Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Zet ‘m op, de blogs #2 - Is jouw medische app wel veilig?

Ken je onze podcast ‘Zet ’m op’ al? Seizoen 3 luister je binnenkort op jouw favoriete kanaal. Misschien heb je de eerste twee seizoenen gemist. Deze kun je vanaf nu teruglezen in blogvorm! In deze blog, gebaseerd op aflevering 2, schuift Dreigingsanalist Jan aan. Hij duikt in het testen van medische applicaties.

Wat is een applicatie eigenlijk?

Volgens Jan verschuift bijna alles naar de cloud. “Dat scheelt beheer, maar betekent ook dat we massaal afhankelijk zijn van webapplicaties: van EPD’s tot HR- en financiële systemen. Het zijn eigenlijk websites mét functionaliteit,” legt hij uit. “Mobiele apps hangen daar vaak weer tegenaan, omdat ze continu met die webapplicaties praten via API’s. En precies op die koppeling kan het flink misgaan.”

Wat kan er misgaan?

Het korte antwoord: behoorlijk veel. “Denk aan configuratiebestanden die openbaar op internet staan, API-keys die zichtbaar zijn of wachtwoorden die in .env-bestanden rondslingeren. Het klinkt als beginnersfouten, maar ze komen vaker voor dan je zou hopen. Soms geeft dat directe toegang tot medische dossiers of zelfs betalingssystemen. Dat is niet wat we willen.”

Hoe beoordeel je een leverancier?

Gelukkig hoef je geen techneut te zijn om een eerste indruk te krijgen. “Een simpele check via internet.nl laat direct zien hoe een leverancier omgaat met basisbeveiliging. Wie meer inzicht wil, kan uitgebreidere tools als Shodan of Censys gebruiken om bijvoorbeeld openstaande poorten te bekijken. Het geeft een gevoel van: hoe serieus nemen ze veiligheid?”

Daarnaast moet de toegang tot gevoelige informatie goed geregeld zijn. Jan somt het op: “Sterke authenticatie, MFA, veilige verbindingen zoals VPN of ZTNA. Gestolen wachtwoorden zijn overal te vinden, dus zonder MFA staat een aanvaller binnen de kortste keren in je omgeving.”

En de app zelf dan?

“Zelfs als een leverancier solide lijkt, wil je weten hoe de app technisch is opgebouwd. Hoe gaan ze om met kwetsbaarheden? Wordt er getest op bekende risico’s? De OWASP API-lijst is daarbij een handige leidraad. Toegangscontrole moet altijd vlekkeloos werken. Als dat misgaat, zie je zomaar gegevens van andere patiënten.” waarschuwt Jan.

“Ook mag je best kritisch doorvragen: wanneer is de app voor het laatst getest? Welk securityframework volgt de leverancier? Het NCSC geeft duidelijke richtlijnen voor veilig ontwikkelen. Leveranciers zouden die moeten kennen en toepassen. Wie weigert transparant te zijn, geeft een belangrijk signaal af. In dat geval is het verstandig om verder te kijken of zelfs een pentest in te zetten.”

Dus wat is de belangrijkste les?

Volgens Jan is het simpel: “Er zijn genoeg open-source tools om mee te beginnen. En wil je meer zekerheid? Laat dan een pentest uivoeren.””

Deze blog liever als podcast luisteren? Check ’m hier.