Sağlık Sektörü Açısından Siber Güvenliğin Önemi
Teknoloji; hasta bilgilerinin elektronik ortamda detaylı arşivlenmesi, hastaların uzaktan takibi, otomasyon ile şekillenen tıbbi cihazlar ve uzaktan ameliyatlara kadar sağlık sektöründe sayısız kolaylık sağlamıştır.
Teknoloji; hasta bilgilerinin elektronik ortamda detaylı arşivlenmesi, hastaların uzaktan takibi, otomasyon ile şekillenen tıbbi cihazlar ve uzaktan ameliyatlara kadar sağlık sektöründe sayısız kolaylık sağlamıştır.
İnternetin getirdiği güçlü ve hızlı iletişim ağı, sağlık sektöründeki kurumlar arasında entegre çalışmayı ve bilgi paylaşımını da beraberinde getirmiştir. Ancak tüm bu gelişmelere paralel olarak bu sektör aynı oranda siber saldırılara açık hale gelmiştir.
Aynı zamanda ülkemizde KVKK (Kişisel Verileri Koruma Kanunu) kapsamında muayenehaneler de dâhil olmak üzere tüm özel ve kamu sağlık kuruluşları veri sorumlusu olarak tanımlanır.
Sağlık sektöründe siber güvenlik artık yalnızca veri gizliliği ile sınırlı bir konu değildir. Günümüzde hastaneler, klinikler, laboratuvarlar ve diğer sağlık hizmeti sunucuları için siber güvenlik; hasta güvenliği, hizmet sürekliliği, operasyonel dayanıklılık ve kurumsal itibarın korunması açısından da kritik hale gelmiştir. Özellikle elektronik sağlık kayıtları, uzaktan sağlık hizmetleri, bağlı medikal cihazlar ve üçüncü taraf dijital servislerin yaygınlaşması, sağlık sektörünü siber saldırganlar için daha cazip bir hedef haline getirmektedir.
Sağlık Sektörünün Verilerin Saklanması İle İlgili Yükümlülükleri
Kişisel veri, gerçek kişiye ait her türlü kişisel bilgiyi içerir. Kişilerin sağlığına ilişkin tüm bilgiler KVKK’da özel nitelikli kişisel veri kapsamına girer. Sağlık kuruluşları ise ilgili kanun gereğince veri sorumlusu kabul edilir. Tüm kurum ve kuruluşlar hem hastalara ait özel nitelikli kişisel verileri hem de çalışanlarına ait kişisel verileri VERBİS‘e göre düzenlemek ve korumakla yükümlüdür.
Bu yükümlülükleri yerine getirmek için öncelikle sağlık kuruluşlarının VERBİS’e kayıt olmaları gerekir.
Sağlık kuruluşlarının veri koruma yükümlülükleri değerlendirilirken yalnızca belirli tarihlere odaklanmak yeterli değildir. Kurumların, güncel mevzuatı, rehberleri, kurul kararlarını ve veri işleme faaliyetlerine ilişkin yükümlülüklerini düzenli olarak takip etmesi gerekir. Bu nedenle sağlık sektöründe veri güvenliği yaklaşımı, tek seferlik bir uyum süreci değil; süreklilik gerektiren bir yönetim ve denetim alanı olarak ele alınmalıdır.
Elektronik ortamda tutulan ve internet üzerinden gönderilen tüm kişisel verilerin saklanmasına yönelik ağ güvenliği ve şifreleme önlemlerini almak sağlık kuruluşlarının yükümlülükleri arasındadır. Aksi bir ihlal durumunda veri sorumlusuna yönelik cezai yaptırım uygulanır.
VERBİS Kayıt Yükümlülüğü ve Süreçleri
Kayıt sürecinde hastaneler, özel klinikler, poliklinikler, laboratuvarlar ve eczaneler dahil olmak üzere tüm sağlık hizmeti sunan kuruluşlar kapsama dahildir.
VERBİS kayıt sürecinde sağlık kuruluşlarının belirtmesi gereken temel bilgiler şunlardır:
• İşlenen kişisel veri kategorileri ve türleri• Veri işleme amaçları ve hukuki sebepleri• Verilerin aktarıldığı alıcı grupları• Yurtdışına veri aktarımı yapılıp yapılmadığı• Veri saklama süreleri ve imha prosedürleri
Teknik ve İdari Güvenlik Önlemleri
Sağlık kuruluşlarının alması gereken teknik önlemler arasında güvenlik duvarı kurulumu, antivirüs yazılımları, düzenli yedekleme sistemleri ve erişim yetkilendirme mekanizmaları bulunur. İdari önlemler kapsamında ise personel eğitimleri, gizlilik sözleşmeleri ve veri işleme politikalarının oluşturulması yer alır.
KVKK kapsamında idari para cezaları 5.000 TL’den başlayıp 1.000.000 TL’ye kadar çıkabilmektedir. KVKK veri ihlaline karşılık verdiği cezaları da internet sitesinde yayınlayarak duyurmaktadır. https://www.kvkk.gov.tr/veri-ihlali-bildirimi
Bunlara ek olarak sağlık kuruluşlarının veri envanteri oluşturması, rol bazlı erişim matrisi hazırlaması, log kayıtlarını düzenli olarak izlemesi, veri saklama ve imha süreçlerini yazılı hale getirmesi ve olası ihlaller için olay müdahale planı oluşturması gerekir. Özellikle dış hizmet sağlayıcılar, yazılım firmaları, bulut servisleri ve destek ekipleri gibi üçüncü tarafların sistemlere erişimi düzenli olarak gözden geçirilmeli ve asgari yetki prensibine göre sınırlandırılmalıdır.
Sağlık Sektöründe Siber Güvenlik İhlalleri Hangi Tehlikelere Yol Açar?
Verizon’un 2025 DBIR raporuna göre, sağlık sektöründe 1.710 güvenlik olayı ve 1.542 doğrulanmış veri ihlali tespit edilmiştir. Olası siber tehdit olayları şu şekilde sıralanabilir:• Elektronik ortamda tutulan hastalara ait tıbbi dokümanlar, sigorta bilgileri, kimlik bilgileri ve fatura bilgilerine erişim• Sağlık personeli ve tüm kurum çalışanlarına ait kayıtlar ve kimlik bilgilerine erişim• İnternete bağlı çalışan tıbbi cihazların kontrolünü ele geçirme• Hasta bakımı ve takibi için kullanılan ağ bağlantılarına sızma• Kurumlar arasında bilgi alışverişinde kullanılan çevrim içi bağlantılara ulaşma
Fidye yazılımlar ile hastanelerin bilgisayar sistemlerine sızan bilgisayar korsanları, sistemi çalışamaz hale getirebilir. Siber saldırıların somut bir örneği ise;
Şubat 2024’te Change Healthcare’e yönelik BlackCat/ALPHV fidye yazılımı saldırısı, Amerika Birleşik Devletleri tarihinin en büyük sağlık veri ihlali olarak kayıtlara geçti; sistemlerin haftalarca çevrimdışı kalması, tüm ülkedeki hastanelerin ödeme ve faturalama süreçlerini sekteye uğrattı ve 100 milyon kişinin kişisel sağlık verisi ele geçirildi.
Bu tür olaylar, sağlık sektöründeki siber risklerin yalnızca kurum içi açıklarla sınırlı olmadığını göstermektedir. Sağlık ekosisteminde kullanılan ödeme sistemleri, provizyon altyapıları, laboratuvar entegrasyonları, yazılım tedarikçileri ve diğer üçüncü taraf hizmet sağlayıcılar da kritik risk alanları arasında yer alır. Bu nedenle sağlık kuruluşları, yalnızca kendi ağlarını değil; bağlı oldukları tedarik zincirini de siber güvenlik açısından değerlendirmelidir.
Sağlık Sektöründe Yaygın Güvenlik Açıkları Nelerdir?
Dijital bir devrim geçiren sağlık sektörü, bir yandan çağa ve teknolojiye uyum sağlamaya çalışırken diğer taraftan tehlikelerden korunmak için olası saldırılara karşı bir hacker gibi düşünebilmek zorundadır. Sağlık kurumları, hasta verilerinin hassasiyeti ve sistemlerinin kritik önemi nedeniyle siber saldırganların birincil hedefleri arasında yer alır. Her kurum kendi özelinde kullandığı teknolojilere göre risk oluşturabilecek güvenlik açıklarını belirlemeli ve buna göre önlemlerini almalıdır.
Donanım ve Veri Yönetimi Açıkları
Eski donanımları tam olarak imha etmeden elden çıkarmak büyük risk taşır. Örneğin, bir hastanenin elden çıkardığı eski bir sunucu, binlerce hastanın kişisel sağlık bilgilerini içerebilir ve bu veriler profesyonel veri kurtarma araçlarıyla kolayca geri getirilebilir.
Teknolojik Altyapı Zafiyetleri
Güncelliğini yitirmiş teknolojik cihaz ve yazılımlar kullanmak, sağlık kurumlarını ciddi risklere maruz bırakır. Özellikle destek süresi dolmuş işletim sistemleri ve tıbbi cihaz yazılımları, bilinen güvenlik açıklarına sahip olup düzenli güvenlik yamalarını alamazlar.
Erişim Kontrolü ve Yetkilendirme Sorunları
• Herkesin kullanımına açık yetkilendirme ile kısıtlanmamış bilgisayar sistemleri — Rol tabanlı erişim kontrollerinin olmaması, tüm personelin tüm hasta verilerine erişebilmesi anlamına gelir.
• Güvenli olmayan mobil cihazlar — Doktorların ve hemşirelerin kişisel akıllı telefonlarından hasta kayıtlarına erişmesi büyük riskler taşır.
• Güvenli olmayan herkese açık ağ bağlantıları — Özellikle hastane kafeteryalarında sunulan ücretsiz Wi-Fi ağları, güvenlik kontrolleri yapılmayan hotspot uygulamaları, kritik sistemlere erişim noktası olabilir. Bu noktalarda Berqnet güvenli hotspot çözümleri ile entegre çalışmak hem veri güvenliği hem de kvkk uyumlu 5651 loglama için şirketlere avantaj sağlamaktadır.
• Yetersiz çalışan eğitimi — Sağlık personelinin siber güvenlik konusunda yeterli bilince sahip olmaması, kimlik avı saldırılarına karşı savunmasız kalmalarına neden olur.
Sağlık Sektöründe Siber Güvenlik Nasıl Sağlanır?
Sağlık sektöründe hastalar, kurumlar, çalışanlar ve kullanımı giderek artan çevrim içi cihazlar üzerinde güvenlik sağlanmalıdır. Bu karmaşık ekosistemde her bir bileşen potansiyel bir giriş noktası oluşturabilir. Tek bir güvenlik önlemi yeterli olmadığından, birbirini tamamlayan farklı güvenlik katmanlarının bir arada uygulanması kritik önem taşır.
Temel Siber Güvenlik Önlemleri
• Çok yönlü ağ güvenliği — Güvenlik duvarları, izinsiz giriş tespit sistemleri ve ağ segmentasyonu. Örneğin, hasta kayıt sistemlerinin idari ağlardan ayrılması saldırı yüzeyini azaltır.
• E-posta güvenliği — Kimlik avı saldırılarına karşı gelişmiş filtreleme sistemleri ve çalışan eğitimleri.
• Elektronik hasta kayıt bilgileri güvenliği — Şifreleme teknolojileri ve erişim kontrol mekanizmaları. Her kullanıcının yalnızca görev tanımı kapsamındaki verilere erişmesi sağlanmalıdır.
• Sisteme dışarıdan erişim güvenliği — Çok faktörlü kimlik doğrulama ve VPN kullanımı ile uzaktan çalışan personelin güvenli bağlantı kurması.
• Herhangi bir saldırı anında müdahale edebilme ve koruma sağlanması• Yazılım güncellemelerinin düzenli yapılması• Verilerin depolanması ve yedeklenmesinde güvenilir yazılımların kullanılması• Personel ve hastaların siber saldırılara karşı bilinçlendirilmesi• Siber suç olaylarının düzenli takip edilerek alınması gereken önlemlerin güncellenmesi• Önlenemeyen saldırılar ile ilgili adli bilişim kurumlarıyla bağlantılı çalışılması
Sağlık kuruluşlarında siber güvenliğin sürdürülebilir hale gelmesi için yalnızca genel güvenlik politikaları değil, bu politikaları sahada uygulayacak doğru ağ güvenlik çözümleri de büyük önem taşır. Bu noktada firewall ve SASE çözümleri; hastane bilgi sistemleri, hasta kayıt altyapıları, medikal cihaz ağları, misafir Wi-Fi erişimi ve uzaktan bağlantı ihtiyaçları için daha kontrollü ve güvenli bir yapı kurulmasına yardımcı olur. Berqnet, sağlık kuruluşlarına yönelik sayfasında hassas verilerin korunması, KVKK ve 5651 gibi yasal düzenlemelere uyum, güvenli ağ yönetimi ve uzaktan erişim güvenliği konularında bu ihtiyaca odaklandığını vurgulamaktadır.
Sağlık Kuruluşları İçin Uygulanabilir Kontrol Listesi
Sağlık kuruluşlarında siber güvenlik seviyesini artırmak için aşağıdaki kontroller düzenli olarak uygulanmalıdır:
• Çok faktörlü kimlik doğrulama kullanılması
• Kritik sistemlerin birbirinden ağ segmentasyonu ile ayrılması
• Yedeklerin çevrimdışı veya izole ortamlarda saklanması
• Tüm medikal cihazların ve bilgi sistemlerinin güncel envanterinin tutulması
• Destek süresi dolmuş sistemlerin kademeli olarak devreden çıkarılması
• Ayrıcalıklı hesapların sınırlandırılması ve düzenli gözden geçirilmesi
• Üçüncü taraf erişimlerinin kayıt altına alınması ve yetki bazlı yönetilmesi
• Çalışanlara düzenli kimlik avı ve farkındalık eğitimi verilmesi
• Olay müdahale planının oluşturulması ve test edilmesi
• Log yönetimi, alarm üretimi ve güvenlik izleme süreçlerinin aktif hale getirilmesi
Sağlık Sektöründe Etkin Siber Güvenlik Uygulamalarının Avantajları Nelerdir?
Sağlık sektöründeki her türlü verinin güvenlik altına alınması hastalardan kurumlara ve hatta sektörün işleyişine kadar geniş bir alanda avantaj sunar:
• Hastaların tıbbi bilgilerinin güvenli hale getirilmesi, teşhis ve tedavilerinin aksamamasını sağlar.
• Personel ve hastaların sigorta, kimlik ve kredi kartı bilgileri üzerinden uğrayabilecekleri maddi zararların önüne geçilir.
• Çevrimiçi kullanılan tıbbi cihazların yanıltıcı sonuçlar vermesi engellenerek hastaların hayatını tehdit edebilecek yanlış uygulamalar önlenir.
• Ağır maddi kayıplar engellenir. Küçük sağlık kurumlarının saldırılar karşısında kapanma riskini ortadan kaldırır.
• Sağlık kurumunun çalışma rutininin düzenli olarak devam etmesini sağlar.
• Araştırma çalışmalarına ait gizli verilerin istenmeyen kişilerin eline geçmesi ve kötü amaçlı kullanılmasını önlemeye yardımcı olur.
• Hastalar ve doktorlar arasındaki iletişimin kesintisiz devam edebilmesine olanak verir.
• Sağlık sistemlerindeki teknolojilerin kısıtlanmadan kullanılması için zemin oluşturur.
