Dijital sağlık altyapısı her zaman sürprizlerle doludur. Münster’deki Fraunhofer Güvenli Bilgi Teknolojileri Enstitüsü’nden (SIT) Münster güvenlik araştırmacıları Christoph Saatjohann ve Sebastian Schinzel, Hamburg’daki Kaos İletişim Kongresi’nde (37C3) bir şeyin ne kadar çabuk temelden ters gidebileceğini gösterdiler: Sekiz sağlık sigortası şirketinde tıpta iletişim hizmeti (KIM).
Reklamcılık
KIM, sağlıkla ilgilenen kişiler için teorik olarak daha güvenli bir e-posta hizmetidir. Her katılımcı, önemli belgeler için uçtan uca şifrelemeyi etkinleştirmek üzere kendi S/MIME sertifikalarını alır. X.509 sertifikası sayesinde doktorlar, sağlık sigorta şirketleri ve diğerleri birbirleriyle güvenli bir şekilde iletişim kurabilir. Özellikle Alman sağlık sisteminde de rol oynayan şirketlere ait, yalnızca KIM’e özel çeşitli sertifikasyon kuruluşları (CA’lar) bulunmaktadır. Hamburg’daki 37. Kaos İletişim Kongresi’nde Münster Uygulamalı Bilimler Üniversitesi’nden Sebastian Schinzel, “Aslında KIM o kadar da kötü çalışmıyor” dedi. Örneğin “özel elektronik avukat posta kutusu”ndan çok daha yüksek bir standarta sahiptir.
Araştırmacılar neden hala KIM’den “telematik altyapısındaki kaos” olarak söz ediyor? Yıllardır KIM ile çalışıyorlar ve e-posta tam metin günlüğü yazılım modülleri ve kullanılan standartlardaki güvenlik açıkları konusunda sorunlar bulmaya devam ediyorlar.
Aynı anahtarlara sahip sağlık sigortası şirketleri
Güvenlik araştırmacılarının şimdi ortaya koyduğu şey büyük bir uygulama hatasıydı. Hizmet sağlayıcılar aynı S/MIME anahtarlarını toplam sekiz sağlık sigortası şirketine verdi. Bu, ilgili kişiler arasındaki şifrelemeyi ortadan kaldırdı ve ilgili kişilerin her biri, aynı anahtarla diğer sağlık sigortası şirketlerine mesajlar imzalayabilirdi. Schinzel, “Bu, PKI’daki (genel anahtar altyapısı) en kötü senaryodur” diye açıkladı. Güvenlik araştırmacılarına göre, Eylül 2021’de üç sağlık sigortası şirketi aynı anahtara sahipti ve ikinci bir anahtarda beş tane vardı. Vatandaşların yüzde 28’i bu sekiz sağlık sigortası şirketi aracılığıyla sigortalı oldu. Araştırmacılara göre her durumda aynı donanım güvenlik modülü (HSM) kullanıldı, ancak yeni bir anahtar oluşturulmadı.
Saatjohann ve Schinzel, çoğunluğu federal hükümete ait olan ve sistemin güvenliğini sağlamayı amaçlayan sağlık kartına (Gematik) yönelik telematik uygulamaları için şirketle iletişime geçti. “Sorumlu Açıklama” sürecinin bir parçası olarak bulgularını, artık ikisini web sitelerinde “Güvenlik Kahramanları” olarak listeleyen Gematik’e sundular. Etkilenen anahtarlar geri çekildi ve teknik özellikler ayarlandı. O zamandan beri, anahtarlar kopya olup olmadığına dair aylık olarak kontrol ediliyor.
Log4J güvenlik açığı
2022’de araştırmacılar ayrıca T-Systems’in KIM istemci modülünde bir Log4J güvenlik açığı buldu. Ancak bir güncelleme olduğunda etkilenenlere bilgi verilmedi. İzleyicilerden otomatik güncellemelerin eksikliğine ilişkin sorular da vardı. Güncellemelerdeki bilgi eksiklikleri ve yazılım üreticilerinin (örneğin sağlık sigortası şirketleri, Federal Sağlık Bakanlığı, Gematik veya doktorlar) gerekli güvenlik güncellemelerinin maliyetlerini kimin karşılayacağına ilişkin netlik eksikliği de sorunludur. dikkate alınan.
(mack)
Haberin Sonu
Reklamcılık
KIM, sağlıkla ilgilenen kişiler için teorik olarak daha güvenli bir e-posta hizmetidir. Her katılımcı, önemli belgeler için uçtan uca şifrelemeyi etkinleştirmek üzere kendi S/MIME sertifikalarını alır. X.509 sertifikası sayesinde doktorlar, sağlık sigorta şirketleri ve diğerleri birbirleriyle güvenli bir şekilde iletişim kurabilir. Özellikle Alman sağlık sisteminde de rol oynayan şirketlere ait, yalnızca KIM’e özel çeşitli sertifikasyon kuruluşları (CA’lar) bulunmaktadır. Hamburg’daki 37. Kaos İletişim Kongresi’nde Münster Uygulamalı Bilimler Üniversitesi’nden Sebastian Schinzel, “Aslında KIM o kadar da kötü çalışmıyor” dedi. Örneğin “özel elektronik avukat posta kutusu”ndan çok daha yüksek bir standarta sahiptir.
Araştırmacılar neden hala KIM’den “telematik altyapısındaki kaos” olarak söz ediyor? Yıllardır KIM ile çalışıyorlar ve e-posta tam metin günlüğü yazılım modülleri ve kullanılan standartlardaki güvenlik açıkları konusunda sorunlar bulmaya devam ediyorlar.
Aynı anahtarlara sahip sağlık sigortası şirketleri
Güvenlik araştırmacılarının şimdi ortaya koyduğu şey büyük bir uygulama hatasıydı. Hizmet sağlayıcılar aynı S/MIME anahtarlarını toplam sekiz sağlık sigortası şirketine verdi. Bu, ilgili kişiler arasındaki şifrelemeyi ortadan kaldırdı ve ilgili kişilerin her biri, aynı anahtarla diğer sağlık sigortası şirketlerine mesajlar imzalayabilirdi. Schinzel, “Bu, PKI’daki (genel anahtar altyapısı) en kötü senaryodur” diye açıkladı. Güvenlik araştırmacılarına göre, Eylül 2021’de üç sağlık sigortası şirketi aynı anahtara sahipti ve ikinci bir anahtarda beş tane vardı. Vatandaşların yüzde 28’i bu sekiz sağlık sigortası şirketi aracılığıyla sigortalı oldu. Araştırmacılara göre her durumda aynı donanım güvenlik modülü (HSM) kullanıldı, ancak yeni bir anahtar oluşturulmadı.
Saatjohann ve Schinzel, çoğunluğu federal hükümete ait olan ve sistemin güvenliğini sağlamayı amaçlayan sağlık kartına (Gematik) yönelik telematik uygulamaları için şirketle iletişime geçti. “Sorumlu Açıklama” sürecinin bir parçası olarak bulgularını, artık ikisini web sitelerinde “Güvenlik Kahramanları” olarak listeleyen Gematik’e sundular. Etkilenen anahtarlar geri çekildi ve teknik özellikler ayarlandı. O zamandan beri, anahtarlar kopya olup olmadığına dair aylık olarak kontrol ediliyor.
Log4J güvenlik açığı
2022’de araştırmacılar ayrıca T-Systems’in KIM istemci modülünde bir Log4J güvenlik açığı buldu. Ancak bir güncelleme olduğunda etkilenenlere bilgi verilmedi. İzleyicilerden otomatik güncellemelerin eksikliğine ilişkin sorular da vardı. Güncellemelerdeki bilgi eksiklikleri ve yazılım üreticilerinin (örneğin sağlık sigortası şirketleri, Federal Sağlık Bakanlığı, Gematik veya doktorlar) gerekli güvenlik güncellemelerinin maliyetlerini kimin karşılayacağına ilişkin netlik eksikliği de sorunludur. dikkate alınan.
(mack)
Haberin Sonu