Muqe
New member
Bianca Kastl ve Martin Tschirsich'in Kaos Bilgisayar Kulübü'nün (CCC) yıllık kongresinde sahnede söyledikleri muhtemelen BT bilgisi olmayan insanlar arasında soru işaretleri yaratacaktır. SMC-B, VSDM, ICSSN ve uzaktan saldırılarla ilgili. Ancak dersin sonundaki bir cümle herkes için kolay anlaşılır ve akılda kalır: “Hastaların kimliklerini çeşitli yollarla elde ettik (…), muayenehane kimliklerini çeşitli yöntemlerle elde ettik. yollar (… ) ve böylece 70 milyon dosyanın tümüne erişmek için ihtiyacımız olan her şeye (…) gerçekten sahiptik.”
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Kastl ve Tschirsich'in yıl sonundan kısa bir süre önce CCC sahnesinde gösterdikleri şey, bir kişinin sahip olabileceği en mahrem verilere, yani kendi sağlık verilerine yönelik bir saldırıdan başka bir şey değil. Kastl ve Tschirsich bu saldırıları güvenlik açıklarını ortaya çıkarmak için denedi ancak bu güvenlik açıkları kısa sürede suçlular tarafından istismar edilebilir. 15 Ocak'ta, CCC'ye göre hâlâ çok sayıda güvenlik açığı bulunan herkes için elektronik hasta kaydı veya kısaca ePA yayınlanacak.
Politikacılar ve operatörler her zaman yeni sistemin güvenliğine vurgu yaptılar. Ancak hacker konferansının ardından ağızda bir kez daha acı bir tat ve bir soru var: Yeni sisteme itiraz etmek daha mı iyi?
Elektronik hasta kaydı nedir?
Temel olarak, elektronik hasta dosyası uzun yıllardan beri talep edilen bir şeydir: Almanya geleneksel olarak dijitalleşme konusunda geride kalmıştır, tıbbi uygulamaların tedavisi arasında çok fazla evrak işi vardır ve bu da hastaların uygun şekilde tedavi edilmesine tam anlamıyla yardımcı değildir. EPA sonunda şunu değiştirmeli: Laboratuvar bulgularının veya tedavilerden elde edilen test sonuçlarının saklandığı bir tür dijital dosya klasörü görevi görüyor. Gelecekte aşı sertifikasının da burada saklanması mümkün olacaktır.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Amaç, diğer şeylerin yanı sıra, daha iyi bir genel bakıştır. Örneğin ePA, ne kadar süredir ilaç kullandığınızı kontrol etmek için kullanılabilir. ePA aynı zamanda doktor değiştirmeyi de kolaylaştırabilir çünkü tüm önemli veriler zaten oradadır. Acil bir durumda bile doktorlar acil servisteki hasta dosyasını görüntüleyebilir ve ideal olarak daha hızlı yardımcı olabilir. Sağlık sigortası şirketlerinin kendilerinin bu belgeye erişimi yoktur.
ePA ilk olarak 15 Ocak'ta Frankonya, Hamburg ve Kuzey Ren-Vestfalya'nın bazı bölgelerinde pilot proje olarak tanıtılacak, ancak daha sonra tüm Alman vatandaşlarının kullanımına sunulacak. Yetkisiz kişilerin sağlık kartını okuyamamasını sağlamak amacıyla sistem temel olarak çeşitli güvenlik mekanizmalarıyla korunmaktadır. Bir ePA'nın içeriğine erişebilmek için hem doktorların hem de hastaların kendilerini tanıtmaları gerekir. Ancak CCC tam olarak bu doğrulama sırasında güvenlik açıklarını keşfetti.
Hasta kayıtları nasıl hacklenebilir?
Hasta kayıtlarındaki güvenlik açıkları çeşitlidir ve önceden teknik bilgi gerektirir. Ancak bazı durumlarda bunlar oldukça önemsizdir: Kastl ve Tschirsich, diğer şeylerin yanı sıra, sağlık sigortası şirketlerini basit telefon görüşmeleri yoluyla üçüncü taraflardan sağlık kartları almayı başardılar. Bunun için gereken çaba ihmal edilebilir düzeydeydi; yalnızca on ila 20 dakika sürdü.
Sağlık kartları ePA'nın işleyişi için gereklidir. Hastalar bunları doktorun ofisindeki bir cihaza yerleştiriyor; muayenehane daha sonra 90 gün boyunca ePA'ya erişebiliyor. Ancak kart yanlış ellere geçerse sorun büyük olabilir: Elektronik hasta dosyasının yeni 3.0 sürümü PIN girişi gerektirmiyor. En kötü senaryoda, karta sahip olunarak son derece hassas sağlık verilerine kolayca ulaşılabilmektedir.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Suçlular pratik kimlik kartlarına erişim sağladığında işler daha da kötüleşiyor. Ancak BT uzmanları bunun da mümkün olduğunu açıklıyor. Saldırganlar doktor gibi davranarak bir doktorun muayenehanesinin tüm verilerine uzaktan erişebilir. Normal bir uygulamada bu yaklaşık 1000 hasta dosyası demektir. Bu, kart veren portalın veri tabanındaki bir güvenlik açığı nedeniyle mümkün oldu.
İlanlardaki uygulama ekipmanları
Muhtemelen en ciddi güvenlik açığı, doktor veya eczanede hasta dosyasına erişim yetkisinin verilmesinde yatmaktadır. Bu amaçla kısaca ICCSN sağlık kartı numarası kullanılır ve entegre çipten okunur. Sorun: Bu sayıların yeniden oluşturulması kolaydır çünkü ardışık olarak atanırlar. Ayrıca sigortalı ana veri servisine imzasız ve güvenlik anahtarı olmadan teslim edilirler.
BT uzmanları, bu tür bir saldırının biraz daha karmaşık olduğunu, öncelikle sistemin altyapısına erişmeniz gerektiğini açıklıyor. Bununla birlikte, bunun için gerekli olan kart terminalleri, genellikle SMC-B adı verilen ve uygulamaların kendilerini dijital olarak tanımlamak için kullanabileceği kartlar da dahil olmak üzere seri ilanlardan kolayca satın alınabilir. Bu, herhangi bir hastanın sağlık verilerine uzaktan ve sağlık kartı olmadan erişmeniz için yeterlidir.
Bulgulara bakıldığında Kaos Bilgisayar Kulübü yıkıcı bir karara varır. Dernek, “EPA'nın yaşayan vatandaşlar üzerinde yaptığı deneylere son verilmesi” çağrısında bulunuyor. Hasta dosyası güvenlik vaadini yerine getiremiyor. Dernek şu uyarıda bulunuyor: “Güvenilir dijital altyapılar ancak oluşturma sürecinin kendisi güveni mümkün kılıyorsa oluşturulabilir.”
Şirket yatıştırdı
Yeni hasta dosyası sorumluları artık uyarılara yanıt verdi. Uygulamadan, hissedarları arasında Federal Sağlık Bakanlığı ve Alman Tabipler Birliği'nin de bulunduğu Ulusal Dijital Tıp Ajansı Gematik GmbH sorumludur. Konferanstan sonra şirket, bilgisayar korsanlarının ipuçlarını “buna göre ciddiye aldığını” açıkladı.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Yine de şirket güvence veriyor. Sunulan senaryolar teknik olarak mümkündü ancak: “Gerçekte pratikte uygulanması (…) pek olası değil çünkü çeşitli gereksinimlerin karşılanması gerekiyor.”
Gematik, hasta dosyasının başlangıçta sadece pilot proje olarak başlatıldığını, sigortalının ePA'sına başlangıçta sadece model bölgeye katılan hizmet sağlayıcıların erişebildiğine dikkat çekiyor. “Bu nedenle ülke çapındaki tüm sigortalıların elektronik hasta dosyaları iyi korunuyor.”
Ülke çapındaki tanıtımdan önce daha fazla güvenlik önlemi de uygulanacak. Bu sayede “telematik altyapı kimlik kartlarının hatalı kullanılmasının” önüne geçilmesi amaçlanıyor. Ayrıca sağlık sigortası numarasının ek olarak şifrelenmesi yoluyla ek güvenlik açıklarının kapatılması gerekmektedir. Altyapı kullanıcıları da duyarlı hale getirilmeli ve izleme ve anormallik tespiti gibi izleme tedbirleri genişletilmelidir.
Güven kaybolduğunda
Bunun güven temeli olarak yeterli olup olmadığı başka bir konudur. Geçmişte, BT uzmanları ve veri koruma uzmanları, en son Federal Veri Koruma Komiseri Ulrich Kelber olmak üzere, elektronik hasta dosyalarındaki güvenlik açıkları konusunda defalarca uyarılarda bulunmuştu. Fraunhofer Enstitüsü'nün hasta dosyasının güvenliğini doğrulamayı amaçlayan bir raporunda, Gematik'in bunu “ilgili değil” olarak değerlendirmesi nedeniyle gizli servislerin yapabileceği olası bir saldırı tamamen dışarıda bırakıldı.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Hasta dosyalarının sunulmasının ertelenmesi yönünde uzun süredir BT çevrelerinin dışından çağrılar yapılıyor. Hamburg'daki Özgür Tıp Derneği'nin pratisyen hekimi ve federal başkan yardımcısı Silke Lüder, en son bulgularla birlikte “güvenli ePA anlatısının” kullanıma sunulmasından kısa bir süre önce “başarısız olduğunu” söylüyor. “Ve hastalık verilerinin insanlara ilişkin en hassas veriler olduğu göz önüne alındığında, sistematik güvenlik açıklarının mevcut olduğu bir zamanda bu verilerin kullanıma sunulması kesinlikle sorumsuzluktur.”
Lüder, Gematik GmbH'nin cevabının “toplam durum ağı ve merkezi veri depolama konusunda herhangi bir güven oluşturmak için uygun olmadığını” düşünüyor. “İlgili doktorlar ve hastalar tamamen güvensiz bir sistemi test etmek için kullanılabilecek kobaylar değil.” Bu nedenle dernek, 15 Ocak'ta planlanan dağıtıma derhal son verilmesi çağrısında bulunuyor.
ePA'ya bu şekilde itiraz edebilirsiniz
Açık olan bir şey var: Hiç kimse elektronik hasta dosyasının insafına bırakılamaz. 15 Ocak'ta Alman vatandaşları için otomatik olarak kurulacak olsa da zorunlu değil. Endişeleri olan ve dosyayı kullanmak istemeyen herkesin itiraz etmek için son tarihe kadar süresi var. Hasta dosyası daha önce oluşturulmuşsa itirazla birlikte silinecektir.
İtirazın doğrudan ilgili sağlık sigortası şirketine yapılması gerekmektedir. Bu, kasaya bağlı olarak biraz farklı çalışır. Bazıları formları web sitelerinde PDF olarak sunar, diğerleri ise iletişim formları sunar. Birçoğu, sigortalı kişilerin ePA ile ilişkilerinde desteklenmesini amaçlayan kendi uygulamalarına veya ombudsmanlık ofisine de başvurmaktadır. Bir eylem ittifakı, işleri basitleştirmek için sözde çelişki oluşturucuyu da çevrimiçi hale getirdi. Tüketici danışma merkezi geçtiğimiz günlerde sağlık sigortası şirketlerinin üyelerini ePA, olası riskler ve itiraz olasılığı konusunda yeterince bilgilendirmediğinden şikayetçiydi.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Çelişki sonucunda hastaların doktora gitmelerinde ePA'nın olası kolaylıklarından şimdilik yararlanamamaları dışında herhangi bir dezavantajı bulunmuyor. Ancak: İtiraz herhangi bir zamanda geri çekilebilir; örneğin yeni sistemin güvenlik durumunun iyileşmesi durumunda. Böylece daha önce reddedilmiş olsa bile dijital hasta dosyasını herkes kullanabilir.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Kastl ve Tschirsich'in yıl sonundan kısa bir süre önce CCC sahnesinde gösterdikleri şey, bir kişinin sahip olabileceği en mahrem verilere, yani kendi sağlık verilerine yönelik bir saldırıdan başka bir şey değil. Kastl ve Tschirsich bu saldırıları güvenlik açıklarını ortaya çıkarmak için denedi ancak bu güvenlik açıkları kısa sürede suçlular tarafından istismar edilebilir. 15 Ocak'ta, CCC'ye göre hâlâ çok sayıda güvenlik açığı bulunan herkes için elektronik hasta kaydı veya kısaca ePA yayınlanacak.
Politikacılar ve operatörler her zaman yeni sistemin güvenliğine vurgu yaptılar. Ancak hacker konferansının ardından ağızda bir kez daha acı bir tat ve bir soru var: Yeni sisteme itiraz etmek daha mı iyi?
Elektronik hasta kaydı nedir?
Temel olarak, elektronik hasta dosyası uzun yıllardan beri talep edilen bir şeydir: Almanya geleneksel olarak dijitalleşme konusunda geride kalmıştır, tıbbi uygulamaların tedavisi arasında çok fazla evrak işi vardır ve bu da hastaların uygun şekilde tedavi edilmesine tam anlamıyla yardımcı değildir. EPA sonunda şunu değiştirmeli: Laboratuvar bulgularının veya tedavilerden elde edilen test sonuçlarının saklandığı bir tür dijital dosya klasörü görevi görüyor. Gelecekte aşı sertifikasının da burada saklanması mümkün olacaktır.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Amaç, diğer şeylerin yanı sıra, daha iyi bir genel bakıştır. Örneğin ePA, ne kadar süredir ilaç kullandığınızı kontrol etmek için kullanılabilir. ePA aynı zamanda doktor değiştirmeyi de kolaylaştırabilir çünkü tüm önemli veriler zaten oradadır. Acil bir durumda bile doktorlar acil servisteki hasta dosyasını görüntüleyebilir ve ideal olarak daha hızlı yardımcı olabilir. Sağlık sigortası şirketlerinin kendilerinin bu belgeye erişimi yoktur.
ePA ilk olarak 15 Ocak'ta Frankonya, Hamburg ve Kuzey Ren-Vestfalya'nın bazı bölgelerinde pilot proje olarak tanıtılacak, ancak daha sonra tüm Alman vatandaşlarının kullanımına sunulacak. Yetkisiz kişilerin sağlık kartını okuyamamasını sağlamak amacıyla sistem temel olarak çeşitli güvenlik mekanizmalarıyla korunmaktadır. Bir ePA'nın içeriğine erişebilmek için hem doktorların hem de hastaların kendilerini tanıtmaları gerekir. Ancak CCC tam olarak bu doğrulama sırasında güvenlik açıklarını keşfetti.
Hasta kayıtları nasıl hacklenebilir?
Hasta kayıtlarındaki güvenlik açıkları çeşitlidir ve önceden teknik bilgi gerektirir. Ancak bazı durumlarda bunlar oldukça önemsizdir: Kastl ve Tschirsich, diğer şeylerin yanı sıra, sağlık sigortası şirketlerini basit telefon görüşmeleri yoluyla üçüncü taraflardan sağlık kartları almayı başardılar. Bunun için gereken çaba ihmal edilebilir düzeydeydi; yalnızca on ila 20 dakika sürdü.
Sağlık kartları ePA'nın işleyişi için gereklidir. Hastalar bunları doktorun ofisindeki bir cihaza yerleştiriyor; muayenehane daha sonra 90 gün boyunca ePA'ya erişebiliyor. Ancak kart yanlış ellere geçerse sorun büyük olabilir: Elektronik hasta dosyasının yeni 3.0 sürümü PIN girişi gerektirmiyor. En kötü senaryoda, karta sahip olunarak son derece hassas sağlık verilerine kolayca ulaşılabilmektedir.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Suçlular pratik kimlik kartlarına erişim sağladığında işler daha da kötüleşiyor. Ancak BT uzmanları bunun da mümkün olduğunu açıklıyor. Saldırganlar doktor gibi davranarak bir doktorun muayenehanesinin tüm verilerine uzaktan erişebilir. Normal bir uygulamada bu yaklaşık 1000 hasta dosyası demektir. Bu, kart veren portalın veri tabanındaki bir güvenlik açığı nedeniyle mümkün oldu.
İlanlardaki uygulama ekipmanları
Muhtemelen en ciddi güvenlik açığı, doktor veya eczanede hasta dosyasına erişim yetkisinin verilmesinde yatmaktadır. Bu amaçla kısaca ICCSN sağlık kartı numarası kullanılır ve entegre çipten okunur. Sorun: Bu sayıların yeniden oluşturulması kolaydır çünkü ardışık olarak atanırlar. Ayrıca sigortalı ana veri servisine imzasız ve güvenlik anahtarı olmadan teslim edilirler.
BT uzmanları, bu tür bir saldırının biraz daha karmaşık olduğunu, öncelikle sistemin altyapısına erişmeniz gerektiğini açıklıyor. Bununla birlikte, bunun için gerekli olan kart terminalleri, genellikle SMC-B adı verilen ve uygulamaların kendilerini dijital olarak tanımlamak için kullanabileceği kartlar da dahil olmak üzere seri ilanlardan kolayca satın alınabilir. Bu, herhangi bir hastanın sağlık verilerine uzaktan ve sağlık kartı olmadan erişmeniz için yeterlidir.
Bulgulara bakıldığında Kaos Bilgisayar Kulübü yıkıcı bir karara varır. Dernek, “EPA'nın yaşayan vatandaşlar üzerinde yaptığı deneylere son verilmesi” çağrısında bulunuyor. Hasta dosyası güvenlik vaadini yerine getiremiyor. Dernek şu uyarıda bulunuyor: “Güvenilir dijital altyapılar ancak oluşturma sürecinin kendisi güveni mümkün kılıyorsa oluşturulabilir.”
Şirket yatıştırdı
Yeni hasta dosyası sorumluları artık uyarılara yanıt verdi. Uygulamadan, hissedarları arasında Federal Sağlık Bakanlığı ve Alman Tabipler Birliği'nin de bulunduğu Ulusal Dijital Tıp Ajansı Gematik GmbH sorumludur. Konferanstan sonra şirket, bilgisayar korsanlarının ipuçlarını “buna göre ciddiye aldığını” açıkladı.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Yine de şirket güvence veriyor. Sunulan senaryolar teknik olarak mümkündü ancak: “Gerçekte pratikte uygulanması (…) pek olası değil çünkü çeşitli gereksinimlerin karşılanması gerekiyor.”
Gematik, hasta dosyasının başlangıçta sadece pilot proje olarak başlatıldığını, sigortalının ePA'sına başlangıçta sadece model bölgeye katılan hizmet sağlayıcıların erişebildiğine dikkat çekiyor. “Bu nedenle ülke çapındaki tüm sigortalıların elektronik hasta dosyaları iyi korunuyor.”
Ülke çapındaki tanıtımdan önce daha fazla güvenlik önlemi de uygulanacak. Bu sayede “telematik altyapı kimlik kartlarının hatalı kullanılmasının” önüne geçilmesi amaçlanıyor. Ayrıca sağlık sigortası numarasının ek olarak şifrelenmesi yoluyla ek güvenlik açıklarının kapatılması gerekmektedir. Altyapı kullanıcıları da duyarlı hale getirilmeli ve izleme ve anormallik tespiti gibi izleme tedbirleri genişletilmelidir.
Güven kaybolduğunda
Bunun güven temeli olarak yeterli olup olmadığı başka bir konudur. Geçmişte, BT uzmanları ve veri koruma uzmanları, en son Federal Veri Koruma Komiseri Ulrich Kelber olmak üzere, elektronik hasta dosyalarındaki güvenlik açıkları konusunda defalarca uyarılarda bulunmuştu. Fraunhofer Enstitüsü'nün hasta dosyasının güvenliğini doğrulamayı amaçlayan bir raporunda, Gematik'in bunu “ilgili değil” olarak değerlendirmesi nedeniyle gizli servislerin yapabileceği olası bir saldırı tamamen dışarıda bırakıldı.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Hasta dosyalarının sunulmasının ertelenmesi yönünde uzun süredir BT çevrelerinin dışından çağrılar yapılıyor. Hamburg'daki Özgür Tıp Derneği'nin pratisyen hekimi ve federal başkan yardımcısı Silke Lüder, en son bulgularla birlikte “güvenli ePA anlatısının” kullanıma sunulmasından kısa bir süre önce “başarısız olduğunu” söylüyor. “Ve hastalık verilerinin insanlara ilişkin en hassas veriler olduğu göz önüne alındığında, sistematik güvenlik açıklarının mevcut olduğu bir zamanda bu verilerin kullanıma sunulması kesinlikle sorumsuzluktur.”
Lüder, Gematik GmbH'nin cevabının “toplam durum ağı ve merkezi veri depolama konusunda herhangi bir güven oluşturmak için uygun olmadığını” düşünüyor. “İlgili doktorlar ve hastalar tamamen güvensiz bir sistemi test etmek için kullanılabilecek kobaylar değil.” Bu nedenle dernek, 15 Ocak'ta planlanan dağıtıma derhal son verilmesi çağrısında bulunuyor.
ePA'ya bu şekilde itiraz edebilirsiniz
Açık olan bir şey var: Hiç kimse elektronik hasta dosyasının insafına bırakılamaz. 15 Ocak'ta Alman vatandaşları için otomatik olarak kurulacak olsa da zorunlu değil. Endişeleri olan ve dosyayı kullanmak istemeyen herkesin itiraz etmek için son tarihe kadar süresi var. Hasta dosyası daha önce oluşturulmuşsa itirazla birlikte silinecektir.
İtirazın doğrudan ilgili sağlık sigortası şirketine yapılması gerekmektedir. Bu, kasaya bağlı olarak biraz farklı çalışır. Bazıları formları web sitelerinde PDF olarak sunar, diğerleri ise iletişim formları sunar. Birçoğu, sigortalı kişilerin ePA ile ilişkilerinde desteklenmesini amaçlayan kendi uygulamalarına veya ombudsmanlık ofisine de başvurmaktadır. Bir eylem ittifakı, işleri basitleştirmek için sözde çelişki oluşturucuyu da çevrimiçi hale getirdi. Tüketici danışma merkezi geçtiğimiz günlerde sağlık sigortası şirketlerinin üyelerini ePA, olası riskler ve itiraz olasılığı konusunda yeterince bilgilendirmediğinden şikayetçiydi.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Çelişki sonucunda hastaların doktora gitmelerinde ePA'nın olası kolaylıklarından şimdilik yararlanamamaları dışında herhangi bir dezavantajı bulunmuyor. Ancak: İtiraz herhangi bir zamanda geri çekilebilir; örneğin yeni sistemin güvenlik durumunun iyileşmesi durumunda. Böylece daha önce reddedilmiş olsa bile dijital hasta dosyasını herkes kullanabilir.