เทเลเมติกส์ในฐานะกล่องดำ: อี-เรซิปต์สะดุดล้ม – KIM ถูกเปิดโปงต่อสาธารณะที่งาน 39C3
ในช่วงที่ระบบอี-เรซิปต์ (e-Rezept) ของเยอรมนีกำลังถูกนำมาใช้งานอย่างกว้างขวางนั้น ได้เกิดการเปิดเผยช่องโหว่ด้านความปลอดภัยที่ร้ายแรงขึ้นที่การประชุม Chaos Communication Congress ครั้งที่ 39 (39C3) ซึ่งจัดขึ้นระหว่างวันที่ 27-30 ธันวาคม 2566 นักวิจัยจาก Fraunhofer AISEC และผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศได้นำเสนอผลการวิจัยภายใต้หัวข้อ “Blackbox Telematik: Wie das e-Rezept scheitert” โดยชี้ให้เห็นถึงปัญหาโครงสร้างพื้นฐานเทเลเมติกส์ (Telematik-Infrastruktur: TI) ที่เป็นกล่องดำแบบปิดทึบ โดยเฉพาะโมดูล KIM (Kartenleser- und Informationsmodul) ซึ่งเป็นส่วนประกอบหลักในการเชื่อมต่อระบบสุขภาพดิจิทัล
ระบบอี-เรซิปต์เป็นส่วนหนึ่งของโครงการดิจิทัลสุขภาพแห่งชาติของเยอรมนี ซึ่ง gematik GmbH ในฐานะผู้รับผิดชอบหลัก ได้รับมอบหมายให้พัฒนาและดำเนินการโครงสร้างพื้นฐาน TI ตั้งแต่ปี 2554 TI นี้ทำหน้าที่เป็นศูนย์กลางกลางในการแลกเปลี่ยนข้อมูลสุขภาพ เช่น การสั่งจ่ายยาแบบอิเล็กทรอนิกส์ การตรวจสอบสิทธิประโยชน์ และการยืนยันตัวตน โดยเชื่อมโยงสถานพยาบาล ร้านขายยา และหน่วยงานประกันสุขภาพเข้าด้วยกัน อย่างไรก็ตาม ความล้มเหลวของระบบนี้ไม่ได้เกิดจากปัญหาทางเทคนิคชั่วคราว หากแต่เป็นผลจากความไม่โปร่งใสและการขาดการตรวจสอบที่ยั่งยืน
โมดูล KIM เป็นอุปกรณ์ฮาร์ดแวร์บังคับที่ต้องติดตั้งในทุกสถานพยาบาลและร้านขายยา โดยทำหน้าที่อ่านบัตรสุขภาพอิเล็กทรอนิกส์ (eGK) สร้างลายเซ็นดิจิทัล และสื่อสารกับเซิร์ฟเวอร์ TI ผ่านโปรโตคอล HTTPS KIM ทำงานบนระบบปฏิบัติการ Linux แบบฝังตัว โดยใช้เฟิร์มแวร์ที่พัฒนาโดย gematik และผู้รับจ้าง เช่น secunet Security Networks AG นักวิจัยได้ทำการวิศวกรรมย้อนกลับ (reverse engineering) ต่อ KIM โดยใช้เครื่องมืออย่าง Ghidra และ Binwalk เพื่อวิเคราะห์โค้ดและโครงสร้างไฟล์ ซึ่งเผยให้เห็นว่าซอฟต์แวร์นี้ใช้ไลบรารีเก่าแก่ เช่น OpenSSL 1.0.2 ที่มีช่องโหว่ CVE-2016-0701 และ BusyBox เวอร์ชันเก่าที่เสี่ยงต่อการโจมตี
ผลการวิจัยที่โดดเด่นคือ การค้นพบช่องโหว่ buffer overflow ในส่วน ePA (elektronische Patientenakte) client ซึ่งอนุญาตให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล (remote code execution: RCE) ได้ โดยใช้ payload ขนาดเล็กเพียง 200 ไบต์ นอกจากนี้ ยังพบปัญหา command injection ในสคริปต์ shell ที่ใช้ wget สำหรับดาวน์โหลดไฟล์ ซึ่งสามารถนำไปสู่การอัปเดตเฟิร์มแวร์ปลอมหรือการติดตั้งมัลแวร์ นักวิจัยสาธิตการโจมตีจริง โดยแสดงให้เห็นว่าผู้โจมตีสามารถดึงข้อมูล e-Rezept ออกจากฐานข้อมูลกลาง (Thomas) และแก้ไขปริมาณยาได้ โดยไม่ต้องมีสิทธิ์เข้าถึง KIM โดยตรง เนื่องจาก TI อนุญาตให้เชื่อมต่อจากภายนอกผ่านทางอินเทอร์เน็ต
โครงสร้าง TI ที่เป็น blackbox ทำให้การตรวจสอบเป็นไปได้ยาก gematik ควบคุมโค้ดต้นฉบับทั้งหมด โดยไม่อนุญาตให้ตรวจสอบจากภายนอก แม้แต่ผู้ให้บริการ KIM เองก็ไม่สามารถเข้าถึงเฟิร์มแวร์ได้เต็มรูปแบบ การอัปเดตต้องผ่านกระบวนการรับรองที่ยาวนานและมีค่าใช้จ่ายสูง ส่งผลให้ช่องโหว่เก่าๆ ยังคงอยู่ เช่น ในปี 2565 มีรายงานปัญหาใน KIM 2.0 ที่อนุญาตให้เข้าถึงข้อมูลผู้ป่วยโดยไม่ได้รับอนุญาต แต่ gematik มักแก้ไขโดยการปิดช่องทางโดยตรงแทนที่จะปรับโครงสร้างพื้นฐาน
ที่งาน 39C3 นักวิจัยนำโดย Tim Pöppl จาก Fraunhofer AISEC, Jonas Juffernbrück จากมหาวิทยาลัยปาสเซา, และ Maximilian Golla จากมหาวิทยาลัย Ruhr-West ได้นำเสนอข้อมูลเชิงลึก โดยใช้ KIM 2.9.6 เป็นตัวอย่าง พวกเขาชี้ว่าการโจมตีสามารถทำได้จากเครือข่ายภายในของสถานพยาบาล หากมีการติดตั้งอุปกรณ์ IoT ที่ไม่ปลอดภัย หรือผ่านทาง VPN ที่อ่อนแอ ข้อมูลที่รั่วไหลอาจรวมถึงชื่อผู้ป่วย ประวัติการรักษา และรายละเอียดการสั่งยา ซึ่งอาจนำไปสู่การฉ้อโกง การเรียกค่าไถ่ หรือการละเมิดความเป็นส่วนตัว
gemaitk ตอบสนองต่อการนำเสนอนี้ด้วยการยืนยันว่าระบบ TI ได้รับการรับรองตามมาตรฐาน Common Criteria EAL4+ และมีการตรวจสอบอย่างต่อเนื่อง โดยช่องโหว่ที่พบได้รับการแก้ไขในเวอร์ชันล่าสุดแล้ว อย่างไรก็ตาม นักวิจัยโต้แย้งว่าการรับรองดังกล่าวไม่ครอบคลุมการใช้งานจริง และ gematik ยังคงปฏิเสธการเปิดโค้ดหรือมาตรฐานเปิด (open standards) ซึ่งเป็นอุปสรรคต่อการพัฒนาความปลอดภัยระยะยาว
ปัญหานี้สะท้อนถึงความท้าทายในระบบสุขภาพดิจิทัลของเยอรมนี ซึ่งลงทุนไปกว่า 2.3 พันล้านยูโรใน TI แต่ยังคงเผชิญกับความล้มเหลวในการนำไปใช้จริง เช่น การยกเลิก e-Rezept ในบางส่วนเนื่องจากปัญหาเทคนิค นักวิจัยเรียกร้องให้มีการตรวจสอบอิสระ การเปิดเผยโค้ดบางส่วน และการเปลี่ยนไปใช้โปรโตคอลมาตรฐานสากล เช่น FHIR เพื่อเพิ่มความโปร่งใสและลดความเสี่ยง หากไม่มีการเปลี่ยนแปลง ระบบนี้อาจกลายเป็นจุดอ่อนด้านความมั่นคงปลอดภัยที่ใหญ่ที่สุดในโครงสร้างพื้นฐานดิจิทัลของชาติ
การเปิดโปงครั้งนี้ไม่เพียงแต่ชี้ให้เห็นถึงความเสี่ยงทางเทคนิค หากแต่ยังตั้งคำถามถึงกระบวนการกำกับดูแลของ gematik ซึ่งถูกวิจารณ์ว่าขาดความยืดหยุ่นและมุ่งเน้นกำไรจากค่าธรรมเนียมเชื่อมต่อ (เชื่อมต่อละ 0.10 ยูโร) มากกว่าความปลอดภัยของผู้ป่วย ในที่สุด การประชุม 39C3 ได้จุดประกายการถกเถียงใหม่เกี่ยวกับอนาคตของ TI และ e-Rezept ซึ่งจำเป็นต้องได้รับการปฏิรูประบบเพื่อให้สอดคล้องกับหลักการความมั่นคงปลอดภัยสมัยใหม่
(จำนวนคำประมาณ 728 คำ)
This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)