Elektroniczna dokumentacja medyczna: Kradzież danych przez hakerów nadal możliwa

Berlin/Hanower. Na krótko przed przełomem roku 2024/25 spokój wśród osób odpowiedzialnych za elektroniczną dokumentację medyczną (ePA) gwałtownie się załamał: hakerzy z Chaos Computer Club (CCC) zademonstrowali na dorocznej konferencji klubu, jak można zhakować nowy system cyfrowy – w sposób umożliwiający potencjalnie dostęp do milionów dokumentacji. W rezultacie wprowadzenie ePA zostało początkowo przełożone, a około pięć procent ubezpieczonych początkowo sprzeciwiło się jego stosowaniu.

Elektroniczna Dokumentacja Pacjenta (ePA) została oficjalnie wprowadzona – i od 1 października jest obowiązkowa dla pracowników służby zdrowia. W ostatnich miesiącach wprowadzono również znaczące ulepszenia w zakresie bezpieczeństwa: Gematik, federalna agencja medycyny cyfrowej, wprowadziła szereg udoskonaleń w odpowiedzi na raporty Chaos Computer Club (CCC). Hackowanie ePA jest dziś trudniejsze, ale nie niemożliwe.

Eksperci IT z CCC krytykują jeden szczegół, który nadal sprawia, że ​​nowo wprowadzone narzędzie jest podatne na ataki. Według Gematika, rozwiązanie jest już w zasięgu wzroku – ale najwcześniej w przyszłym roku.

Nareszcie jest: elektroniczna dokumentacja medyczna już działa. Wielu pacjentów wciąż jednak ma wątpliwości: Jak uzyskać do niej dostęp? Kto decyduje, kto i co może zobaczyć? I: Jak bezpieczne są wrażliwe dane?

Aby zrozumieć problem, należy zrozumieć, jak działa elektroniczna dokumentacja pacjenta (ePA). Obecnie każdy, kto chce uzyskać dostęp do dokumentacji pacjenta, potrzebuje legitymacji lekarskiej – a po drugie, pełnych danych pacjenta. Konkretnie: numeru karty, numeru ubezpieczenia zdrowotnego, adresu i daty rozpoczęcia ubezpieczenia. Gematik już się tym zajął: dotychczasowa kombinacja numeru karty i numeru ubezpieczenia zdrowotnego nie jest już wystarczająca do uzyskania dostępu. Co więcej, po krytyce ze strony Chaos Computer Club (CCC), twórcy ograniczyli liczbę możliwych dostępów.

Przeszkody w ataku stały się zatem znacznie wyższe, ale nie nie do pokonania. Dane, takie jak adresy, mogą potencjalnie zostać uzyskane poprzez wycieki danych , a inne informacje poprzez phishing. Podczas dorocznej konferencji CCC specjaliści IT Bianca Kastl i Martin Tschirsich zaprezentowali również, jak uzyskali karty ubezpieczenia zdrowotnego, dzwoniąc do firm ubezpieczeniowych – a nawet legitymacje lekarskie, wykorzystując lukę w zabezpieczeniach. W kwietniu hakerzy ponownie zademonstrowali, jak można zaatakować elektroniczną dokumentację medyczną (ePA) za pomocą tzw. procedury certyfikatu zastępczego. Firma Gematik również wyeliminowała tę lukę w zabezpieczeniach.

Jednak to wciąż nie jest w pełni satysfakcjonujące dla hakerów: sposób, w jaki agencja radzi sobie z lukami w zabezpieczeniach, jest „zdecydowanie ulepszony”, powiedział Kastl w wywiadzie dla RedaktionsNetzwerk Deutschland (RND). Aby skutecznie zminimalizować ryzyko, ekspert IT chciałby, aby wdrożono bardzo szczegółową procedurę dla elektronicznej dokumentacji medycznej (ePA).

Każda osoba objęta ustawowym ubezpieczeniem zdrowotnym może odczytywać i zarządzać swoją elektroniczną dokumentacją medyczną na swoim smartfonie. Jednak niewielu faktycznie to robi. Ważne jest jednak, aby na przykład zabezpieczyć poufne dokumenty.

„Obecnie do dostępu do elektronicznej dokumentacji pacjenta (ePA) potrzeba jedynie wielu informacji: numerów kart, numerów ubezpieczenia zdrowotnego, adresu oraz daty rozpoczęcia ubezpieczenia” – wyjaśnia Kastl. „Problem można by rozwiązać, odczytując wyłącznie podpisane, autentyczne dane z karty ubezpieczenia zdrowotnego. Umożliwiłoby to kryptograficzną weryfikację bez cienia wątpliwości, że karta wydana przez towarzystwo ubezpieczeniowe jest rzeczywiście odczytywana – bezpieczna technologia istnieje zatem od jakiegoś czasu, ale nie została jeszcze wykorzystana w ePA”.

Według Gematika, dokładnie taka procedura jest planowana na przyszły rok, o czym agencja poinformowała RND. Planowana jest procedura „Potwierdzenia Obecności Pacjenta” (PoPP). Zapytana o propozycję CCC dotyczącą cyfrowego podpisu kryptograficznego, agencja odpowiedziała: „Tak, taka procedura jest planowana w ramach PoPP”. Jest ona jednak nadal w fazie rozwoju, dlatego nie można podać szczegółów.

Technicznie rzecz biorąc, proces powinien przebiegać następująco: pacjent wkłada swoją kartę ubezpieczenia zdrowotnego do urządzenia w gabinecie lekarskim, tak jak poprzednio. Jednak zamiast po prostu odczytać dane z karty, w tle działa proces „wyzwanie-odpowiedź”. Usługa PoPP – część systemu bezpieczeństwa – generuje losową liczbę i przesyła ją do karty ubezpieczenia zdrowotnego. Karta szyfruje numer i odsyła wynik. Tylko jeśli losowa liczba została poprawnie zaszyfrowana, karta jest autentyczna i fizycznie obecna. Władze początkowo nie określiły dokładnej daty rozpoczęcia jej funkcjonowania na rok 2026.

Do tego czasu istnieje przynajmniej szczątkowe ryzyko. Eksperci IT wielokrotnie wskazują na zagrożenia wynikające z niewystarczających procedur uwierzytelniania w ramach elektronicznej dokumentacji medycznej (EPA). Kastl przytacza przykład z Singapuru: „W 2018 roku uzyskano tam dostęp do danych medycznych 1,5 miliona osób . Celem była również lista leków premiera”. Dane o takiej wrażliwości sprawiają, że takie wycieki „stanowią zagrożenie dla całych państw”, ponieważ umożliwiają ataki na inną infrastrukturę krytyczną lub polityków, wyjaśnia ekspert.

Kastl jako kolejny przykład podaje naruszenie cyberbezpieczeństwa w firmie Bitmarck, dostawcy usług informatycznych dla ustawowych towarzystw ubezpieczeń zdrowotnych i dostawcy elektronicznej dokumentacji pacjenta (ePA) w 2023 roku. W wyniku tego naruszenia doszło do wycieku danych, takich jak imiona i nazwiska, daty urodzenia oraz unikalny numer karty ubezpieczeniowej, należących do około 300 000 klientów online różnych towarzystw ubezpieczeń zdrowotnych. Eksperci IT wskazali wówczas również na niewystarczające uwierzytelnianie jako jedną z przyczyn naruszenia .

Dla osób prywatnych takie ataki mogą mieć poważne konsekwencje. W Danii, kraju o znacznie bardziej cyfrowej infrastrukturze, sprawcy uzyskali dostęp do najbardziej osobistych informacji dziesiątek tysięcy pacjentów za pośrednictwem konsorcjum praktyk medycznych, w tym do dokumentacji medycznej. Allan Frank, specjalista ds. bezpieczeństwa IT w Duńskiej Agencji Ochrony Danych, powiedział wówczas RND , że takie poufne dane mogą zostać wykorzystane do prób szantażu – w końcu niewielu poszkodowanych chciałoby, aby ich leczenie zostało upublicznione.

W Niemczech większość pacjentów najwyraźniej czuje się bezpiecznie korzystając z elektronicznej dokumentacji medycznej (ePA) – pomimo jej wad. Kilka tygodni temu firma Gematik opublikowała zaktualizowane dane dotyczące wykorzystania. Dane te wykazały dalszy wzrost w ciągu pierwszych czterech tygodni, w których placówki medyczne, apteki i szpitale miały korzystać z ePA dla wszystkich.

W ostatnim tygodniu października zarejestrowano 17,4 miliona wniosków o listy leków. W ostatnim tygodniu września liczba ta wyniosła 12,6 miliona. Populacja dokumentacji medycznej również rośnie: w samym październiku przesłano 10,6 miliona dokumentów. Łączna liczba wniosków od momentu uruchomienia elektronicznej dokumentacji medycznej (ePA) wynosi 37 milionów.

Odsetek osób, które sprzeciwiły się elektronicznej dokumentacji medycznej (ePA), pozostaje stosunkowo niski. Jak poinformował portal RND News Krajowy Związek Kas Chorych (GKV-Spitzenverband), wskaźnik sprzeciwu utrzymuje się na poziomie około pięciu procent.