Güvenlik araştırmacıları Bianca Kastl ve Martin Tschirsich, 38. Kaos İletişim Kongresi'nde elektronik hasta dosyasında çok sayıda güvenlik açığını ortaya çıkardıktan sonra, Federal Sağlık Bakanlığı (BMG) hâlâ elektronik hasta dosyasının Ocak ayından itibaren ülke çapında kullanıma sunulmasına bağlı kalmak istiyor. 15'inci. Bir BMG sözcüsü sorulduğunda “sorun” konusunda CCC ile temas halinde olduklarını söyledi.
Reklamcılık
“CCC'nin tanımladığı teorik sorun, herkes için ePA'nın uygulamaya konmasından önce çözülecek. BSI bunu zamanı gelince resmi olarak onaylayacak. Pilot aşama, planlandığı gibi 15 Ocak'ta başlayacak. Herkes için ePA, ePA'nın başlangıcı olacak. Açıklamada, tüm yüksek seviyelerde “BSI ve BfDI tarafından da desteklenen güvenlik standartlarını karşılıyoruz” deniyor.
BfDI güvenlik önlemlerini “şiddetle tavsiye etti”
Federal Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri (BfDI) Louisa Specht-Riemenschneider, Haberler online'ın sorusuna verdiği yanıtta kendisini daha nüanslı bir üslupla ifade etti: Sağlık sisteminde dijitalleşmeden sorumlu olan Gematik'e şunları söyledi: ve BMG “erken bir aşamada güvenlik açıklarının yüksek risk potansiyeline dikkat çekti ve ilgili riskleri azaltmak için acilen acil önlemler önerdi. Federal Bilgi Güvenliği Dairesi ve BfDI, bu duruma bir çözüm önerdi BfDI'nın bir sözcüsü, çevrimiçi ortamda harekete geçmek için Gematik'in güvenlik açığını hafifletebileceğini söylüyor.
Koruyucu önlemler devam ediyor
Federal Bilgi Güvenliği Dairesi (BSI) sorumuzu ayrıntılı bir şekilde yanıtladı. BSI sözcüsü, Gematik ile birlikte analizler gerçekleştirdiklerini ve “ePA'da saklanan herhangi bir hastanın verilerine yetkisiz kişilerin erişmesini” önlemek amacıyla “hemen ek koruyucu önlemler geliştirip uygulamaya başladıklarını” söyledi.
Aynı zamanda BSI, bu saldırının, telematik altyapısına bağlantı için bir pin ve konnektör içeren geçerli bir SMC-B (iş yeri tipinde Güvenli Modül Kartı) olan bir kart terminaline erişim gerektirdiğini açıklıyor. sağlık verileri otoyolu”. Güvenlik araştırmacıları diğer şeylerin yanı sıra seri ilanlar aracılığıyla gerekli altyapıyı buldular, ancak BSI'ya göre “ilgili altyapı ve cihaz kartlarının imhası”, “buna göre yeniden duyarlı hale getirilen ve uygun hale getirilen” “sağlık tesislerinin” sorumluluğundadır. yükümlülüklerinin bilincindedir.” Gematik, sunulan güvenlik eksikliklerine tepki olarak, suçluların yasa dışı erişim araçları elde etmesi halinde para cezası ve hapis cezasına çarptırılacağına değindi.
BSI sözcüsüne göre, “bir sağlık tesisindeki aktif kart terminali aracılığıyla” yapılacak başka bir saldırı rotası, çok fazla “teknik bilgi birikiminin yanı sıra engelsiz bir yöntem” gerektiriyor.[r] Bahsedilen terminale erişim gereklidir. “Bu tür bir manipülasyonun önlenmesi için kart terminallerinin çalışma ortamının, sağlık personelinin yetkisiz fiziksel erişimine her an engel olabilecek şekilde seçilmesi gerekmektedir. Bu, kart terminallerinin kurulum şartlarında belirtilmiştir. Söz konusu cihazlar, kasıtlı olarak seçilmiş tasarımları nedeniyle saldırının hızlı bir şekilde gerçekleştirilmesini de zorlaştırıyor” diye açıklıyor BSI.
Daha ileri koruyucu önlemler devam ediyor
BSI sözcüsüne göre, elektronik hasta dosyasının başlatılmasına yönelik pilot aşama ilk etapta üç model bölgedeki 300 sağlık tesisinde planlanıyor. Daha fazla koruyucu önlem alınıyor. Buna göre, “katılımcı sağlık tesisleri için yalnızca bu uygulamaların ePA'ya erişebilmesini sağlayacak bir beyaz liste getirilecek”.
Gematik, güvenlik açığını kapatmak için ek olarak sağlık sigortası numaralarını şifrelemek ve “izleme ve anormallik tespiti gibi gözetim önlemlerini” genişletmek istiyor. BSI'ya göre Gematik aynı zamanda “uygulama altyapısına yönelik ikincil piyasayı” da yakından takip edecek. Erişim ve saldırılar, ilgili uygulama kimliğine kadar takip edilebilir ve bu, altyapıya yetkisiz erişim sağlayan suçluları caydırmaz.
BSI daha fazla önlemi yeniden değerlendirmek istiyor
BSI, “katılımcı sağlık tesisleri çemberine yönelik başarılı bir saldırının risklerini sınırlı” tutmak için çeşitli önlemler kullanıyor ve teknik ve organizasyonel önlemleri (TOM'ler) hafifletici olarak değerlendiriyor. Bununla birlikte, “kısa ve orta vadede” başarılı bir saldırı riskini daha da azaltacak başka TOM'ların uygulanması “gerekiyor. Federal Sağlık Bakanlığı (BMG) ve Gematik, zamanı gelince ülke çapında yaygınlaştırmanın başlatılmasına karar verecek. Sözcü, “Uygulanan tedbirler BSI tarafından da yeniden değerlendirildi” dedi.
Schleswig-Holstein'ın eski eyalet veri koruma görevlisi Thilo Weichert, ePA'nın planlanan kullanıma sunulmasının “burada güvence altına alınan sağlık verilerinin korunması açısından büyük bir risk” olduğunu düşünüyor. Bunun sorumluluğunu almak istemezdi. “Politikacıların, ePA ile ilgili sağlam temellere dayanan beklentiler de göz önüne alındığında, buna farklı baktığını anlıyorum. Eğer bu bir başlangıçsa, o zaman bilgilendirici ve dürüst bir şekilde, böylece etkilenenler, kapsam dışında kalma konusunda bilinçli bir karar verebilsinler. seçeneği” diye açıklıyor Weichert, Haberler tarafından çevrimiçi olarak sorulduğunda. Kastl ve Tschirsich, ePA'nın yalnızca sınırlı güvenliğe sahip olduğunu “etkileyici bir şekilde gösterdi”. Bunun değişmesi gerekiyor.
ePA deneylerinin sonu
Konferansın yayınlanmasının ardından CCC, “yaşayan vatandaşlar üzerinde ePA deneylerine son verilmesi” çağrısında bulundu. Bağımsız tıp mesleği, kullanıma sunma planlarına derhal son verilmesi çağrısında bulunuyor. Tespit edilen güvenlik açıkları, “yasal sağlık sigortası olan 70 milyon kişinin hassas tıbbi verilerine” erişimin çok az çabayla mümkün olduğu anlamına geliyor. Özgür Tabipler Birliği'nin pratisyen hekimi ve federal başkan yardımcısı Silke Lüder'e göre, “güvenli ePA anlatısı” 15 Ocak 2025'teki tanıtımından kısa bir süre önce başarısız oldu. Lüder'e göre, “mevcut sistematik göz önüne alındığında bu uygulamanın kesinlikle sorumsuz olduğu” belirtiliyor. Güvenlik açıkları.” Lüder sözlerine şöyle devam etti: Özellikle kötü olan şey, “güvenlik tasarımındaki bazı hataların yıllardır bilinmesine rağmen görünüşe göre mevcut spesifikasyonda Gematik tarafından düzeltilmemiş olmasıdır.” Gematik'in boşluklara tepkisini “saçma” olarak nitelendirdi.
Korsan Partisi'nden Patrick Breyer'in bakış açısına göre, elektronik hasta dosyasının Ocak ayı ortasında başlaması “yasalara ve veri korumasına aykırı”, “gematik'in kendi itirafına göre mega güvenlik açığı olmasına rağmen” Breyer, “Bu yaklaşım güvenilirdir ve etkilenenler için sağlık sonuçları doğurabilir” diye açıklıyor. Federal Veri Koruma Komiseri'nden “sorumsuz oyunu durdurmasını” talep ediyor. bizim sağlık” çünkü “ruhsal ve bedensel sağlığımızın güvenliği […] “pazarlık edilemez”.
(mack)
Bir yanıt yazın