Elektronik sağlık kayıt sistemlerinde güvenlik

Bilgisayar korsanları, ABD’de Community Health Systems ateş duvarını (firewall) aşmak için bir kötü yazılım (malware) kullandılar ve 4.5 milyon civarında kaydı çaldılar (ayrıntı için tıklayınız). Bu tip ihlaller, pazarda halihazırda çok sayıda kötü uygulama mevcut olduğundan, genellikle kullanıcı hatasına bağlı olarak gelişiyor. Şayet bir mobil cihazda güvenlik sorunu varsa, bağlandığı elektronik kayıt sistemlerinde de riskler ortaya çıkabiliyor. Güvenlik açığı olan mobil aygıtlar bilgisayar korsanları için adeta füze rampası gibi kullanılabiliyor.

Günümüzde çok ucuza ya da bedavaya pek çok mobil uygulama elde edilebilir ve kullanılabilir. Kullanıcılar çoğunlukla bu uygulamaların kaynağını, gerçekten neler yapabileceğini yada kendi sistemlerinde oluşturduğu riskleri bilmezler. Buradan oluşabilecek güvenlik açıklarını da pahalı sistemler yada güvenlik uzmanları ile ortadan kaldırmak mümkün olmaz. 

Trend Micro’nun mobil uygulamalara ilişkin 2014 raporunda “ciddi kaynaklarda 890,482 sahte uygulama keşfedildiği ve bunların 394,263 adedinin kötü yazılım olarak tespit edildiği” bildirilmektedir. 50 en popüler mobil uygulamanın %77’sinin sahte versiyonları vardır. Bunun 40’ı sağlık uygulamasıdır ve bunun da yarısı “kötü yazılım” olarak sınıflandırılmaktadır.

Anti virus yazılımı mobil aygıtlar için en fazla sahtesi yapılan uygulama türüdür. Virus-Shield, kaldırılana kadar Google’s Play Store’da 10.000 defa indirilmiş ve 5 üzerinden 4.7 puan almıştır. 3,99 ABD dolarına satılan bu yazılımın tüm koruma iddialarının yalan olduğu ortaya çıkmıştır. Oyunlar ve anlık mesajlaşma uygulamaları da bilgisayar korsanları arasında popüler (!) olan uygulamalardır.

Sistem işletmecileri (administrator) açısından sağlık bilgi sistemlerinde ilk önemli nokta, kullanılan uygulamaların sertifikasyonunun bulunmasıdır. Mobil aygıtlar elektronik sağlık sistemleri ile iletişimde ikinci bir güvenlik düzeyi içermelidir. Kimlik tanıma işlemi de iki basamaklı bir güvenliğe sahip olmalıdır. Önce kullanıcı adı ve şifresi ile giriş yapılmalı, ardından tanımlı e-postaya  PIN numarası gönderilmelidir. Asıl erişim ancak bu PIN numarası ile mümkün olmalıdır. Başka bir iki aşamalı güvenlik de her kullanıcının kendi aygıtında mobil bir jetonu (token) olması ile sağlanabilir. Kullanıcı giriş yaptığında sistem otomatik olarak jetonu kontrol edecektir. Kötü yazılımlar, yetkisiz erişimle güvenlik ihlalinin tek yöntemi değildir. Unutulmamalıdır ki mobil aygıtlarla ilgili en büyük güvenlik sorunu, aygıtın çalınmasıdır. Uzak masaüstü hizmetleri (Desktop-as-a-Service, DaaS) ve sanal iş yüklerinin takip edilerek olası kötü kullanımların tahmini günümüzde tartışılan konulardır.

Açıkçası, elektronik sağlık sistemlerinde her derde deva bir çözüm mevcut değildir. Çözümler risk analizleri sonucu elde edilecek olası tehditlere yönelik olarak yapılandırılmalı, bilgi sistemlerinin amaç ve etkililiğini ortadan kaldırmayacak şekilde benimsetilmeli ve yapılandırılmalıdır.  Son olarak, unutulmamalıdır ki bilişim güvenliğindeki en zayıf halka kullanıcıdır ve “hırsız evde” ise çelik kapınızın ve alarm sistemlerinizin size bir katkısı olmayacaktır. 

Kaynak: Ephraim Schwartz, Want to protect your EHR from hackers? Secure those mobile devices

Yorum yapabilmek için kayıtlı kullanıcı olmanız gerekmektedir. Giriş