تحقیقات انجام شده توسط باشگاه رایانه ای هامبورگ Chaos (CCC) ، NDR و Spiegel شکاف های امنیتی جدی در شبکه داده پزشکی آلمان نشان داد. به دلیل نقاط ضعف ، صدور کارت شناسایی پزشکی فعلاً متوقف شده است. این یافته ها در کنگره CCC 2020 ارائه شد.
با توجه به شکاف های امنیتی در شبکه داده های پزشکی آلمان ، ابتدا کارت شناسایی برای پزشکان و پزشکان متوقف شد. NDR و "Spiegel" قبلاً ضعف هایی را گزارش داده بودند ، مانند نشت داده ها در شبکه داده های سلامت دیجیتال ، که توسط کارشناسان IT از Chaos Computer Club کشف شده بودند
انجمن تحقیقاتی NDR ، Spiegel و IT از Chaos Computer Club دارای نقاط ضعف بودند
![دکتر [19659006] (منبع: licencja Pexels / Pixabay CC0) </p>
<h2> چه خبر است؟ </h2>
<p> باید به ستون فقرات ضبط دیجیتالی بیمار تبدیل شود: زیرساخت telematics یا شبکه داده پزشکی. از طریق این شبکه داده پزشکی ، زیرساخت telematics برای پزشکان ، کلینیک ها و شرکت های بیمه درمانی فراهم می شود تا داده ها را در سوابق الکترونیکی بیمار تبادل کنند. </p>
<p> شبکه دیجیتال سیستم مراقبت های بهداشتی آلمان بسیار پیشرفته است و مورد توجه جامعه نیست. اکنون بیش از 115،000 عمل پزشکی و دندانپزشکی به یک شبکه مجازی متصل شده اند – به اصطلاح زیرساخت telematics. برای این منظور ، این شیوه ها مجهز به تجهیزات ویژه و گواهی نامه های الکترونیکی عملی بودند. </p>
<p> این کار برنامه های کاربردی دیگری را تسهیل می کند: از نیمه اول سال 2020 ، داده های اضطراری الکترونیکی ، برنامه درمانی الکترونیکی و روند ارتباطات ایمن بین ارائه دهندگان خدمات پیش بینی می شود. ثبت نام الکترونیکی بیمار و ورود به دیجیتالی شدن کامل داده های بهداشتی ما در اول ژانویه 2021 انجام خواهد شد </p>
<h2> همه چیز امن است؟ </h2>
<p> برای اطمینان از امنیت زیرساخت های telematics و برنامه های کاربردی مبتنی بر آن ، مانند ثبت نام الکترونیکی بیمار ، شناسایی "قابل اعتماد و واضح" از "همه شرکت کنندگان" کاملاً ضروری است. شرکت کنندگان در این شبکه به طور خاص <em> بیمه شدگان </em><em> ارائه دهندگان خدمات </em> مانند پزشکان و <em> موسسات ارائه دهنده خدمات </em> مانند اقدامات پزشکی و در بیمارستان ها و داروخانه های آینده هستند. </p>
<p> همه دسترسی به زیرساخت های Telematics رمزنگاری تر است. هویت های امن. برای این منظور ، ارائه دهنده خدمات اعتماد <em> </em> (TSP) برای تولید هویت رمزنگاری مشترک – متشکل از یک کلید خصوصی و گواهی نامه – پس از تأیید صحت هویت و پیوند دادن آن با هویت واقعی خود به روشی قانونی. هویت رمزنگاری بر روی کارت تراشه مانند کارت بهداشت (eGK) ، کارت تمرین (SMC-B) یا کارت خدمات درمانی (eHBA) ذخیره می شود. </p>
<p> برای دسترسی به شبکه داده های بهداشتی ، به این کارت های الکترونیکی پزشکی ، کارت های اداری و کارت بهداشتی بیمار نیاز دارید. زیرساخت های مناسب به خوبی ایمن است. و مستندات دیجیتالی بیمار از اول ژانویه 2021 آغاز می شد. </p>
<h2> نقطه ضعف: عدم تأیید آدرس </h2>
<p> سوءاستفاده از هویت مبتنی بر هویت های رمزنگاری پنهان ، تهدید مستقیمی برای فضای اعتماد TI ، و در نتیجه امنیت افراد برای فعلی و آینده است. برنامه های TI ، مانند رجیستری الکترونیکی بیمار (ePA): "صحت فرآیندهای صدور کارت – مانند تقریبا تمام مراحل دیجیتالی در TI – یک پیش نیاز ضروری است" مطابق با مشخصات gematik. </p>
<p> کلاب های رایانه ای کارشناسان امنیتی هرج و مرج (CCC) می خواستند بدانند که چقدر امن است ارسال آن شناسه ها که برای دسترسی به داده های بهداشتی لازم هستند ، ایمن باشد. در اطلاعیه ، کارشناسان IT CCC اظهار داشتند كه شناسه های معتبر كاری ، كارتهای شناسایی ، كارتهای اتصال و کارتهای بهداشتی را برای هویت شخص ثالث با موفقیت به دست آورده اند. </p>
<p> در مورد کارت سلامت الکترونیکی (eGK) ، شما فقط به یک شرکت بیمه درمانی نیاز دارید یک اتصال. در اصل ، شما فقط به تاریخ تولد یا شماره بیمه خود نیاز دارید و می توانید کارت دریافت کنید. اگر آدرس جدیدی را که منتقل کرده اید ارائه دهید ، کارت به آنجا ارسال می شود – هیچ چیز بررسی نمی شود. سرانجام ، این یک مصالحه بین اثبات بیمه با شرکت بیمه درمانی و پشتیبانی از بیمه شده با کارت بهداشتی گمشده است. اکنون این eGK عملکرد دیگری برای فعال سازی داده های الکترونیکی دارد. رویکرد قبلی دیگر کافی نیست </p>
<p> گرفتن کارت پزشکی لازم برای حرفه های پزشکی بسیار آسان بود. هکرها داده های لازم نسخه ، تاریخ تولد پزشک را از ثبت تجاری دریافت کردند. همه در یک برنامه وارد و چاپ شدند. کل به طور غیرقانونی با "تهمت پزشک" امضا شده است. و شناسنامه پزشک و نامه با کد PIN ، صادر شده به دکتر. سایبر ، با هکرها. برای این منظور ، هکرها (طبق گفته Tagesschau) اجازه چشم پزشکی به استفاده از هویت خود را داشتند. پیشخوان پنیر در منطقه عابر پیاده لونبورگ به عنوان آدرس تحویل انتخاب شد. روش تأیید هویت بانک بدون تأیید آدرس انجام شد </p>
<p> حتی سفارش اتصال آنلاین نیز بدون تأیید آدرس امکان پذیر بود. این کل توسط کنفرانس CCC در کنفرانس CCC 2019 ارائه شد و به لطف این هویت ها ، آنها توانستند به برنامه زیرساخت telematics و داده های بهداشتی بیمه شده ها دسترسی پیدا کنند. هکرهای CCC نواقص جدی در فرآیندهای دسترسی را شناسایی کرده اند. به عنوان مثال ، حملات توانستند نشان دهند كه چگونه تبهكاران می توانند هویت خود را فاش كنند. در مورد eGK ، این کار قبلاً دوباره انجام شده است. گسلها را فقط با حیرت باورنکردنی می توان دید. اظهارات CCC در اینجا آمده است: </p>
<ul>
<li> هنگامی که کارتهای شناسایی عملی (SMC B) صادر شد ، متقاضی هرگز شناسایی نشد. این اجازه می دهد تا مهاجم نتایج را بخواند و حتی اسناد دروغ توزیع کند. هکرها پس از وارد کردن پرونده الکترونیکی بیمار ، می توانند محتوای کامل پرونده های بیمار صادر شده برای این عمل را مشاهده کنند ، هکرها با CCC می نویسند. </li>
<li> وقتی کارت سلامت الکترونیکی یک کارمند (HBA) صادر می شود ، از روش های شناسایی کاملاً نامناسب استفاده می شود. حمل و نقل هایی که صاحب eHBA هستند می توانند از آن نه تنها برای امضا کردن نسخه استفاده کنند بلکه از هرگونه اسناد نیز برای امضاء استفاده کنند </li>
</ul>
<p> طبق CCC ، روشهای کاملاً نامناسب نیز برای شناسایی متقاضی هنگام صدور کارت الکترونیکی بهداشت (eGK) استفاده می شود. با تشکر از eGK ، اکنون امکان دسترسی به حسابهای مربوطه بیمار که لیست خدمات پزشکی ارائه شده را دارند ، امکان پذیر است. دسترسی به برنامه درمانی الکترونیکی و ضبط اطلاعات اضطراری و همچنین سوابق الکترونیکی بیمار باید در آینده نزدیک با استفاده از گزارشات eGK </p>
<p> Spiegel Online در اینجا امکان پذیر باشد ، از Tagesschau این گزارش است. هنوز جزئیاتی در مورد فرآیندها وجود دارد. اکنون به منظور تأیید زنجیره ارسال کارت شناسایی ، براساس یافته های CCC ، شماره کارتهای شناسایی مناسب متوقف شده است. </p>
<p> <strong> مقالات مرتبط: </strong><br /> نشت داده ها: مدرسه قدیمی – "هک" برای کارت بهداشت <br /> خرابی داده ها: از برنامه بهداشت ویوا دوری کنید <br /> فاجعه امنیتی بعدی در برنامه بهداشت ویوا <br /> بیمه درمانی فنی: همکاری با آدا <br /> گزارش: 60٪ حمله بیشتر به خدمات درمانی <br /> خدمات درمانی به ویژه در برابر حملات هکرها آسیب پذیر است <br /> داده های بهداشتی به خصوص مجرمان را به خود جلب می کند <br /> بزرگترین شرکت بهداشتی جهان. سنگاپور </p>
</p></div>
</pre>
</pre>
<p><a href=](https://i.imgur.com/J3cUMGL.jpg "Arzt")
