Siber korsanlar ‘sağlığımızı’ tehdit ediyor!

Siber korsanlar ‘sağlığımızı’ tehdit ediyor!

Birçok sektörü hedef alan ve veri sızıntılarına neden olan siber saldırılar, sağlık sektörünü de tehdit altına alıyor. Son dönemde çok daha fazla gündeme gelen sağlık verilerinin ihlali, kişiye özel ve kritik olan bu bilgilerin güvenliği noktasında yeni adımların gerekliliğini de beraberinde getiriyor.
Derya COŞKUN SAYIN
Genel olarak finans, bankacılık sektöründe ortaya çıkan siber saldırılar günümüz itibariyle sağlık sektörünü de tehdit ediyor. Özellikle geçtiğimiz ay İngiltere’de meydana gelen ve sağlık sistemini hedef alan Wanna Cry virüsü, sağlık alanında güvenliğin önceliklerden bir olduğunu ortaya koyuyor. Bunun yanında, bilişim teknolojilerinin sektördeki etkin kullanımının; yakın vadede verimliliği artırması beklenirken, aynı zamanda veri ihlallerine de açık kapı bırakması öngörüler arasında… Peki, bu alandaki veri ihlalleri neden kaynaklanıyor ve nasıl önüne geçilecek? Sağlık sektörünün IT liderleri konuyu CIO Dergisi için değerlendirdi…

Veri sızdırma değil, verileri etkisiz hale getirme amaçlı saldırılar için, yedeklerin güvenilirliği kontrol edilmeli
AstraZeneca Türkiye Bilgi Teknolojileri Müdürü Tuna Taş, sağlık sektörünün finansal büyüklük açısından kamu, perakende ve finans sektörleri ile beraber önde gelen sektörlerden biri olduğunu hatırlatırken, “Bu durum da ister istemez sektörü, siber ataklar için doğal bir hedef haline getiriyor. Dünyada siber ataklar çoğunlukla, sektör paydaşlarında tutulan hastalara ait veriler için oluyor. Bu veriler hastalara ait ad, soyad, doğum tarihi, kimlik numarası, çeşitli muayene sonuçları ve tetkik değerleri olabileceği gibi, ne zaman hangi ameliyatı geçirdiğine, hangi ilacı kullandığına dair bilgiler de olabilmektedir. Bu bilgilerin hasta için ömür boyu değiştirilemeyecek olması ve maddi değerinin çalıntı bir kredi kartı numarasına göre neredeyse 10 kat daha fazla olduğu düşünüldüğünde neden cazip bir hedef olduğu daha net anlaşılabilir” diyor. Sektördeki Ar-Ge faaliyetleri, klinik araştırmalar, ruhsat ve geri ödeme süreçlerinin çok maliyetli süreçlerle birlikte çok değerli verileri de içerdiğini kaydeden Taş, “Türkiye’de kullanımda olan 2D Barkod verisi tüm sektöre ait ilaç alış/ satış verilerini içermektedir. Buradaki veriler de ticari rekabet için belirleyici olduğundan son dönemde sağlık sektöründeki siber atakların sayısı arttı” diye konuşuyor. Tuna Taş şöyle devam ediyor: “Sağlık sektörü, önceliğinde her zaman insan sağlığı olduğu için aslında çok regüle bir sektör. Fakat bu regülasyon, son zamanlara kadar kurumların güvenlik politikaları için bir temel teşkil etmemekteydi. Ancak artan saldırılar sonucu, firmaların uğradıkları zararlar göz önüne alındığında, firmalar artık bilgi teknolojileri güvenlik politikalarını bir masraf merkezi olarak değil, sıfır risk alınacak bir nokta olarak görmeye başladılar. Bu önemli sorunun önüne geçmek adına, öncelikli olarak kurumların bilgi güvenliği prosedürünün belirlenmiş olması ve bu prosedürde belirtilenlerin harfiyen uygulanması gerekmektedir. Kurumda internet trafiğini denetleyecek kurumsal bir güvenlik duvarı olmalıdır. Günümüzde artık çoğu firma ‘Kendi Cihazını Kendin Getir’ konsepti ile çalıştığı için, ağa bağlı tüm cihazlar için uçtan uca entegre bir savunma platformu kullanılmalı. Özellikle veri sızdırma değil de, verileri etkisiz hale getirme amaçlı saldırılar için, alınan yedeklerin güvenilirliği mutlaka kontrol edilmelidir. Kurumlar her ne kadar tüm güvenlik önlemlerini alsalar da öncelikle içerideki en kolay sızma noktası hedef seçilmektedir. O da kurum çalışanlarıdır. Bu yüzden kurum çalışanları periyodik eğitim ve duyurularla konu hakkında (güvenli şifre seçimleri, temiz masa politikası, yazılımların güncel sürümlerini yükleme vb… ) bilgilendirilmelidir. 12 Mayıs’ta global çapta yaşadığımız siber saldırı maalesef Microsoft’un, ilgili güncellemeyi iki ay kadar önce kritik önemde çıkarmış olmasına rağmen Avrupa’da binlerce sistemi etkileyebilmiştir.”

IoT sayesinde geleceğin teknolojisinin günümüz imkânları ile tasarlanmaya çalışıldığını, bu yüzden de maliyet unsurunun ortaya çıktığını dile getiren Taş, “Buna bir de tasarlanan sistemlerin yeşil dostu ve güvenli olması için alınması gereken önlemleri eklerseniz maliyetli bir yapı ile karşı karşıya kalıyoruz. Bu maliyet farkını, bugün cep telefonunuzdan ‘çalış’ komutu verdiğiniz bir çamaşır makinesi için ya da yılda kaç litre parlatıcı harcayacağını hesap eden bir bulaşık makinesi için ödemek zorunda değilsiniz, çünkü bu alabileceğiniz bir risktir; fakat hastalarınızın cep telefonundaki uygulama ile hangi ilacı kaç kere aldığı ya da vücudunda taşıdığı giyilebilir bir teknoloji ile size periyodik ya da durumsal gönderdiği veriler ve bunlara istinaden ilgili aksiyonların alındığı platformlar için bu maliyete katlanmak zorunda kalırsınız” şeklinde konuşuyor.
Sağlık alanında silinmesi talep edilen verilerin istenildiği durumlarda kamu yararına kullanılması için arşivlenmesi, bu verilerin güvenliği ve gizliliğini ne oranda etkileyeceğini sorduğumuz Tuna Taş, “Ülkemizde, Kişisel Verilerin Korunması Kanunu’nun kabulünden sonra bu tip uygulamaların hukuksal zeminde kurallara bağlandığı bir gerçek. Kanun her ne kadar yeni olsa da artık çerçeve bellidir, kişisel verinin tanımı, nasıl kayıt edilmesi gerektiği, kim tarafından ve nasıl kullanılması gerektiği belirtilmiştir. Lakin güvenliğinin sağlanması ve denetlenme, takip, sorgulama imkânlarının oluşturulması konusunda yasal ve teknolojik düzenlemelerin yapılması zorunluluğu ortaya çıkmaktadır ki bu da emek isteyen bir süreç. En azından bu ara dönemde hasta bilgilerini arşivleyecek paydaşların hastaları doğru bir şekilde bilgilendirmesi, hastalardan konu ile alakalı onam alması, arşivlenecek verilerin anonim hale getirilerek hasta mahremiyetinin korunması ve uygun, güvenli veri arşivleme yöntemlerini kullanması ile alınan risk daha aşağı bir düzeye çekilecektir” diyor.

Yapılan süreç iyileştirmeleri ve teknolojik dönüşüm güvenlik boyutuyla paralel gitmiyor
Kolan Hastanesi Bilgi Sistemleri Direktörü Fatih Aydın ise, siber tehditlerin son dönemde sağlık sektörünü daha fazla hedef almasıyla ilgili olarak, sağlık verisindeki değişmez ve değerli bilgilerin fazlalığını göstererek, “Kişiler en mahrem detaylarını sağlık hizmeti alırken vermektedir ve bu detaylar özellikle hedef alınıyor. Sağlık hizmet sunumundaki kolaylaştırıcı yaptırımlar ve hızlı gelişim, paralelinde, sağlık otomasyonlarında da veri ihlallerini kolaylaştırıyor. Yapılan her geliştirme, süreç iyileştirmesi ya da teknolojik dönüşüm, güvenlik boyutuyla paralel gitmiyor” diyor. Bu noktada, kamu otoritesinin özellikle sağlık otomasyonlarında daha denetleyici, regülatif ve standardı benimseyen kurallar koyması gerektiğini söyleyen Aydın, bunun yanında veri güvenliğinin kişisel ve kurumsal inisiyatiften arındırılması gerektiğini savunuyor.
Güvenlik politikalarının ihtiyaç halinde aktif hale getirildiğini ifade eden Fatih Aydın, burada daha proaktif bir farkındalık oluşturulmasının önemine işaret ediyor. Fatih Aydın şöyle konuşuyor: “Veri güvenliği noktasında nesnelerin internetinin dezavantajlarını yaşayabiliriz. İnternete açık her nesne/sistem hem verilerini gönderirken hem de bu veriler saklanırken aynı risklere sahip. Günümüzde çevrimdışı çalışan veri kaynakları bile hedef alınırken, IOT kapsamındaki tüm uç noktalar ciddi güvenlik katmanına sahip olmalı. İhlaller azaltılıp otomasyonlar ve sistemler daha güvenli hale getirilirse aynı yöntemler arşivlerken de kullanılabilir, teknik olarak burada ekstra bir risk görmüyoruz. Silinecek bilgilerin anonimleştirilmesi de sağlanabilir, böylelikle salt istatistik değeri olan fakat direk ya da dolaylı olarak kişiler ile eşleştirilemeyen bilgi havuzu oluşur.”

Sağlık verisinin önemi ve takibi tüm dünyada ciddi derecede fark edilmeye başladı
Tüm dünyada IT sektörünün ilk aktif kullanımının finans ile başladığını ve tüm kontroller, standartlar ve güvenlik önlemleri standartlarının finans sektörü özelinde kaldığını söyleyen Mlpcare Bilgi Sistemleri Direktörü Bora Gökçe, “Artık sağlık verisinin önemi takibi, sürekliliğinin olması, özgeçmiş verileri ile sağlık dosyasının bir bütün olduğu konusu tüm dünyada ciddi derecede fark edilmeye başladı. Özellikle mahremiyet konusunda birçok kurallar oluşmaya başlamış ve KVK (Kişisel Verilerin Korunması) konusunda herkesin bakış açısının tekrar değişmesi gerektiği vurgulanmıştır. Sağlık konusunun hedef alınması aslında çok doğaldır, çünkü bu konu hepimizin en özeli olması yanında çok ciddi CRM ve hatta yeni yeni kavramı konuşulan HCRM (Health Customer Relation Managment) verilerimizi de içermektedir. Bu sayede diyet, tansiyon, romatizma, kronik hastalık verilerimiz gibi birçok tıbbi bilgimizin takibi yapılabilmekte” diyor.
Bu konuda herkese düşen görevler olduğunu vurgulayan Gökçe, sağlık verilerinin paylaşım alanı hususunda hasta ve müşterilerinden onay alarak bilgilendirme yaptıklarını kaydediyor. Gökçe, bu konudaki tedbirlerin alınıyor olmasının gerekliliğine işaret ediyor.

“IoT olmazsa olmazlarımız içindedir”
Bora Gökçe şöyle konuşuyor: “Saniyelerin önemli olduğu sağlık sektöründe IoT, olmazsa olmazlarımızın içindedir, özellikle sektörün tercih sebebi olması dolayısıyla birçok üretici bu konuda hassasiyetleri artırmış ve her geçen gün daha farklı marka/modeller görülmekte. Bu konunun önemini kısaca örneklemememiz gerekirse; acile kalp krizi bulgusuyla gelen bir hastanın, EKG, nabız gibi ilk takipleri için takılan cihazlardaki verilerden, ameliyat, yoğun bakım ve sonrasında odasın takip aşamalarına kadar ki tüm takip verilerinin bir bütün olarak görünmesi, tedavi yolculuğunun takibi ve gerekli aksiyonlar için oldukça kritiktir.”
Sağlık alanında verilerin silinmesi noktasında kesinlikle böyle bir şeyin söz konusu olmadığını belirten Bora Gökçe, Sağlık Bakanlığı’nın verilerin saklanması ile ilgili bazı sınırlamalarının bulunmasına rağmen, her şeyden önce etik olarak verilerin ivedi olarak saklandığını vurguluyor.

Categories: DOSYA KONULARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*