Elektronik hasta kaydı: Bilgisayar korsanları tarafından veri hırsızlığı hala mümkün

Berlin/Hannover. 2024/25 yılının başlangıcından kısa bir süre önce, elektronik hasta kaydı (ePA) sorumluları arasındaki huzurlu atmosfer aniden sona erdi: Chaos Computer Club'dan (CCC) bilgisayar korsanları , kulübün yıllık konferansında yeni dijital sistemin nasıl hacklenebileceğini ve potansiyel olarak milyonlarca kayda erişim sağlanabileceğini gösterdi . Sonuç olarak, ePA'nın uygulamaya konulması başlangıçta ertelendi ve sigortalıların yaklaşık yüzde beşi başlangıçta kullanımına itiraz etti.

Elektronik hasta kaydı (ePA) artık resmen kullanıma sunuldu ve 1 Ekim'den itibaren sağlık hizmeti sağlayıcıları için zorunlu hale geldi. Son aylarda güvenlik önlemlerinde de önemli iyileştirmeler yapıldı: Dijital tıp federal kurumu Gematik, Chaos Computer Club'ın (CCC) raporları üzerine bazı iyileştirmeler yaptı. ePA'yı hacklemek bugün daha zor, ancak imkansız değil.

CCC'deki BT uzmanları, yeni tanıtılan aracı hâlâ savunmasız kılan bir ayrıntıyı eleştiriyor. Gematik'e göre, bir çözüm ufukta görünüyor, ancak en erken gelecek yıl içinde.

Nihayet geldi: Elektronik hasta kaydı zaten kullanıma hazır. Ancak birçok hasta hâlâ şu sorulardan emin değil: Kayda nasıl erişebilirsiniz? Kimin neyi görebileceğine kim karar veriyor? Ve: Hassas veriler ne kadar güvenli?

Sorunu anlamak için elektronik hasta kaydının (ePA) nasıl çalıştığını anlamak gerekir. Şu anda, bir hastanın kaydına erişmek isteyen herkesin bir muayenehane kimlik kartına ve ardından sigortalının tüm verilerine ihtiyacı var. Özellikle: kart numarası, sağlık sigortası numarası, adres ve sigorta başlangıç ​​tarihi. Gematik bu sorunu daha önce ele almıştı: önceki kart numarası ve sağlık sigortası numarasının birleşimi artık erişim için yeterli değil. Ayrıca, Chaos Computer Club'ın (CCC) eleştirileri üzerine, geliştiriciler olası erişim sayısını sınırladı.

Bu nedenle, bir saldırının önündeki engeller önemli ölçüde artmış olsa da aşılmaz değil. Adresler gibi veriler veri sızıntıları yoluyla, diğer bilgiler ise kimlik avı yoluyla elde edilebilir. CCC'nin yıllık konferansında, BT uzmanları Bianca Kastl ve Martin Tschirsich, sağlık sigortası şirketlerine telefon görüşmeleri yaparak sağlık sigortası kartlarını ve hatta bir güvenlik açığından yararlanarak doktor kimlik kartlarını nasıl elde ettiklerini gösterdi. Nisan ayında, bilgisayar korsanları elektronik hasta kaydının (ePA) sözde yedek sertifika prosedürü aracılığıyla nasıl saldırıya uğrayabileceğini bir kez daha gösterdi. Gematik daha sonra bu güvenlik açığını da kapattı.

Ancak bu, bilgisayar korsanları için hâlâ tam anlamıyla tatmin edici değil: Kastl, RedaktionsNetzwerk Deutschland'a (RND) verdiği demeçte, kurumun güvenlik açıklarını ele alma biçiminin "açıkça geliştirilebilir" olduğunu söyledi. BT uzmanı, riski etkili bir şekilde en aza indirmek için elektronik hasta kaydı (ePA) için çok özel bir prosedürün uygulanmasını istiyor.

Yasal sağlık sigortası olan herkes, elektronik hasta kayıtlarını akıllı telefonundan okuyabilir ve yönetebilir. Ancak bunu gerçekten yapan çok az kişi var. Örneğin, hassas belgeleri kilitlemek önemlidir.

Kastl, "Şu anda bir elektronik hasta kaydına (ePA) erişmek için gereken tek şey çok sayıda bilgi: kart numaraları, sağlık sigortası numaraları, adres ve sigorta kapsamının başlangıç ​​tarihi," diye açıklıyor. "Sorun, sağlık sigortası kartından yalnızca imzalı ve gerçek verilerin okunmasıyla çözülebilir. Bu, bir sağlık sigortası şirketi tarafından verilen bir kartın gerçekten okunduğuna dair şüpheye yer bırakmayacak şekilde kriptografik doğrulamaya olanak tanır; bu nedenle güvenli bir teknoloji bir süredir mevcuttu, ancak ePA için henüz kullanılmadı."

Gematik'e göre, kurumun Araştırma ve Geliştirme Dairesi'ne (RDN) bildirdiği üzere, önümüzdeki yıl için tam da böyle bir prosedür planlanıyor. Bir "Hasta Varlığı Kanıtı" (PoPP) prosedürü planlanıyor. CCC'nin dijital kriptografik imza önerisi sorulduğunda kurum, "Evet, PoPP ile böyle bir prosedür planlanıyor" dedi. Ancak, henüz geliştirme aşamasında olduğu için ayrıntı verilemiyor.

Teknik olarak süreç şu şekilde işliyor: Hasta, tıpkı daha önce olduğu gibi, sağlık sigortası kartını doktor muayenehanesindeki cihaza takıyor. Ancak, karttan veri okumak yerine, arka planda bir sorgulama-yanıt süreci işliyor. Güvenlik sisteminin bir parçası olan PoPP hizmeti, rastgele bir sayı üretip sağlık sigortası kartına gönderiyor. Kart, sayıyı şifreleyip sonucu geri gönderiyor. Yalnızca rastgele sayı doğru şekilde şifrelenmişse kart gerçek ve fiziksel olarak mevcut demektir. Yetkililer başlangıçta 2026 için kesin bir başlangıç ​​tarihi belirtmemişti.

O zamana kadar, en azından bir risk daha mevcut. BT uzmanları, elektronik hasta kaydı (ePA) içindeki yetersiz kimlik doğrulama önlemlerinden kaynaklanabilecek tehlikelere sürekli olarak dikkat çekiyor. Kastl, Singapur'dan bir örnek veriyor: "2018'de 1,5 milyon kişinin sağlık verilerine orada erişildi . Hedef aynı zamanda Başbakan'ın ilaç listesiydi." Uzman, bu hassasiyetteki verilerin bu tür sızıntıları "tüm uluslar için bir risk" haline getirdiğini, çünkü diğer kritik altyapılara veya politikacılara yönelik saldırılara olanak sağladığını açıklıyor.

Kastl, 2023 yılında yasal sağlık sigortası şirketlerine BT hizmeti ve elektronik hasta kaydı (ePA) sağlayıcısı olan Bitmarck'ta yaşanan siber saldırıyı da örnek olarak gösteriyor. Bu ihlalde, çeşitli sağlık sigortası şirketlerinin yaklaşık 300.000 çevrimiçi müşterisine ait adlar, doğum tarihleri ​​ve sigorta kartının benzersiz tıbbi kayıt numarası gibi veriler tehlikeye girmişti. O dönemde BT uzmanları, ihlalin nedenlerinden birinin yetersiz kimlik doğrulama önlemleri olduğunu da tespit etmişti .

Bu tür saldırılar, bireyler için ciddi sonuçlar doğurabilir. Çok daha dijital bir altyapıya sahip Danimarka'da, saldırganlar, tıbbi kayıtlar da dahil olmak üzere bir tıp uygulamaları konsorsiyumu aracılığıyla on binlerce hastanın en kişisel bilgilerine erişim sağladı. Danimarka Veri Koruma Ajansı'nda BT güvenlik uzmanı olan Allan Frank, o dönemde RND'ye, bu tür özel verilerin şantaj girişimlerinde kullanılabileceğini söylemişti ; sonuçta, etkilenenlerin çok azı tedavilerinin kamuoyuna açıklanmasını isterdi.

Almanya'da hastaların çoğu, elektronik hasta kayıtlarının (ePA) eksikliklerine rağmen kendilerini yeterince güvende hissediyor gibi görünüyor. Birkaç hafta önce Gematik, güncellenmiş kullanım rakamlarını yayınladı. Bu rakamlar, muayenehanelerin, eczanelerin ve hastanelerin herkes için ePA kullanması beklenen ilk dört haftada daha da artış gösterdi.

Ekim ayının son haftasında 17,4 milyon ilaç listesi talebi kaydedildi. Eylül ayının son haftasında ise bu sayı 12,6 milyondu. Hasta kayıtlarının sayısı da artıyor: Sadece Ekim ayında 10,6 milyon belge yüklendi. Elektronik hasta kaydının (ePA) kullanıma sunulmasından bu yana toplam sayı 37 milyona ulaştı.

Elektronik hasta kaydına (ePA) itiraz edenlerin oranı nispeten düşük kalmaya devam ediyor. Ulusal Yasal Sağlık Sigortası Fonları Birliği'nin (GKV-Spitzenverband) RND haber ağına bildirdiğine göre, itiraz oranı yaklaşık yüzde beş seviyesinde kalmaya devam ediyor.