Aramizda
Aktif Üye
Federal Bilgi Teknolojisi Ofisi, Kaos Bilgisayar Kulübünün elektronik hasta dosyası olan Federal Bilgi Teknolojisi Ofisi'nin başlamasından bir gün sonra keşfettiği ve bildirdiği güvenlik boşlukları üzerinde bir tür açılıyor. Aralık ayında Kaos İletişim Kongresi'nde kamuya açıklanan saldırının aksine, mevcut dava doğrudan elektronik hasta dosyalarına kitle erişimi ile ilgili değildi. Bunun yerine, elektronik değiştirme sertifikasına (EEB) dijital erişilebilirliğin, daha sonra bireysel hasta dosyalarına erişim için gerekli olacak tüm verileri almak için uygulamalar tarafından kullanılabileceği daha hedefli bir saldırı aldı.
CCC ortamından güvenlik araştırmacıları, Salı akşamı bu durumda BSI'da aşina oldukları CERT-Bund'u bilgilendirdi. Operatör daha sonra dün EEB modülünü kapattı.
BSI artık risk konusunda uyarmıştı
Dün bilinen senaryonun değerlendirilmesinde BSI bu nedenle “yüksek teknik engeller” varsaymaktadır. Özellikle, sağlık sisteminden donanım ihtiyacı ve geçerli bir kimlik kanıtı, keşif riskine de neden olan bir engeldir. Bununla birlikte, soru da geçerlidir: “Saldırı senaryosu için gerekli ek hasta bilgilerinin yapısal olarak yapısal olarak yeterince korunan bir şekilde korunup korunmadığı sorusu BSI'nin sorumluluk alanından kaçınılır” diyor talep üzerine Bonn Otoritesi sözcüsü. BT Güvenlik İdaresi de şunları belirtiyor: “BSI, bu tür potansiyel bir senaryo ile EPA'ya hedeflenen saldırı riskine dikkat çekti ve paydaşlarını ülke çapında EPA sunumu hakkında bilgilendirdi.”
Bu nedenle BSI, elektronik hasta dosyasının altyapısının operatörleri arasında açıkça sorumluluk görüyor: “EPA'nın ülke çapında piyasaya sürülmesine, ana hissedarı federal hükümet olan Gematik'in genel müdürü olan BSI ile birlikte güvenlik ekiplerimizle yakından eşlik ediyor. Sosyal Kanun V ile ilgili düzenlemelere göre, Bilgi Teknolojisi Federal Ofisi teknik yönergelerin oluşturulmasında yer almaktadır.
BSI'nin EPA güvenliğini yayınlaması gerekmiyor
Bununla birlikte, neyin varsayılabileceğinin aksine, BSI ile üretilmesi gereken sadece bir “davranış” planlanmaktadır. Gerçek test veya onay yükümlülükleri yasal olarak yalnızca “anlaşma” ifadesi ile sağlanacaktır. Daha sonra BSI ayrıca operatörü operatördeki yasaklamalı veya gereksinimleri bağımsız olarak sıkılaştırmalıdır. 20 yıllık tartışmalardan sonra olası endişelere rağmen EPA'yı başlatma güçlü siyasi irade sırasında, veri koruma yetkilileri veya BSI için bu tür fonlar hariç tutulmuştur.
Aralık ayında yapılan yapısal kırılganlığın bir sonucu olarak BSI, Federal Sağlık Bakanlığı tarafından SO olarak adlandırılan bir güvenlik değerlendirmesi istendi. BSI'ye göre bu, Bonn'dan BT güvenlik uzmanları tarafından güncellenmeye devam edecek. Ancak, bu incelemeler mücevher için zorunlu değildir. BSI sözcüsü, “Güvenlik değerlendirmesi, tüm birlikte katlanma önlemleri tamamlanırsa, elektronik hasta dosyasının uygun bir güvenli çalışmasının garanti edildiğini göstermektedir.” Bununla birlikte, teknik özelliklerin altyapısının operatörü ve yaratıcısı olarak gematikler uygulanmadan sorumludur.
(Asla)
CCC ortamından güvenlik araştırmacıları, Salı akşamı bu durumda BSI'da aşina oldukları CERT-Bund'u bilgilendirdi. Operatör daha sonra dün EEB modülünü kapattı.
BSI artık risk konusunda uyarmıştı
Dün bilinen senaryonun değerlendirilmesinde BSI bu nedenle “yüksek teknik engeller” varsaymaktadır. Özellikle, sağlık sisteminden donanım ihtiyacı ve geçerli bir kimlik kanıtı, keşif riskine de neden olan bir engeldir. Bununla birlikte, soru da geçerlidir: “Saldırı senaryosu için gerekli ek hasta bilgilerinin yapısal olarak yapısal olarak yeterince korunan bir şekilde korunup korunmadığı sorusu BSI'nin sorumluluk alanından kaçınılır” diyor talep üzerine Bonn Otoritesi sözcüsü. BT Güvenlik İdaresi de şunları belirtiyor: “BSI, bu tür potansiyel bir senaryo ile EPA'ya hedeflenen saldırı riskine dikkat çekti ve paydaşlarını ülke çapında EPA sunumu hakkında bilgilendirdi.”
Bu nedenle BSI, elektronik hasta dosyasının altyapısının operatörleri arasında açıkça sorumluluk görüyor: “EPA'nın ülke çapında piyasaya sürülmesine, ana hissedarı federal hükümet olan Gematik'in genel müdürü olan BSI ile birlikte güvenlik ekiplerimizle yakından eşlik ediyor. Sosyal Kanun V ile ilgili düzenlemelere göre, Bilgi Teknolojisi Federal Ofisi teknik yönergelerin oluşturulmasında yer almaktadır.
BSI'nin EPA güvenliğini yayınlaması gerekmiyor
Bununla birlikte, neyin varsayılabileceğinin aksine, BSI ile üretilmesi gereken sadece bir “davranış” planlanmaktadır. Gerçek test veya onay yükümlülükleri yasal olarak yalnızca “anlaşma” ifadesi ile sağlanacaktır. Daha sonra BSI ayrıca operatörü operatördeki yasaklamalı veya gereksinimleri bağımsız olarak sıkılaştırmalıdır. 20 yıllık tartışmalardan sonra olası endişelere rağmen EPA'yı başlatma güçlü siyasi irade sırasında, veri koruma yetkilileri veya BSI için bu tür fonlar hariç tutulmuştur.
Aralık ayında yapılan yapısal kırılganlığın bir sonucu olarak BSI, Federal Sağlık Bakanlığı tarafından SO olarak adlandırılan bir güvenlik değerlendirmesi istendi. BSI'ye göre bu, Bonn'dan BT güvenlik uzmanları tarafından güncellenmeye devam edecek. Ancak, bu incelemeler mücevher için zorunlu değildir. BSI sözcüsü, “Güvenlik değerlendirmesi, tüm birlikte katlanma önlemleri tamamlanırsa, elektronik hasta dosyasının uygun bir güvenli çalışmasının garanti edildiğini göstermektedir.” Bununla birlikte, teknik özelliklerin altyapısının operatörü ve yaratıcısı olarak gematikler uygulanmadan sorumludur.
(Asla)