bencede
New member
Federal Bilgi Teknolojisi Ofisi, Chaos Computer Club'ın hastanın elektronik dosyası Federal Bilgi Teknolojisi Ofisi'nin başlamasından bir gün sonra keşfettiği ve bildirdiği bir tür güvenlik boşlukları sunuyor. Aralık ayında CAOS İletişim Kongresi'ne kamuya açıklanan saldırının aksine, mevcut dava hasta elektronik dosyalarına kitlesel erişimle doğrudan ilgili değildi. Bunun yerine, elektronik değiştirme sertifikasına (EEB) dijital erişilebilirliğin, hastaların bireysel dosyalarına erişim için gerekli olan tüm verileri almak için uygulamalar tarafından kullanılabileceği daha hedefli bir saldırı kullanmıştır.
CCC Çevre Güvenliği Araştırmacıları, Salı akşamı bu durumda BSI'ye aşina olan Cert Bund'a bilgi verdi. Operatör daha sonra dün EEB modülünü kapattı.
BSI artık riski uyarmıştı
Dün bilinen senaryonun değerlendirilmesinde BSI daha sonra “yüksek teknik engeller” üstlenir. Özellikle, sağlık sisteminden donanım ihtiyacı ve geçerli bir kimlik testi, keşif riskine neden olan bir engeldir. Bununla birlikte, soru da geçerlidir: “Saldırı senaryosu için gerekli hastanın ek bilgilerinin yapısal olarak yapısal olarak yeterince korunan bir şekilde korunup korunmadığı sorusu BSI sorumluluk alanı tarafından ortadan kaldırılıyor” diyor talep üzerine Bonn Otoritesi sözcüsü. BT Güvenlik Otoritesi de altını çizmektedir: “BSI, böyle bir potansiyel senaryo tarafından APA'ya yönelik mevcut bir kalıntı saldırı riskini vurguladı ve paydaşlarını APA'nın ulusal lansmanı hakkında bilgilendirdi”.
Bu nedenle BSI, hastanın elektronik dosya altyapısının operatörleri arasındaki sorumluluğu açıkça görüyor: “APA'nın ulusal lansmanına BSI ile birlikte güvenlik ekiplerimizin kesinlikle eşlik ettiği” dedi Gematik, ana hissedarı federal hükümet olan. Sosyal Kanun V ile ilgili düzenlemelere göre, Bilgi Teknolojisi Federal Ofisi teknik yönergelerin oluşturulmasında yer almaktadır.
BSI, APA'nın güvenliğini vermemelidir
Bununla birlikte, ne varsayılabileceğinin aksine, BSI ile üretilmesi gereken sadece bir “davranış” öngörülür. Gerçek testler veya onay yükümlülükleri yasal olarak “anlaşma” nın oluşturulmasıyla sağlanacaktır. Dolayısıyla BSI ayrıca operatördeki operatörü yasaklamalı veya gereksinimleri bağımsız olarak sıkılaştırmalıdır. 20 yıllık tartışmalardan sonra olası endişelere rağmen EPA'ya nihayet başlayacak güçlü siyasi irade sırasında, veri koruma yetkilileri veya BSI için bu fonlar hariç tutulmuştur.
Aralık ayında yapılan yapısal kırılganlığın ardından BSI, Federal Sağlık Bakanlığı tarafından bu şekilde bir güvenlik değerlendirmesi için talep edildi. BSI'ye göre bu, Bonn güvenlik uzmanları tarafından güncellenmeye devam edecek. Ancak, bu incelemeler mücevher için zorunlu değildir. BSI sözcüsü, “Güvenlik değerlendirmesi, tüm ortak dönüştürme önlemleri tamamlanırsa, elektronik hasta dosyasının yeterli çalışmasının garanti edildiğini göstermektedir.” Bununla birlikte, altyapının bir operatörü olarak Gematic ve teknik özelliklerin yaratıcısı uygulamadan sorumludur.
(Asla)
CCC Çevre Güvenliği Araştırmacıları, Salı akşamı bu durumda BSI'ye aşina olan Cert Bund'a bilgi verdi. Operatör daha sonra dün EEB modülünü kapattı.
BSI artık riski uyarmıştı
Dün bilinen senaryonun değerlendirilmesinde BSI daha sonra “yüksek teknik engeller” üstlenir. Özellikle, sağlık sisteminden donanım ihtiyacı ve geçerli bir kimlik testi, keşif riskine neden olan bir engeldir. Bununla birlikte, soru da geçerlidir: “Saldırı senaryosu için gerekli hastanın ek bilgilerinin yapısal olarak yapısal olarak yeterince korunan bir şekilde korunup korunmadığı sorusu BSI sorumluluk alanı tarafından ortadan kaldırılıyor” diyor talep üzerine Bonn Otoritesi sözcüsü. BT Güvenlik Otoritesi de altını çizmektedir: “BSI, böyle bir potansiyel senaryo tarafından APA'ya yönelik mevcut bir kalıntı saldırı riskini vurguladı ve paydaşlarını APA'nın ulusal lansmanı hakkında bilgilendirdi”.
Bu nedenle BSI, hastanın elektronik dosya altyapısının operatörleri arasındaki sorumluluğu açıkça görüyor: “APA'nın ulusal lansmanına BSI ile birlikte güvenlik ekiplerimizin kesinlikle eşlik ettiği” dedi Gematik, ana hissedarı federal hükümet olan. Sosyal Kanun V ile ilgili düzenlemelere göre, Bilgi Teknolojisi Federal Ofisi teknik yönergelerin oluşturulmasında yer almaktadır.
BSI, APA'nın güvenliğini vermemelidir
Bununla birlikte, ne varsayılabileceğinin aksine, BSI ile üretilmesi gereken sadece bir “davranış” öngörülür. Gerçek testler veya onay yükümlülükleri yasal olarak “anlaşma” nın oluşturulmasıyla sağlanacaktır. Dolayısıyla BSI ayrıca operatördeki operatörü yasaklamalı veya gereksinimleri bağımsız olarak sıkılaştırmalıdır. 20 yıllık tartışmalardan sonra olası endişelere rağmen EPA'ya nihayet başlayacak güçlü siyasi irade sırasında, veri koruma yetkilileri veya BSI için bu fonlar hariç tutulmuştur.
Aralık ayında yapılan yapısal kırılganlığın ardından BSI, Federal Sağlık Bakanlığı tarafından bu şekilde bir güvenlik değerlendirmesi için talep edildi. BSI'ye göre bu, Bonn güvenlik uzmanları tarafından güncellenmeye devam edecek. Ancak, bu incelemeler mücevher için zorunlu değildir. BSI sözcüsü, “Güvenlik değerlendirmesi, tüm ortak dönüştürme önlemleri tamamlanırsa, elektronik hasta dosyasının yeterli çalışmasının garanti edildiğini göstermektedir.” Bununla birlikte, altyapının bir operatörü olarak Gematic ve teknik özelliklerin yaratıcısı uygulamadan sorumludur.
(Asla)