Sağlık Sektörü Açısından Siber Güvenliğin Önemi
Teknoloji; hasta bilgilerinin elektronik ortamda detaylı arşivlenmesi, hastaların uzaktan takibi, otomasyon ile şekillenen tıbbi cihazlar ve uzaktan ameliyatlara kadar sağlık sektöründe sayısız kolaylık sağlamıştır.
İnternetin getirdiği güçlü ve hızlı iletişim ağı, sağlık sektöründeki kurumlar arasında entegre çalışmayı ve bilgi paylaşımını da beraberinde getirmiştir. Ancak tüm bu gelişmelere paralel olarak bu sektör aynı oranda siber saldırılara açık hale gelmiştir.
Aynı zamanda ülkemizde KVKK (Kişisel Verileri Koruma Kanunu) kapsamında muayenehaneler de dâhil olmak üzere tüm özel ve kamu sağlık kuruluşları veri sorumlusu olarak tanımlanır. Bu durum büyük küçük tüm sağlık kuruluşları için verilerin gizliliği açısından siber savunma sistemini zorunlu kılar. Siber güvenlik, dijital ortamdaki veri akışını kontrol etmek ve tüm verileri korumak için bir dizi teknoloji içerir. Böylece elektronik ortamda yoğun ve sürekli veri akışının olduğu sağlık sektörünün de güvenlik açığına bağlı olarak oluşabilecek aksamalardan etkilenmeden teknolojiden sürekli yararlanabilmesinin yolunu açar.
Sağlık Sektörünün Verilerin Saklanması İle İlgili Yükümlülükleri
Kişisel veri, gerçek kişiye ait her türlü kişisel bilgiyi içerir. Kişilerin sağlığına ilişkin tüm bilgiler KVKK’da özel nitelikli kişisel veri kapsamına girer. Sağlık kuruluşları ise ilgili kanun gereğince veri sorumlusu kabul edilir. Sağlık sektöründe bulunan tüm kurum ve kuruluşlar hem hastalara ait özel nitelikli kişisel verileri hem de çalışanlarına ait kişisel verileri Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) göre düzenlemek ve ihlal ve saldırılara karşı güvenlik önlemleriyle korumakla yükümlüdür. Bu yükümlülükleri yerine getirmek için öncelikle sağlık kuruluşlarının VERBİS’e kayıt olmaları gerekir. Yapılan son düzenleme ile son kayıt süresi 6698 sayılı Kanun’un geçici 1’inci maddesine göre 31.12.2021 tarihine kadar uzatılmıştır.
Kayıt süresinden sonra ise verilerin sisteme göre düzenlenerek muhafaza edilmesi ve ihlallere karşı gerekli önlemlerin alınması gerekir. Elektronik ortamda tutulan ve internet üzerinden gönderilen tüm kişisel verilerin saklanmasına yönelik ağ güvenliği ve şifreleme önlemlerini almak sağlık kuruluşlarının yükümlülükleri arasındadır. Aksi bir ihlal durumunda veri sorumlusuna yönelik cezai yaptırım uygulanır. Bu durum sağlık sektöründe siber güvenliği bir zorunluluk haline getirmektedir.
Sağlık Sektöründe Siber Güvenlik İhlalleri Hangi Tehlikelere Yol Açar?
Amerika Birleşik Devletleri merkezli telekomünikasyon şirketi Verizon tarafından siber casusluk olaylarına ilişkin verilerin düzenlendiği Verizon DBIR raporuna göre sağlık sektöründe siber saldırı ihlal ve olayları son 2 yılda %71 oranında artmıştır. Olası siber tehdit olayları şu şekilde sıralanabilir:
- Hastalar tarafından kullanılan çevrim içi medikal cihazlara erişim
- Elektronik ortamda tutulan hastalara ait tıbbi dokümanlar, sigorta bilgileri, kimlik bilgileri ve fatura bilgilerine erişim
- Sağlık personeli ve tüm kurum çalışanlarına ait kayıtlar ve kimlik bilgilerine erişim
- İnternete bağlı çalışan tıbbi cihazların kontrolünü ele geçirme
- Hasta bakımı ve takibi için kullanılan ağ bağlantılarına sızma
- Kurumlar arasında bilgi alışverişinde kullanılan çevrim içi bağlantılara ulaşma
Siber tehditler sağlık sektöründe yaratabileceği sonuçlar üç başlık altında değerlendirilebilir. Birincisi, insan hayatında ölümcül ya da telafi edilemez sonuçlara mâl olabilir. Bu sonuçlar küresel bazda da yaşanabilir. İkincisi, özellikle küçük çaplı klinikler bu tip saldırılar karşısında çözümsüz kalarak iş yerlerinin kapanmasına kadar giden ciddi sonuçlarla karşılaşabilir. Son olarak siber saldırılar sadece hastaları ya da kurumları değil, aynı zamanda doktor, hemşire ve tüm sağlık çalışanları için de tehdit oluşturur.
İnsan hayatı için tehdit oluşturabilecek siber saldırılarda, saldırganların hastaların yaşamını sürdürebilmek için bağlı oldukları dijital cihazlara erişim ihtimali büyük risk taşır. Uzaktan izleme için kullanılan hasta bileklikleri üzerinden doktorlara iletilen hasta verilerinin değiştirilmesi bu tip saldırıların yaratabileceği tehlikelere verilebilecek örneklerden biridir. Benzer bir örnek tomografi cihazlarında tarama sonuçlarına bilgisayar korsanları tarafından müdahale edilip sahte tümör görüntüsü oluşturulmasıdır.
Bilişim suçları arasında yer alan fidye yazılımlar ile hastanelerin bilgisayar sistemlerine sızan bilgisayar korsanları, sistemi çalışamaz hale getirebilir. Çaldıkları verilerin iadesi için yüksek miktarlardaki fidye taleplerini karşılayamayan küçük ölçekli sağlık kuruluşları kalıcı zarara uğrayarak kapanmak zorunda kalabilir. Wyoming'de 2019 yılında yaşanan siber saldırı, kurumlar açısından riskin ne boyutta olduğuna örnek teşkil etmektedir. Saldırganlar hasta bilgileri ve tıbbi cihazların kullanımını kilitleyip fidye talebinde bulunarak kliniğin belirli bölümlerinin hizmete kapatılmasına neden olması sonucunda yatılı hastalar çevredeki hastanelere sevk edilmiştir.
Sağlık Sektöründe Yaygın Güvenlik Açıkları Nelerdir?
Dijital bir devrim geçiren sağlık sektörü, bir yandan çağa ve teknolojiye uyum sağlamaya çalışırken diğer taraftan tehlikelerden korunmak için olası saldırılara karşı bir hacker gibi düşünebilmek zorundadır. Her kurum kendi özelinde kullandığı teknolojilere göre risk oluşturabilecek güvenlik açıklarını belirlemeli ve buna göre önlemlerini almalıdır. Sağlık sektöründeki yaygın güvenlik açıkları şöyledir:
- Eski donanımları tam olarak imha etmeden elden çıkarmak. Örneğin hasta kayıtlarına ait verileri sadece silmek bilgilerin erişilmez olduğu anlamına gelmez. Herhangi bir bilgisayar korsanının eline geçen eski bir donanım veya sabit disk yeniden yapılandırılıp silinen bilgiler kurtarılırsa istenmeyen sonuçlar ortaya çıkar.
- Güncelliğini yitirmiş teknolojik cihaz ve yazılımlar kullanmak.
- Herkesin kullanımına açık yetkilendirme ile kısıtlanmamış bilgisayar sistemleri.
- Güvenli olmayan mobil cihazlar. Mobil oturum ile sisteme giriş izni veren kurumlar açısından dışarıdan bağlanan mobil cihazlar her zaman güvenlik standartlarını karşılamaz.
- Güvenli olmayan herkese açık ağ bağlantıları. Dışarıdan sisteme bağlanılan ağlar üzerinde etkin bir kontrol sağlanamadığı için sisteminiz saldırılara açık hale gelir.
- Ağ güvenliği takibi yapılmayan bağlantı sistemleri.
Bilgisayar korsanları açık buldukları bir sistem üzerinden bilgilerinize ulaşabilir ve bunları kendi menfaatleri için diledikleri gibi kullanabilirler.
Sağlık Sektöründe Siber Güvenlik Nasıl Sağlanır?
Sağlık sektöründe hastalar, kurumlar, çalışanlar ve kullanımı giderek artan çevrim içi cihazlar üzerinde güvenlik sağlanmalıdır. Araştırma laboratuvarları, klinikler, hastaneler, ilaç ve tıbbi cihaz şirketlerinin birbiriyle entegre çalışması siber güvenlik uygulamaları üzerinde kontrolü zorlaştıran faktörlerdendir. Sağlık sektöründe siber suç kapsamına giren saldırılardan korunmak için çok yönlü siber güvenlik uygulamaları gerekir. Bunlar şu şekilde sıralanabilir:
- Çok yönlü ağ güvenliği
- Medikal cihaz güvenliği
- E-posta güvenliği
- Elektronik hasta kayıt bilgileri güvenliği
- Sisteme dışarıdan erişim güvenliği
- Herhangi bir saldırı anında müdahale edebilme ve koruma sağlanması
- Yazılım güncellemelerinin düzenli yapılması
- Verilerin depolanması ve yedeklenmesinde güvenilir yazılımların kullanılması
- Personel ve hastaların siber saldırılara karşı bilinçlendirilmesi
- Siber suç olaylarının düzenli takip edilerek alınması gereken önlemlerin güncellenmesi
- Önlenemeyen saldırılar ile ilgili güvenlik çözümlerinin yanı sıra adli bilişim kurumlarıyla bağlantılı çalışılması ve bu alandaki yaptırımların geliştirilmesi için destek olunması
Sağlık Sektöründe Etkin Siber Güvenlik Uygulamalarının Avantajları Nelerdir?
Sağlık sektöründeki her türlü verinin güvenlik altına alınması hastalardan kurumlara ve hatta sektörün işleyişine kadar geniş bir alanda avantaj sunar. Bu avantajlar,
- Hastaların tıbbi bilgilerinin güvenli hale getirilmesi, teşhis ve tedavilerinin aksamamasını sağlar.
- Personel ve hastaların sigorta, kimlik ve kredi kartı bilgileri üzerinden uğrayabilecekleri maddi zararların önüne geçilir.
- Çevrim içi kullanılan tıbbi cihazların yanıltıcı sonuçlar vermesi engellenerek hastaların hayatını tehdit edebilecek yanlış uygulamalar önlenir.
- Ağır maddi kayıplar engellenir. Küçük sağlık kurumlarının saldırılar karşısında kapanma riskini ortadan kaldırır.
- Sağlık kurumunun çalışma rutininin düzenli olarak devam etmesini sağlar.
- Araştırma çalışmalarına ait gizli verilerin istenmeyen kişilerin eline geçmesi ve kötü amaçlı kullanılmasını önlemeye yardımcı olur.
- Sektörün teknolojik ilerleyişini aksatan saldırıların önüne geçilmesi sağlık alanındaki çalışmaların daha hızlı yapılabilmesine katkı sağlar.
- Hastalar ve doktorlar arasındaki iletişimin kesintisiz devam edebilmesine olanak verir.
- Sağlık sistemlerindeki teknolojilerin kısıtlanmadan kullanılması için zemin oluşturur.
Hemen her şeyin elektronik ortam üzerinde gerçekleştirildiği dijital çağda küçük büyük tüm sağlık kuruluşlarının veri ve ağ güvenliğinin sağlaması yukarıdaki sebeplerden ötürü çok önemlidir. İyi bir güvenlik ağı için Berqnet tarafından geliştirilen firewall cihazları ile kurumunuza özel çözümler bulabilirsiniz.
Tamamen yerli üretim olan Berqnet Firewall, kurum içindeki ve dışındaki cihazlarınızı, ağınızı olası siber saldırılara ve kötü amaçlı yazılımlara karşı korur. Herhangi bir hack veya siber saldırının ne zaman ve nerede olabileceğini, özellikle sağlık kurumları gibi çok yönlü teknolojinin var olduğu sektörlerde önceden kestirmek imkânsızdır. Berqnet firewall cihazı, ağ trafiğini ve cihazları olası saldırılara karşı sürekli denetleyerek hastaların, kurumun ve çalışanların maddi veya manevi zararlarla karşı karşıya kalmasının önüne geçmeyi amaçlar. Siz de hastalarınızı ve kurumunuzu siber tehditlere karşı güvence altına almak ve son teknolojileri kullanabilmek için Berqnet Firewall ile tanışın.