpmiddelen voor het aanmelden. De oplossing voor het EPD lag in het gebruik van het DigiD samen met SMS-berichten via de GSM.

Juist die SMS-berichten vormen nu het probleem, omdat de gsm-encryptie is gekraakt. In reactie daarop werden de Radboud Universiteit en PWC gevraagd onderzoek uit voeren naar de risico's. De conclusie uit dat onderzoek is helder: “Het beschikbaar komen van een werkende opstelling (ontvanger, PC, publiek beschikbare software) die SMS berichten kan onderscheppen levert een reële kwetsbaarheid op voor EPD- DigiD.”

Het risico dat het publiek vertrouwen verliest in dit dossier vinden de onderzoekers dan ook hoog of zelfs zeer hoog. Ook is het risico “hoog” dat de toegang tot het EPD niet meer aan de regels voldoet.

Stoppen en oplossing vinden

Voor minister Klink is dit reden om burgers voorlopig geen digitale toegang tot hun EPD te geven. “Totdat er meer duidelijkheid bestaat over mogelijke mitigerende maatregelen, wordt vooralsnog een pas op de plaats gemaakt met de ontwikkeling van die onderdelen van het Klantenloket die van de beveiligingskwetsbaarheid in SMS afhankelijk zijn, waaronder een patiëntenportaal”, schrijft de demissionair-bewindvoerder vandaag aan de Tweede Kamer. “Immers, voorop staat dat een zo optimaal mogelijk niveau van privacybescherming een absolute voorwaarde is voor het op verantwoorde wijze verschaffen van elektronische toegang tot patiëntgegevens.”

Maar uit het rapport blijkt dat een oplossing voorlopig niet eenvoudig is. Een betere vorm van encryptie voor de GSM zal niet op alle toestellen werken, het gebruik van TAN-codes stuit op het risico van kopiëren zonder dat de burger het merkt en ook andere oplossingen hebben grote nadelen. De onderzoekers zien één optie: alle burgers een coderingslijst te sturen en vervolgens de tijdelijke code gecodeerd te versturen, maar dat is veel gedoe en moet ook nader worden onderzocht.

Open-sourcesoftware

Voorlopig wordt de toegang voor burgers tot het EPD in de ijskast gezet, want de onderzoekers verwachten binnen maximaal drie jaar en mogelijk zelfs al binnen een paar maanden dat beveiligingsexperts een opstelling zullen demonstreren waarin men GSM af kan luisteren. Verwijzend naar naar het CCC-congres in december stellen ze dan ook: “In het ongunstigste geval wordt een dergelijke opstelling al gedemonstreerd op een congres eind 2010.”

Op dat punt is het rapport van 30 juni 2010 inmiddels door de praktijk ingehaald, want op BlackHat en Defcon werden aanvallen op GSM door diverse mensen gedemonstreerd. Ook de vrees dat iedereen GSM-verbindingen kan kraken met open-sourcesoftware blijk inmiddels realiteit te zijn geworden.

Overigens is de hoop van de onderzoekers dat een sterkere GSM-versleuteling, die nu al in de modernere toestellen wordt ingebouwd, een oplossing vormt ijdel. Onderzoeker Karsten Nohl wijst erop dat deze versleuteling “zijn eigen problemen” heeft. Tegenover Webwereld concludeert hij dan ook: “GSM is stuk en de keuze van het versleutelingsalgoritme beschermt slechts tegen bepaalde aanvallen”