Niemcy: Hakerzy złamali zabezpieczenia elektronicznej dokumentacji pacjenta – poważne luki ujawnione

Elektryczna dokumentacja pacjenta (ePA) zagrożona

Pomimo zapewnień ministra zdrowia Karla Lauterbacha o wysokim poziomie bezpieczeństwa, elektroniczna dokumentacja pacjenta (ePA) w Niemczech nie spełnia obecnie wymaganych standardów ochrony danych. Jak informuje tygodnik „Spiegel”, członkowie Chaos Computer Club (CCC) z powodzeniem przełamali nawet nowe, dodatkowe mechanizmy zabezpieczające systemu ePA.

Hakerzy uzyskali dostęp do konkretnych akt medycznych

Etyczni hakerzy z CCC zademonstrowali, że możliwe jest uzyskanie dostępu do konkretnej dokumentacji medycznej pacjentów. Takie naruszenie oznacza, że system ePA nie spełnia podstawowych wymogów bezpieczeństwa, co może budzić poważne obawy wśród obywateli i użytkowników systemu zdrowia.

Reakcja ministra i działania naprawcze

Minister zdrowia Karl Lauterbach przyznał publicznie, że do naruszeń rzeczywiście doszło. W serwisie X (dawniej Twitter) napisał: „Na wczesnym etapie uruchamiania ePA należało liczyć się z takimi scenariuszami ataków. Jestem wdzięczny agencji Gematik za natychmiastową reakcję i usunięcie luki”. To właśnie Gematik – państwowa agencja odpowiedzialna za cyfryzację sektora zdrowia – odpowiada za techniczną implementację ePA. Jak podano, luka została szybko załatana.

Start ogólnokrajowy i planowane zmiany

System ePA został uruchomiony na całym terytorium Niemiec 30 kwietnia i obejmuje 73 miliony obywateli objętych ustawowym ubezpieczeniem zdrowotnym. Dokumentacja elektroniczna zawiera m.in. diagnozy, listy wypisowe, informacje o przyjmowanych lekach oraz inne dane zdrowotne.

Na początku korzystanie z ePA przez lekarzy, apteki i szpitale jest dobrowolne, jednak od 1 października 2025 r. ma stać się obowiązkowe. Pacjenci mogą nie wyrazić zgody na korzystanie z dokumentacji elektronicznej – całkowicie lub tylko w odniesieniu do wybranych funkcjonalności.

Problemy z bezpieczeństwem znane już wcześniej

To nie pierwsze ostrzeżenie dotyczące bezpieczeństwa ePA. Już pod koniec 2023 roku Chaos Computer Club wykazał, jak można uzyskać dostęp do danych pacjentów poprzez telematyczną infrastrukturę (TI), na której opiera się system. Hakerzy uzyskali wtedy autoryzację dzięki podrobionym kartom zdrowia i identyfikatorom placówek medycznych.

Te wcześniejsze ostrzeżenia były jednym z powodów opóźnienia pierwotnego harmonogramu wdrożenia ePA. Sam Lauterbach deklarował, że system zostanie wprowadzony dopiero wtedy, gdy nie będzie już możliwości ataku hakerskiego.

Minister zapewnia: zagrożenie masowymi atakami zostało zażegane

W kwietniu br. Karl Lauterbach zapewniał, że we współpracy z Federalnym Urzędem ds. Bezpieczeństwa Informacji (BSI) wdrożono dodatkowe mechanizmy ochronne, które mają uniemożliwić masowy wyciek danych. Według ministra, nie istnieje obecnie techniczna możliwość przeprowadzenia ataku, który pozwoliłby uzyskać szeroki dostęp do danych ubezpieczonych.

Jednak niedawne doniesienia CCC pokazują, że mimo tych zapewnień nadal istnieje ryzyko dostępu do wrażliwych danych, nawet jeśli w ograniczonym zakresie.

źródło: tagesschau.de