Medische Apps ontwikkel en gebruik ze veilig! Rob Peters & Roel Bierens



Vergelijkbare documenten
Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

Digitale Veiligheid 3.0

Naar een nieuw Privacy Control Framework (PCF)

Mobile Devices, Applications and Data

SECURITY UITDAGINGEN 2015

DATA LEKKAGE en MELDPLICHT SHADOW IT INTRUSION

Paphos Group Risk & Security Mobile App Security Testing

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING

Gebruikersdag Vialis Digitale Veiligheid

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

"Baselines: eigenwijsheid of wijsheid?"

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Opleiding PECB IT Governance.

BASISCURSUS Wet bescherming persoonsgegevens en andere privacywetgeving

Informatiebeveiliging & Privacy - by Design

Stappenplan naar GDPR compliance

Wat te doen tegen ransomware

Medical ethics & genomics Current legal framework and FAQ. Eline Bunnik Genomic Resequencing in Medical Diagnostics 24 September 2015

Continuous testing in DevOps met Test Automation

Nationale IT Security Monitor Peter Vermeulen Pb7 Research

Software & apps als medisch hulpmiddel?

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

Hello map Ocean. To view animation put this slide in full screen mode (Shift + F5 on keyboard) 21 maart 2007 Slide 1 Next slide.

Berry Kok. Navara Risk Advisory

Sr. Security Specialist bij SecureLabs

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

ICT-Risico s bij Pensioenuitvo ering

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

(Big) Data in het sociaal domein

Kwaliteit en Testen binnen Agile Project Management volgens Scrum bij Planon. David Griffioen 11 april 2006

Factsheet Enterprise Mobility

Revoluties inzake criminaliteitsstatistiek

Certified Ethical Hacker v9 (CEH v9)

Gemeente Alphen aan den Rijn

Veilig samenwerken. November 2010

Information security officer: Where to start?

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

OMSCHRIJVING. Opleiding IT PRO

Certified Ethical Hacker v9 (CEH v9)

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

De grootste veranderingen in hoofdlijnen

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Privacy Impact Assessment Privacy by design

Cyber Security: hoe verder?

Control driven cyber defense

Virtual Enterprise Centralized Desktop

Next>>learning HRD in de agile organisa/e: transform or die? Prof dr Hans JC Bakker 18 April 2017 v Javelin Partners 1


Risk & Requirements Based Testing

EXIN WORKFORCE READINESS werkgever

My Benefits My Choice applicatie. Registratie & inlogprocedure

Dennis Reumer 9 Oktober

PIA: niet omdat het moet, maar omdat het kan. Hoe kan de Privacy Impact Assessment ingepast worden in de onderzoeks data lifecycle?

Stappenplan naar GDPR compliance

General info on using shopping carts with Ingenico epayments

2010 Integrated reporting

BEVEILIGING VAN MOBIELE NETWERKEN

PERSUASIVE TECHNOLOGY FOR HEALTH AND WELLBEING AT WORK

E X P O N E N T I A L T I M E S L E A D TO E X P O N E N T I A L

Digitale Veiligheid 3.0

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Wat betekent connectiviteit voor mobiliteit? Houten, 23 november 2016

Living Labs. dr.ir. Elke den Ouden. Kennisevent Renovatie Hoofdgebouw TU/e Eindhoven, 27 september 2016

Toegang tot overheidsinformatie: de gevolgen van Europese ontwikkelingen voor Nederland

Wat betekent de nieuwe privacywet voor uw organisatie?!! prof mr. Gerrit-Jan Zwenne

EXIN WORKFORCE READINESS opleider

Veilig samenwerken met de supply-chain

EU Data Protection Wetgeving

Taco Schallenberg Acorel

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

4 JULI 2018 Een eerste kennismaking met gemeentefinanciën en verbonden partijen voor raadsleden - vragen

De laatste ontwikkelingen op het gebied van NEN-EN normering de nieuwe norm is compleet

Highlights in ehealth

Internet Of Things & Sensorrevolutie

Wat heeft een tester aan ASL en BiSL?

Recente ontwikkelingen in de ethische normen voor medisch-wetenschappelijk onderzoek

FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 25/2/2016. Biocide CLOSED CIRCUIT

EXIN WORKFORCE READINESS professional

IT-GIDS VOOR DE ZORG

Bescherming van (software) IP bij uitbesteding van productie

liniled Cast Joint liniled Gietmof liniled Castjoint

Brazilië: Leren van veilige mobiele interactie met eid oplossingen

Ontwikkelingen binnen Privacy Tony de Bos EMEIA Privacy leader EY

Privacy in de zorg. Een primer over de wettelijke kaders rondom persoonsgegevens. Christiaan Hillen. Security consultant bij Madison Gurkha

ISACA NL C**** in a day Inspiratiesessie CRISC

Welkom. Christophe Limpens. Solution Consultancy Manager

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

JOB OPENING OPS ENGINEER

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Certified Ethical Hacker v9 (CEH v9)

EU-Houtverordening vanuit de houthandel

Factsheet DATALEKKEN COMPLIANT Managed Services

Incidenten in de Cloud. De visie van een Cloud-Provider

Organisatie, beheer en lifecycle management. Vergroot de grip op uw cyber security domein.

Readiness Assessment ISMS

GDPR. General Data Protection Regulation

Security in het MKB: Windows 10

Transcriptie:

Medische Apps ontwikkel en gebruik ze veilig! Rob Peters & Roel Bierens

Scanadu Scout

The only constant in life is change. And the speed of change is increasing.

1996: ASCI Red 2015: iphone 6S

Welke apps op jouw smartphone vertegenwoordigen een dienst, product of bedrijf? (dat misschien nu niet meer bestaat)

In 2018 wonen er 7.6 miljard mensen op aarde. Tegelijkertijd zijn 25 miljard devices dan connected. Kevin Ashton, 2009

We gaan van health care naar sickness prevention

Privacy en security complexe uitdagingen binnen ehealth en mhealth

Toezicht wordt verscherpt

Een passend stelsel van maatregelen op uw applicatie treffen! Security Rapportage Privacy Monitoring Betrouwbaar Prestaties Functionaliteit App, Appstore, data transfer

Hackers vs. Defenders An asymmetric fight... Hackers Onbeperkt de tijd en geen kosten Gemotiveerd Veel kwetsbaarheden zijn aanwezig en bekend Eén kwetsbaarheid is genoeg Geen regels Defenders Beperkte tijd en beperkt budget Discipline en alertheid nodig voor monitoring Tijd tussen ondekking en oplossing Alles is connected en niemand is verantwoordelijk

Securitytesting on an application: Security test Hacktesting ISO-certification NEN-certification OWASP guidelines Key element: Periodic security testing

Privacy definities: The right to be let alone. The legal definition from Supreme Court Justice Brandeis - Warren and Brandies, the right of privacy, 4 Harvard Law Review 193, 1890 Seclusion from the sight, presence, or intrusion of others; not available for public use, control or participation. Webster s II New Riverside Dictionary The right not to be disturbed, the right to be anonymous, the right not to be monitored and the right not to have one's identifying information exploited. S. Alter, Privacy Issues in Telecommunications, 1996 The ability of an individual to control the access that others have to personal information. F. Schoeman, Philosophical Dimensions of Privacy, 1984

EU overview: Ontwikkeling in Europese Data Protection Laws: Rapid technological developments that led to jeopardizing privacy Equal level of personal data protection in all EU Member States 2012 1950 European Convention on Human Rights 1995 Need for regulation: European General Privacy Directive (95/46/EC) 2001 Dutch Personal Data Protection Act Proposal for a new EU regulation

Ontwikkelingen in de privacy regelgeving: Nederland (effectief vanaf januari 2016): Meldplicht datalekken en digitaal security incidenten Straffen voor non-compliance of niet melden 810.000 per incident Concept EU General Data Protection Regulation Maximum boete 100.000.000 euro of 5% of jaarlijkse wereldwijde omzet Datatransfer naar het buitenland moet een permissie verkrijgen Data beschermingsofficer bij + 5000 data subjects Datalek meldplicht binnen 72 uur Rechten op inzien, wijzigen of deleten van data aangescherpt

Privacy assessments on an application Privacy test Privacy impact assessment (PIA) Privacy audit; Article 02-2013 apps and devices Concept privacy regulation assessments Law assessments

Assuring Medical Apps geeft een impuls aan veilige adoptie van technologie in de zorg Situatie De ontwikkelingen in de gezondheidszorg leiden tot een steeds grotere belangstelling voor digitalisering en mhealth. De gezondheidszorg ziet hierin belangrijke kansen voor het efficiënter en daarmee goedkoper maken van de procesgang in de zorg Probleem De massale adoptie van ehealth wordt vertraagd door de onbekendheid met en zorgen over o.a. security, privacy en betrouwbare werking van medische apps. Oplossing Assurance op medische applicaties om zekerheid te geven over de juiste werking en een waarborg dat gegevens betrouwbaar worden uitgewisseld tussen de gebruiker en een centraal (medisch) systeem.

Assuring Medical Apps

De opkomst van cyber criminaliteit!

Impact van aanvallen neemt toe

Aanvallen worden steeds grootschaliger

Criminelen hebben steeds meer interesse in mobiele apparaten en apps Known mobilemalware samples 189K 36K 34K 40K 299K +60% January 1, 2014 January February March March 31, 2014

Allow us to demonstrate That all sounds terrifying, but how does a hack actually work?

De aanval Back-End Server Aanvaller App

Drie beveiligingsniveaus Onveilig Gedeeltelijk veilig Vrij veilig Geen encryptie Encryptie, geen certificaat validatie Encryptie en certificaat validatie

Beveiligingsniveau onveilig Hallo, geef me de data aub Hier is de data Back-End Server App Aanvaller

Beveiligingsniveau gedeeltelijk veilig Geef me je publieke sleutel aub Hier is mijn publieke sleutel Back-End Server Hallo, geef me de data aub App Hier is de data Hallo, ik ben de Back-End Server. Dit is mijn publieke sleutel Aanvaller

Beveiligingsniveau vrij veilig Geef me je publieke sleutel aub Hier is mijn publieke sleutel Back-End Server App Hallo, ik ben de Back-End Server. Dit is mijn publieke sleutel Attacker

But how should we defend ourselves against these attacks?

Aandachtspunten voor mobile security Device Network Back-End Server

Mobile security tips Secure by design Encryption of data Patch management Authentication Monitoring

Security testing SSL enabled Secure Cookies 4 Internet Infrastructure Test Business Logic 5 Application Security Test 3 Source Code Review of Smartphone App <?php echo hello world ;?> 6 Source Code Security Test 1 Smartphone App Test (Grey Box) cat /etc/pam.d/ system-auth Back-End 7 Configuration Security Test 2 Communication between Smartphone App and Back-End Application Environment

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback