Berlin – Elektronik hasta dosyası (EPA) başlıklardan gelmez. Geçen Salı başlangıcından kısa bir süre sonra, Chaos Bilgisayar Kulübü (CCC) yeni güvenlik boşluklarını ortaya çıkardı. Hızlı bir şekilde dolduruldular, ancak kalan riskler Federal Bilgi Teknolojisi Ofisi (BSI) gibi kalıyor Alman tıbbi sayfa Şimdi dedi. BSI bunu “teknik olarak yönetilebilir” olarak tahmin etmesine rağmen, önümüzdeki yıla kadar temizlenmemelidir.
Mevcut durumda, CCC sigortalı bir kişinin tedavi bağlamını sigortalı kartların elektronik yedek sertifikaları aracılığıyla taklit edebildi, Gematik dün bir gün önce söyledi.
Sigortalı numara, bir kodlama anahtarı ve yasadışı olarak temin edilen bir uygulama kimliği (SMC-B) ve telematik altyapısı (TI) ile bağlantılı olarak, teorik olarak hasta dosyalarına erişmek için kullanılır.
Gematik, bireysel sigortalı kişiler için var olabilecek bu güvenlik açığının şimdi kapalı olduğunu açıkladı. “Potansiyel olarak etkilenen sigortalı tanımlanır ve korunur.”
Bianca Kastl, bu sunum güvenilirdir çünkü hizmetler derhal bir önlem olarak sürekli olarak kapatıldı, dedi Bianca Kastl Alman tıbbi sayfa. Şu anda uygun fiyatlı. Kastl ayrıca karşılık gelen boşlukları ortaya çıkarmıştı.
Sağlık Federal Bakanı Karl Lauterbach (SPD), dün bir gün önce EPA başlangıcının erken aşamasında bu tür saldırı senaryolarının beklenebileceğini itiraf etti.
Doğrudan ilk bilgiye tepki verdiği ve kırılganlığı kapattığı gemicilere minnettardı. Lauterbach, “Elektronik hasta dosyası çok iyi korunmalıdır. Hasta verilerine yapılan toplu saldırılar temelde hariç tutulmalıdır.” Dedi.
Tam bir çözüm henüz uygulanmadı
BSI'nın yardımıyla Federal Sağlık Bakanlığı (BMG) ve Gematik, son aylarda 2024'ün sonlarında ilk saldırı senaryosu sorunlarına tepki gösterdi. Birlikte EPA'nın güvenliğini sağlamak için bazı önlemler geliştirdiler.
Gematikler ve BMG bunu defalarca vurguladı. Bu, bilgilerini içerir Alman doktorlar Diğer şeylerin yanı sıra, kurum kartları (SMC-B) çözünmüş tıbbi uygulamaların geçerliliğini kaybetmelidir.
Ayrıca, hizmetleri izleyen sürekli güvenlik izleme oluşturulmuştur. Ve: Bir EPA'ya herhangi bir erişim kaydedilir ve ilgili servis sağlayıcı kurumuna atanabilir, Gematik açıkladı.
BSI sözcüsü, “Güvenlik değerlendirmesi, tüm hafifletme önlemleri tam olarak uygulanırsa, elektronik hasta dosyasının uygun bir güvenli çalışmasının garanti edildiğini göstermektedir.” Dedi.
Önerilen azaltma önlemleri, elektronik hasta dosyalarına kitle erişimini önlemek için uygundur, çünkü potansiyel saldırganların sigortalıdan ek verileri ve işlevsel ve geçerli bir pratik altyapı olması gerekir. Bir saldırı için, BSI'ye göre, uygun koruyucu önlemlerle tanımlanabilen bir iç suçlunun kullanılması gereklidir.
Bununla birlikte, Kastl bunun CCC ortamından çelişmektedir. Geliştirici, “Mevcut güvenlik açığı ile sunulan takımyıldızda olası toplu saldırıları önleme önlemlerinin etkili olmadığını gösterebildik.” Dedi.
Buna ek olarak, BSI zaten geliştirilmiş olan tüm güvenlik önlemlerinin de uygulanıp uygulanmadığını cevaplayamadı. Sözcü, federal ofisin sadece bir danışma işlevi olduğunu söyledi.
Gematikler bu soruya spesifik olarak cevap vermedi, ancak daha iyi tanınabilmesi, önlenmesi ve yaptırım uygulanabilmesi için sadece zaten geliştirilen önlemlere ve yeni önlemlerin sürekli gelişimine atıfta bulundu.
Daha Fazla Makale
Elektronik hasta dosyaları: Ekim ayına kadar gönüllü kullanım
Elektronik hasta dosyaları Ülke çapında başladı
EPA: Engelli insanlar eleştiriyi eleştiriyor
Elektronik hasta dosyaları: Veri Koruma Görevlisi herhangi bir büyük endişe görmüyor
EPA: Çocuklar için istisna kuralları
BSI sözcüsü, “Şimdiye kadar belirtilen saldırı senaryoları için son bir teknik çözüm zaten geliştirildi ve muhtemelen 2026'nın başlarında EPA operatörleri tarafından uygulanacak.” Dedi. Bilgisi Alman doktorlar Buna göre, bu EPA sırasında “hasta varlığının kanıtı” (POPP) kavramının tanıtımıdır.
Bu kavram, belirli bir noktada meşru bir sigortalı ile kimlik doğrulamalı servis sağlayıcı kurumunun kurulması veya başka bir şekilde sağlanması gerektiği anlamına gelir.
Bu genellikle sigortalı kişi doktorun ofisindeyse elektronik sağlık kartı (EGK) kullanılarak yapılır. Bu bağlantı, sigortalı kişi dijital kimliğiyle doğrulanmışsa da oluşturulabilir.
CMK
Mevcut durumda, CCC sigortalı bir kişinin tedavi bağlamını sigortalı kartların elektronik yedek sertifikaları aracılığıyla taklit edebildi, Gematik dün bir gün önce söyledi.
Sigortalı numara, bir kodlama anahtarı ve yasadışı olarak temin edilen bir uygulama kimliği (SMC-B) ve telematik altyapısı (TI) ile bağlantılı olarak, teorik olarak hasta dosyalarına erişmek için kullanılır.
Gematik, bireysel sigortalı kişiler için var olabilecek bu güvenlik açığının şimdi kapalı olduğunu açıkladı. “Potansiyel olarak etkilenen sigortalı tanımlanır ve korunur.”
Bianca Kastl, bu sunum güvenilirdir çünkü hizmetler derhal bir önlem olarak sürekli olarak kapatıldı, dedi Bianca Kastl Alman tıbbi sayfa. Şu anda uygun fiyatlı. Kastl ayrıca karşılık gelen boşlukları ortaya çıkarmıştı.
Sağlık Federal Bakanı Karl Lauterbach (SPD), dün bir gün önce EPA başlangıcının erken aşamasında bu tür saldırı senaryolarının beklenebileceğini itiraf etti.
Doğrudan ilk bilgiye tepki verdiği ve kırılganlığı kapattığı gemicilere minnettardı. Lauterbach, “Elektronik hasta dosyası çok iyi korunmalıdır. Hasta verilerine yapılan toplu saldırılar temelde hariç tutulmalıdır.” Dedi.
Tam bir çözüm henüz uygulanmadı
BSI'nın yardımıyla Federal Sağlık Bakanlığı (BMG) ve Gematik, son aylarda 2024'ün sonlarında ilk saldırı senaryosu sorunlarına tepki gösterdi. Birlikte EPA'nın güvenliğini sağlamak için bazı önlemler geliştirdiler.
Gematikler ve BMG bunu defalarca vurguladı. Bu, bilgilerini içerir Alman doktorlar Diğer şeylerin yanı sıra, kurum kartları (SMC-B) çözünmüş tıbbi uygulamaların geçerliliğini kaybetmelidir.
Ayrıca, hizmetleri izleyen sürekli güvenlik izleme oluşturulmuştur. Ve: Bir EPA'ya herhangi bir erişim kaydedilir ve ilgili servis sağlayıcı kurumuna atanabilir, Gematik açıkladı.
BSI sözcüsü, “Güvenlik değerlendirmesi, tüm hafifletme önlemleri tam olarak uygulanırsa, elektronik hasta dosyasının uygun bir güvenli çalışmasının garanti edildiğini göstermektedir.” Dedi.
Önerilen azaltma önlemleri, elektronik hasta dosyalarına kitle erişimini önlemek için uygundur, çünkü potansiyel saldırganların sigortalıdan ek verileri ve işlevsel ve geçerli bir pratik altyapı olması gerekir. Bir saldırı için, BSI'ye göre, uygun koruyucu önlemlerle tanımlanabilen bir iç suçlunun kullanılması gereklidir.
Bununla birlikte, Kastl bunun CCC ortamından çelişmektedir. Geliştirici, “Mevcut güvenlik açığı ile sunulan takımyıldızda olası toplu saldırıları önleme önlemlerinin etkili olmadığını gösterebildik.” Dedi.
Buna ek olarak, BSI zaten geliştirilmiş olan tüm güvenlik önlemlerinin de uygulanıp uygulanmadığını cevaplayamadı. Sözcü, federal ofisin sadece bir danışma işlevi olduğunu söyledi.
Gematikler bu soruya spesifik olarak cevap vermedi, ancak daha iyi tanınabilmesi, önlenmesi ve yaptırım uygulanabilmesi için sadece zaten geliştirilen önlemlere ve yeni önlemlerin sürekli gelişimine atıfta bulundu.
Daha Fazla Makale
Elektronik hasta dosyaları: Ekim ayına kadar gönüllü kullanım
Elektronik hasta dosyaları Ülke çapında başladı
EPA: Engelli insanlar eleştiriyi eleştiriyor
Elektronik hasta dosyaları: Veri Koruma Görevlisi herhangi bir büyük endişe görmüyor
EPA: Çocuklar için istisna kuralları
BSI sözcüsü, “Şimdiye kadar belirtilen saldırı senaryoları için son bir teknik çözüm zaten geliştirildi ve muhtemelen 2026'nın başlarında EPA operatörleri tarafından uygulanacak.” Dedi. Bilgisi Alman doktorlar Buna göre, bu EPA sırasında “hasta varlığının kanıtı” (POPP) kavramının tanıtımıdır.
Bu kavram, belirli bir noktada meşru bir sigortalı ile kimlik doğrulamalı servis sağlayıcı kurumunun kurulması veya başka bir şekilde sağlanması gerektiği anlamına gelir.
Bu genellikle sigortalı kişi doktorun ofisindeyse elektronik sağlık kartı (EGK) kullanılarak yapılır. Bu bağlantı, sigortalı kişi dijital kimliğiyle doğrulanmışsa da oluşturulabilir.
CMK