Datum: 15 april 2014 ZorgTTP dienstverlening niet getroffen door de

Datum: 15 april 2014
ZorgTTP dienstverlening niet getroffen door de Heartbleed kwetsbaarheid.
In navolging van de berichtgeving rondom de Heartbleed kwetsbaarheid en de
aanbevelingen van het NCSC (Nationaal Cyber Security Centrum) heeft ZorgTTP afgelopen
week direct geïnventariseerd welke van onze servers gebruikmaken van een kwetsbare
versie van OpenSSL.
ZorgTTP biedt de dienstverlening voor het pseudonimisatieplatform en TRES (encryptie en
decryptie services) aan via beveiligde internetverbindingen op de URLs:
https://www.zorgttp.nl en https://tres-p.zorgttp.nl.
Hierbij wordt gebruik gemaakt van het TLS/SSL protocol en SSL-certificaten.
Voor de pseudonimisatiedienst op https://www.zorgttp.nl geldt dat er weliswaar gebruik
gemaakt wordt van OpenSSL maar dit betreft een niet kwetsbare versie die de getroffen
heartbeat extensie op het TLS protocol niet ondersteunt.
Voor TRES op https://tres-p.zorgttp.nl geldt dat de TLS afhandeling wordt uitgevoerd door de
Microsoft webserver IIS (Internet Information Server) die geen gebruikmaakt van OpenSSL.
Het te volgen stappenplan uit de NCSC factsheet FS-2014-02 d.d. 11 april 2014 geeft aan
dat er op basis van deze inventarisatie geen nadere maatregelen dienen te worden
uitgevoerd en dat de dienstverlening van ZorgTTP niet getroffen is door de Heartbleed
kwetsbaarheid.
Indien u meer technische achtergrond informatie wenst dan verzoeken wij u contact met ons
op te nemen.
Staf ZorgTTP
030- 63 60 649

Download Report