Op de HAXPO beurs, die tijdens HITB 2019 werd gehouden, was er ook een medical security village. Hier werd medische IT hardware grondig onderzocht en dat leverde op dag een al een onverwachte en onaangename verrassing op. Een gebruikt device bleek voorzien van een harde schijf met daarop patiëntdata.
Het MHVHITB team had speciaal voor dit event een gebruikt Point-of-Care panel gekocht. Dat is een touchscreen beeldscherm met geïntegreerde computer. Dit soort hardware wordt in verschillende uitvoeringen op tal van plekken ingezet. Er zijn modellen voor garages, maar ook voor de gezondheidszorg. Het model dat was aangeschaft was een model dat in de laatste sector voorkomt. De vraag was of de hardware en software te ontleden waren en wat er dan zou worden aangetroffen.
Zoals uit de illustratie blijkt is het device geopend om bij de componenten te komen waarmee de machine kon worden uitgelezen. Duidelijk zichtbaar zijn in- en uitgangen die op elke computer voorkomen, netwerk, video en geluid. Daarnaast zijn er nog parallelle en seriële poorten. Over het ontleden van de hardware en software is op Twitter het volgende te lezen:
I was holding on to the medical device while trying the admin password from the Sysprep.inf file. It took me longer (3 hours) than I would like to admit. But I got admin access and was able to pull off actual Dutch patient records from this ”refurbished”, online purchased device.
XP en datalek
De machine die als OS een speciale versie van Windows XP was voorzien van een 40GB harde schijf en daarop bevond zich data. Dat zorgde voor de nodige reuring in zowel het medical village als de rest van de Beurs van Berlage en online. Dit soort data mag immers niet door derden kunnen worden ingezien. De AVG is hier ook duidelijk over, hier was sprake van een datalek.
Of er melding is gemaakt en wie uiteindelijk verantwoordelijk is voor het mogelijk maken van het lek is voor dit artikel verder niet relevant. De ontdekker van de data (0xDude) heeft uitgelegd dat het gebruikte OS op een NTFS geformatteerde harde schijf en de gebruikte IE 6.0 explorer garant stond voor omvangrijke temp files die voor gewone gebruikers niet zichtbaar zijn. Eenmaal gewist zijn ze echter (want NTFS) weer heel makkelijk terug te halen.
Vraag over verkoop aan consumenten
De case is wel aanleiding geweest bij twee belangrijke spelers op de markt voor refurb, Mario Biemans en Jean-Pierre Verhoeven, elk twee vragen voor te leggen. Biemans is eigenaar van thebrokersite. Dat is het grootste Europese online platform voor de handel in gebruikte hardware. Sinds 1999 komen hier brokers, dealers en groothandel bijeen. Verhoeven is Managing Director van RL Networks, een bedrijf dat sinds 1999 in de markt voor gebruikte hardware en netwerkapparatuur actief is en alle grote merken voert.
Hoewel beiden niet gespecialiseerd zijn in medische hardware zijn de antwoorden die ze gegeven hebben ook voor deze case relevant, omdat het de lezer duidelijk maakt hoe de markt voor refurb functioneert.
De eerste vraag was : zijn er opkopende / inkopende organisaties van “bedrijfshardware” die ook direct aan eindgebruikers verkopen of is dit een echt B2B kanaal?
Biemans antwoordde: Er zijn zeker opkopers die ook direct aan de eindgebruikers verkopen, een voorbeeld is Flex IT. Wel hebben die bedrijven vaak verschillende merknamen voor hun activiteiten dus verschillende bedrijfsnamen voor B2B sales en B2C sales. Ik denk zelfs dat de meeste opkopers ook verkopen aan eindgebruikers gewoon omdat daar meer marge te halen is.
Verhoeven: Als RL Networks kopen wij het gehele scala aan automatiseringsapparatuur op. Wij verkopen dat na refurbishment via 3 kanalen, te weten:
– B2B eindgebruikers
– Internet service providers, Dealers, resellers en brokers
– consumenten via eigen webshop en via koopplatforms zoals Bol.com
Dat MHVHITB een Point-of-care panel kon aanschaffen is dus niet bijzonder te noemen.
Vraag over wipen
De tweede vraag ging over het wissen (wipen) van devices. Wie wist nou de data van de devices? Is dat iets dat per type device wordt geregeld, of is het min of meer standaard dat de opkoper dat altijd doet?
Biemans: Dit verschilt per organisatie. Bedrijven met heel gevoelige informatie wipen vaak zelf, ze hebben dan zelf een contract met Blancco of Certus (de belangrijkste wiping software onder onze klanten) en wipen voordat de apparatuur naar de handel gaat. Sommige bedrijven wipen maar vernietigen ook nog eens de HDD dus die worden niet hergebruikt om er helemaal zeker van te zijn dat er geen informatie weglekt.
Verhoeven: Wij doen dat standaard zodra de apparatuur het refurbishment proces in gaat. Een betaalde optie is dat de klant een wiscertificaat verlangt. Dan wordt de apparatuur op een gecertificeerde wijze gewist en krijgt de klant daar een officieel certificaat van in het geval van gevoelige persoonsgegevens wordt dat door sommige klanten geëist.
Deze antwoorden zijn interessant omdat ze laten zien dat er in de sector meerdere mogelijkheden zijn om gegevensdragers (harde schijven) te wissen. Biemans geeft aan dat de verkopende partijen het vaak doen als er gevoelige data vernietigd moet worden. Verhoeven doet het standaard zelf. Als deze twee reacties representatief zijn voor de opkoopzijde van de markt is het bijna onbegrijpelijk dat het Point-of-Care panel nog data bevatte. Het verhaal dat de data niet gewist kon worden, door de verkopende of de opkopende partij, dat op de Haxpo de ronde deed komt ook amper serieus over. Elke reguliere harde schijf kan immers gewist en/of onleesbaar gemaakt worden, maar dan moet er wel de bereidheid zijn deze eventueel uit het device te halen. Daaraan heeft het schijnbaar geschort, het gevolg is bekend.
