Digitalisasi sistem layanan kesehatan bukan hanya soal teknologi – setidaknya sejak peretas membobol jaringan file elektronik pasien.
Reaksi terhadap file pasien elektronik: Peretas dari Chaos Computer Club (CCC) berhasil mendapatkan hak akses ke apa yang disebut jaringan telematika. Lebih dari 115.000 praktik medis dan gigi terhubung. Mulai tahun 2021, data pasien digital dan resep elektronik akan dipertukarkan melalui sistem.
Hal ini memalukan bagi perusahaan yang bertanggung jawab atas aplikasi telematika untuk kartu sehat (Gematik) dan merupakan langkah mundur menuju sistem layanan kesehatan digital. Perusahaan Gematik dengan “300 karyawan berkualifikasi tinggi” (potret diri di Situs web), yang sahamnya kini dimiliki oleh Kementerian Kesehatan Federal, telah mengerjakan proyek tersebut sejak tahun 2005. Misinya adalah mengembangkan infrastruktur telematika dari sistem layanan kesehatan digital dengan grafik kesehatan, catatan pasien, dan infrastruktur terkait. Asosiasi terkemuka di sektor kesehatan memegang saham lebih lanjut.
Kelompok terakhir ini memegang mayoritas hingga tahun 2019, dan saling menghalangi satu sama lain karena, tergantung situasinya, mereka tidak menginginkan kartu kesehatan atau berkas pasien dan cenderung menentang digitalisasi. Mereka akhirnya dilemahkan oleh hukum oleh Menteri Kesehatan Jens Spahn, yang tidak ingin lagi melihat keragu-raguan dalam kubur bernilai jutaan dolar. Tidak ada angka keuangan resmi. Menurut salah satu sumber, biaya Gematik saja akan mencapai 606 juta euro pada tahun 2017 Laporan Kantor Audit Federal. Di Koran Jerman Selatan Bahkan dilaporkan bernilai dua miliar euro.
Kartu chip di toko keju
Salah satu keuntungan dari catatan pasien adalah ketersediaan data kesehatan. Pasien tidak perlu lagi membawa foto rontgen dan catatan dokter ke dokter yang merujuk. File tersebut memungkinkan dokter mendapatkan gambaran komprehensif tentang pasien dan melihat temuan serta pengobatan rekan perawatan lainnya – asalkan pasien menyetujui data yang diteruskan. Selain itu, data yang disimpan dalam file dapat digunakan secara anonim untuk analisis data besar. Keuntungan bagi perusahaan asuransi adalah biayanya karena pemeriksaan duplikat tidak lagi diperlukan.
Perlindungan data disebut-sebut sebagai kelemahan file tersebut. Seperti yang ditunjukkan oleh kasus saat ini, selalu ada risiko data kesehatan yang disimpan jatuh ke tangan yang salah. Pakar keamanan CCC Martin Tschirsich, bersama dengan dokter Christian Brodowski dan pakar manajemen identitas André Zilch, berhasil memperoleh kartu profesional medis, kartu praktik, kartu tautan, dan kartu kesehatan yang valid berdasarkan identitas pihak ketiga.
Baca juga
Tidak diperlukan pengetahuan komputer khusus. Mereka cukup memasukkan kartu chip dokter, yang memungkinkan akses ke jaringan data, menjadi satu Minta toko keju mengirimkannya kepada Andaseperti yang ditulis SZ.
Cacat dalam proses akses
Menurut CCC, para peretas kemudian dapat menggunakan identitas ini untuk mendapatkan akses ke aplikasi di infrastruktur telematika dan data kesehatan orang yang diasuransikan. Mereka mengidentifikasi kelemahan besar dalam proses akses dan menggunakan contoh serangan untuk menunjukkan bagaimana penjahat dapat mencuri identitas. Dalam kasus kartu sehat elektronik (eHC), hal ini kembali tercapai.
CCC mengidentifikasi kelalaian, kurangnya audit dan “pembagian tanggung jawab antara perusahaan dan lembaga yang terlibat” sebagai penyebabnya. Tampaknya bukan temuan baru, seperti yang dicatat oleh profesor Charité dan pakar IT kesehatan, Sylvia Thun di Twitter:
Saya bekerja dengan Zilch di DIMDI/BMG pada tahun 2004. Kami telah menunjukkan kurangnya mekanisme otentikasi eGK dan kartu identitas dokter, serta kurangnya konsep hak/peran dokter. Belum lagi kurangnya interoperabilitas.
— Sylvia Thun (@ProfThun) 27 Desember 2019
Ketika Gründerszene bertanya, Kementerian Kesehatan Federal sangat marah atas peretasan file pasien. Seorang juru bicara menjelaskan: “Kelemahan dalam penerbitan kartu profesional dan praktik medis tidak dapat diterima.”
Berkas pasien masih tepat waktu?
Seperti yang juga dikatakan oleh kementerian, pada awal Januari, Gematik akan bekerja sama dengan penerbit kartu, yaitu Asosiasi Dokter Asuransi Kesehatan Wajib Nasional, asosiasi medis, dan lainnya, untuk menentukan bagaimana proses tersebut dapat dibuat lebih aman. “Kami tidak menerima bahwa hal ini akan menunda dimulainya pencatatan pasien secara elektronik,” lanjut kementerian.
Asosiasi payung perusahaan asuransi kesehatan wajib (SHI) memandang peretasan tersebut “dengan rasa prihatin”, seperti yang dikatakan juru bicara SHI, Florian Lanz. “Karena kepercayaan terhadap infrastruktur telematika merupakan aset yang berharga. “Untungnya, kekurangan tersebut teridentifikasi begitu dini sehingga data orang yang diasuransikan tidak dan tidak berisiko,” jelas Lanz.
Skeptisisme masih ada: Gematik pertama kali menyatakan pada bulan November: “Infrastruktur telematika aman“. Seperti yang kita ketahui sekarang, hal ini tidak benar. Selain biaya proyek digitalisasi yang sangat mahal, dampak terbesarnya adalah hilangnya kepercayaan terhadap data pasien – baik dari pasien, yang mengkhawatirkan keamanan data kesehatan sensitif mereka, maupun dari pihak profesi medis yang lebih memilih untuk melakukan hal tersebut. untuk tetap menggunakan file gantung yang penuh dengan catatan tulisan tangan.
Iklan lowongan kerja Gematik kemarin, Kamis, bukannya tanpa ironi sehubungan dengan peretasan tersebut:
Tahun Baru! Tantangan baru? Itu #gematik sedang mencari pakar TI untuk digitalisasi sistem layanan kesehatan. https://t.co/q46Yb309y0 pic.twitter.com/1Djf0EVLDn
— gematik (@gematik1) 2 Januari 2020
Baca juga
