Berlin/Hannover. 2024/25 yılının başlangıcından kısa bir süre önce, elektronik hasta kaydından (ePA) sorumlu olanlar arasındaki düşünceli ruh hali sona erdi: Kaos Bilgisayar Kulübü'nden (CCC) bilgisayar korsanları, derneğin yıllık konferansında yeni dijital sistemin nasıl hacklenebileceğini – milyonlarca dosyaya erişimin potansiyel olarak mümkün olacağı şekilde – göstermişti. Sonuç: ePA'nın uygulamaya konulması başlangıçta ertelendi ve sigortalıların yaklaşık yüzde beşi başlangıçta bunun kullanımına itiraz etti.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
ePA artık resmi olarak tanıtıldı; 1 Ekim'den bu yana hizmet sağlayıcılar için zorunlu oldu. Son birkaç ayda güvenlik önlemleri açısından da çok şey yaşandı: Federal dijital tıp kurumu Gematik, CCC'den gelen bilgileri takiben birkaç kez iyileştirmeler yaptı. ePA'yı hacklemek bugün daha zor. Ama: İmkansız değil.
CCC'nin BT uzmanları, yeni tanıtılan aracı hâlâ savunmasız kılan bir ayrıntıyı özellikle eleştiriyor. Gematik'e göre bir çözüm bekleniyor, ancak bu en erken gelecek yıla kadar mümkün değil.
Elektronik hasta dosyası burada: Sigortalıların artık bilmesi gerekenler
Artık gerçekten var: elektronik hasta dosyası zaten çalışıyor. Ancak birçok hasta hala emin değil: Dosyayı nasıl görüntüleyebilirler? Kimin neyi görebileceğine kim karar veriyor? Ve: Hassas veriler ne kadar güvenli?
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Bir ePA hack'i için çok fazla bilgi yeterlidir
Sorunu tanımlamak için EHR'nin nasıl çalıştığını anlamanız gerekir. Bir hasta dosyasına erişmek isteyen herkesin şu anda muayenehane kimlik kartına ve ikinci olarak sigortalının tüm verilerine ihtiyacı var. Özellikle: kart numarası, sağlık sigortası numarası, adres ve sigortanın başlangıç tarihi. Gematik burada zaten iyileştirmeler yaptı: Kart numarası ve sağlık sigortası numarasının önceki kombinasyonu artık erişim için tek başına yeterli değil. Ayrıca geliştiriciler CCC'nin eleştirilerine olası erişim hacimlerini sınırlayarak yanıt verdi.
Saldırının önündeki engeller önemli ölçüde arttı, ancak aşılamaz değil. Adresler gibi veriler muhtemelen veri sızıntıları yoluyla, diğerleri ise kimlik avı yoluyla öğrenilebilir. CCC'nin yıllık konferansında BT uzmanları Bianca Kastl ve Martin Tschirsich, sağlık sigortası şirketlerini telefonla arayarak sağlık kartlarını nasıl elde ettiklerini ve hatta bir güvenlik açığı nedeniyle muayenehane kimlik kartlarını nasıl elde ettiklerini gösterdiler. Nisan ayında bilgisayar korsanları, değiştirme sertifikasyon süreci adı verilen yöntemle ePA'ya nasıl saldırılabileceğini bir kez daha gösterdi. Gematik daha sonra bu güvenlik açığını da kapattı.
Bununla birlikte, bilgisayar korsanları hala tam olarak tatmin olmuş değiller: Kastl, Almanya editör ağına (Haberler) verdiği demeçte, ajansın güvenlik açıklarını ele alma yönteminin “açıkça geliştirilebileceğini” söyledi. Riski etkili bir şekilde en aza indirmek için BT uzmanı ePA için çok özel bir prosedür istiyor.
Elektronik hasta kayıtları: Yalnızca bunları kullananların verileri üzerinde yetkisi vardır
Yasal sağlık sigortası olan herkes, elektronik hasta dosyalarını akıllı telefonlarından okuyabilir ve yönetebilir. Ancak şu ana kadar çok az kişi bunu yapabiliyor. Örneğin hassas belgeleri engellemek önemlidir.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Dijital imza hasta dosyalarını korur
Kastl, “Şu anda bir ePA'ya erişmek için gereken tek şey çok fazla bilgidir: kart numaraları, sağlık sigortası numaraları, adres ve sigortanın başlangıç tarihi” diye açıklıyor. “Sorun yalnızca sağlık kartındaki imzalı, orijinal verilerin okunmasıyla çözülebilir. Bu, bir sağlık sigortası şirketi tarafından verilen bir kartın gerçekten okunduğunun kriptografik olarak kanıtlanmasını mümkün kılacaktır; yani güvenli bir teknoloji uzun süredir mevcuttur ancak ePA için henüz kullanılmamıştır.”
Gematik'e göre, yetkilinin Haberler'ye verdiği bilgiye göre tam olarak böyle bir prosedür gelecek yıl için planlanıyor. Daha sonra bir “Hasta Varlığının Kanıtı” prosedürü planlanır (hastanın mevcut olduğunun kanıtı veya kısaca PoPP). CCC'nin dijital kriptografik imza önerisi sorulduğunda ajans şunları söyledi: “Evet, PoPP ile böyle bir prosedür planlanıyor.” Ancak bu henüz geliştirme aşamasında olduğundan ayrıntılı bilgi veremiyoruz.
Teknik olarak süreç şu şekilde işlemelidir: Hasta, daha önce olduğu gibi sağlık kartını doktorun cihazına yerleştirir. Ancak veriler daha sonra yalnızca karttan okunmakla kalmıyor, aynı zamanda arka planda bir “sorun yanıt süreci” de çalışıyor. Güvenlik sisteminin bir parçası olan PoPP hizmeti rastgele bir sayı üreterek sağlık kartına gönderir. Bu, numarayı şifreler ve sonucu geri gönderir. Yalnızca rastgele sayı doğru şekilde şifrelenmişse kart gerçek ve fiziksel olarak mevcuttur. Otorite başlangıçta 2026 için kesin bir başlangıç tarihi vermedi.
Saldırıların sonuçları geniş kapsamlı olabilir
O zamana kadar en azından artık bir risk var. BT uzmanları, ePA içindeki yetersiz kimlik doğrulama önlemlerinden kaynaklanabilecek tehlikelere defalarca dikkat çekiyor. Kastl, Singapur'dan bir vakayı aktarıyor: “2018'de orada 1,5 milyon kişinin sağlık verilerine ulaşıldı. Hedef aynı zamanda hükümet başkanının ilaç listesiydi.” Uzman, bu hassasiyetteki verilerin ilgili sızıntıları “tüm eyaletler için bir riske” dönüştürdüğünü, çünkü diğer kritik altyapılara veya politikacılara saldırılara olanak sağladığını açıklıyor.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Kastl, 2023'teki bir başka vaka olarak yasal sağlık sigortası şirketlerinin BT hizmet sağlayıcısı ve ePA sağlayıcısı Bitmarck'taki siber saldırıyı belirtiyor. Çeşitli sağlık sigortası şirketlerinin yaklaşık 300.000 çevrimiçi müşterisinden isimler, doğum tarihleri ve sigorta kartının benzersiz tıbbi kayıt numarası gibi verilere erişildi. O zamanlar da BT uzmanları yetersiz kimlik doğrulama önlemlerini bunun nedenlerinden biri olarak tanımladılar.
Saldırılar özel kişiler açısından ciddi sonuçlar doğurabilmektedir. Çok daha dijital olan Danimarka'da failler, tıbbi kayıtlar da dahil olmak üzere doktor muayenehanelerinden oluşan bir konsorsiyum aracılığıyla on binlerce hastanın en kişisel bilgilerine erişim sağladı. Danimarka Veri Koruma Otoritesi BT güvenlik uzmanı Allan Frank, o sırada Haberler'ye bu tür özel verilerin şantaj girişimleri için kullanılabileceğini söyledi; sonuçta etkilenenlerin çok azı tedavilerinin kamuya açıklanmasını isterdi.
Sadece yüzde beşi itiraz etti
Almanya'da çoğu hasta, eksikliklerine rağmen ePA'larıyla kendilerini yeterince güvende hissediyor. Birkaç hafta önce Gematik güncel kullanım rakamlarını yayınladı. Muayenehanelerin, eczanelerin ve hastanelerin ePA'yı herkes için kullanması gerektiği ilk dört haftada bunlar daha da arttı.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Ekim ayının son haftasında 17,4 milyon ilaç listesi alımı kaydedildi. Eylül ayının son haftasında 12,6 milyon kişi vardı. Hasta dosyalarının doldurulması da devam ediyor: Yalnızca Ekim ayında 10,6 milyon belge yüklemesi gerçekleşti. ePA'nın başlangıcından bu yana toplam sayı 37 milyondur.
Karşılaştırıldığında ePA'ya itiraz edenlerin oranı düşük kalıyor. Ülke çapındaki sağlık sigortası şirketleri birliği GKV şemsiye birliğinin Haberler'ye verdiği bilgiye göre itiraz oranı hâlâ yüzde beş civarında.
Bir yanıt yazın