/Denys Rudyi, Stock.adobe.com
Berlin/Hamburg – Geçtiğimiz günlerde BT uzmanlarının elektronik hasta kaydındaki (ePA) güvenlik eksiklikleri konusunda uyarıda bulunmasının ardından Gematik, “saldırı senaryolarını önlemek için zaten teknik çözümler tasarladığını” ve bunları uygulamaya başladığını vurguladı.
Gematik'in haberine göre, yeni elektronik hasta dosyasının (“ePA for all”) güvenliğine ilişkin bilgiler için Kaos Bilgisayar Kulübü'ndeki (CCC) güvenlik araştırmacılarına teşekkür ederiz.
CCC tarafından ePA'ya yönelik sunulan saldırı senaryoları “teknik olarak mümkün” olurdu. Gematik, gerçekte pratik uygulamanın “ancak pek olası olmadığını” tahmin ediyor. ePA'ya izinsiz erişim de cezai bir suçtur ve yalnızca para cezasıyla değil aynı zamanda hapis cezasıyla da sonuçlanabilir.
Ek güvenlik önlemleri halihazırda geliştirilmektedir. Diğer şeylerin yanı sıra, telematik altyapısı (TI) kimlik kartlarının kötüye kullanılmasının önlenmesi amaçlanıyor. Ayrıca sağlık sigortası numarasının ek olarak şifrelenmesi daha fazla güvenlik sağlamalıdır.
Bu nedenle “teknik altyapı, kimlik kartları ve kartların kullanımı ve korunması konusunda telematik altyapısı kullanıcılarının farkındalığının artırılması” da planlanıyor. Bu nedenle izleme ve anormallik tespiti gibi gözetim önlemleri genişletilmelidir.
Gematik, “herkes için ePA”nın, Federal Bilgi Güvenliği Dairesi (BSI) ve Federal Komisyon Üyesi gibi en yüksek güvenlik ve veri koruma otoriteleriyle birlikte uygulanan en yüksek ve en modern güvenlik standartlarıyla sağlandığını açıkça belirtti. Veri Koruma ve ben Bilgi Edinme Özgürlüğünü (BfDI) geliştirdik ve koordine ettik.
Ayrıca, çok seviyeli bir güvenlik konsepti TI'yi ve TI'nın güvenliğini korur ve tüm uygulamalar, sorumlu yetkililer ve dış uzmanlarla yakın koordinasyon içinde sürekli olarak kontrol edilir.
Kaos Bilgisayar Kulübü (CCC) tarafından Hamburg'da düzenlenen 38. Kaos İletişim Kongresi kapsamında BT uzmanları, ePA'da hâlâ güvenlik açıklarının bulunduğunu gösteren bir analiz sundu.
Uyarıya göre, diğer şeylerin yanı sıra, geçerli tıp mesleği ve uygulama kartlarının yanı sıra üçüncü taraf sağlık kartlarının kolayca satın alınmasıyla üçüncü taraf sağlık verilerine erişim mümkün olacak. Bunun nedenleri ise basım süreçlerindeki, başvuru portallarındaki ve kartların günlük hayattaki fiili kullanımındaki eksikliklerdir.
Araştırmacılar ayrıca spesifikasyondaki eksikliklerin, herhangi bir sigortalı kişinin ePA'sı için sağlık kartlarının sunulmasına veya okunmasına gerek kalmadan erişim jetonları oluşturulmasını nasıl mümkün kıldığını gösterdi.
Güvenlik araştırmacıları ve CCC ortaklaşa “güvenlik risklerinin bağımsız ve güvenilir bir şekilde değerlendirilmesi”, risklerin etkilenenlere şeffaf bir şekilde iletilmesi ve dijital dosyanın tüm yaşam döngüsü boyunca açık bir geliştirme süreci çağrısında bulundu. © aha/Haberler