Identyfikacja przez wideo (Videoident) jest obecnie wstrzymywana w kasach chorych. Tłem tego jest udany atak Chaos Computer Club (CCC), w którym udało się uzyskać dostęp do elektronicznej kartoteki pacjentów osoby badanej za pomocą zmanipulowanych dokumentów tożsamości. W obawie przed nadużyciem wrażliwych danych pacjentów, do których można było w ten sposób uzyskać dostęp, kasy chorych zablokowały obecnie wstępnie wszystkich dostawców Videoident, niezależnie od znanych luk w zabezpieczeniach.
Czy procedury Videoident są nadal bezpieczne pod względem bezpieczeństwa danych?
Gdzie stosuje się Videoident?
Do tej pory procedury wideoidentyfikacji były stosowane w wielu dziedzinach, w których możliwy jest dostęp online do wrażliwych danych. Przy rejestracji konta bankowego, kontroli kredytowej, umowach ubezpieczeniowych, kontroli usług car sharingu oraz w sektorze zdrowia procedura wideoident stanowi istotny element bezpieczeństwa danych cyfrowych.
Od 2021 roku dostęp do tzw. kartoteki e-pacjenta, a w międzyczasie także do e-recepty, jest możliwy za pośrednictwem procedury Videoident.
Jak Videoident może zostać zdublowany?
Na stronie Sprawozdanie KK badacze bezpieczeństwa wyjaśniają, jak "za pomocą oprogramowania open-source i odrobiny czerwonej farby akwarelowej udało im się oszukać sześć rozwiązań Videoident poprzez 'wideotechniczną rekombinację kilku dokumentów źródłowych' i oszukać pracowników lub oprogramowanie, aby myśleli, że są kimś innym". Ataki przeszły niezauważone.
WOŚP uzyskała w ten sposób dostęp do danych o stanie zdrowia osoby badanej. Było to możliwe przy niewielkiej wcześniejszej wiedzy, w krótkim czasie i przy niewielkim wysiłku. Z drugiej strony, ryzyko i wrażliwość tych danych są bardzo wysokie.
Nawet wykorzystanie sztucznej inteligencji w tym procesie nie eliminuje tej poważnej luki w zabezpieczeniach. Badacze ds. bezpieczeństwa stwierdzili: "Założenie, że nowoczesne procedury identyfikacji wideo mogą przezwyciężyć znane słabości "dzięki wykorzystaniu sztuczna inteligencjaw praktyce okazało się błędne.
Po co zatrzymywać wszystkie procedury Videoident?
W oparciu o ustalenia CCC, Gematik już przed opublikowaniem raportu zakazał stosowania jakichkolwiek procedur Videoident przez firmy ubezpieczeniowe ze względów bezpieczeństwa.
Stowarzyszenie branży IT Bitkom skrytykowało tę ogólną decyzję. Osoby, które muszą teraz zidentyfikować się w kasie chorych, są zmuszone do wyboru kanałów analogowych. Jest to "niepotrzebna przeszkoda na drodze do cyfrowa opieka zdrowotna zbudowany". Natychmiastowa identyfikacja za pomocą procedury Videoident jest "niezbędna do szybkiego, bezpiecznego i łatwego udostępniania usług cyfrowych". W związku z tym musi ona zostać natychmiast ponownie zatwierdzona przez zakłady ubezpieczeń zdrowotnych.
Z kolei CCC domaga się, "aby ta niebezpieczna technologia nie była już stosowana tam, gdzie istnieje wysoki potencjał szkód".
Oświadczenie Ministerstwa Zdrowia i Ministerstwa Spraw Wewnętrznych
Federalne Ministerstwo Zdrowia, podobnie jak Gematik, opowiedziało się za blokadą.
Federalne Ministerstwo Spraw Wewnętrznych określiło procedurę Videoident jako "technologię pomostową, która jest obecnie stosowana do zdalnej identyfikacji ze względu na jej penetrację rynku i dostępność". Czy i w jakim zakresie mogłaby być nadal stosowana, zostanie dokładnie zbadane.
Potrzebujesz wsparcia w zakresie Bezpieczeństwo czy ochrona danych? Nasz zespół ekspertów z przyjemnością Ci pomoże!
Polski 
Deutsch 
English 
Español 
Français