Tek bir sağlık kaydının değerinin çalıntı bir kredi kartı numarasına göre neredeyse 10 kat daha fazla olması ve sağlık alanındaki fikri hakların (ilaç ve cihaz geliştirme, faturalama süreci, bakım süreçleri vs.) ticari rekabet anlamında önemi göz önüne alındığında, ABD’de siber saldırıların son zamanlarda artarak sağlık hizmet sunucularını hedeflemesine şaşırmamak gerekir.

Sağlık hizmet sunucularında hasta verilerinin güvenliğini sağlamada devasa engeller söz konusu. Bir yandan bilişim sektörü hızla gelişirken ve insanlar bunların kullanımına uyum sağlarken diğer yandan kurumlar merkezi güvenlik politikalarının yürürlüğe konulmasında ciddi zorluklarla ve yetersizlikler karşı karşıya kalınıyor.

Institute for Critical Infrastructure Technology‘nin hazırladığı bir rapora göre sağlık sektörü, ABD’de en fazla siber saldırı tehdidinde olan ama en az hazırlıklı olan alan. Gerek hizmet sağlayıcıların gerekse ödeme kurumlarının kaynaklarının önemli kısmını bu açığı gidermek için tahsis etmeleri gerekiyor. Hükümet ve sağlık kurumlarının karmaşık bilgi sistem alt yapısını aralarında boşluklar olan çeşitli katmanlara ayırarak yönetme yaklaşımı hackerlara hassas verilere erişim imkanı sağlıyor. Ayrıca çoğu zaman üreticiler teknolojilerini desteklemeye devam etmiyor ve bu durum da daha çok tehdit oluşturuyor. Haziran 2015 tarihinde, 4 milyon federal çalışanın bilgisini tehlikeye atan ABD Office of Personnel Management sistemi güvenlik ihlali bu durumun kötü niyetliler tarafından nasıl bir avantaj olarak kullanıldığını da gösteriyor.

Söz konusu raporu hazırlayan uzmanlar ayrıca nesnelerin internetinin (Internet of Things, IoT) büyük bir saldırı yüzeyi oluşturduğuna dikkat çekiyor. Bu noktada uzmanlar, tıbbi cihazların pazara sunulmadan önce ve sonra zorunlu penetrasyon testlerine tabi tutulmalarını öneriyorlar. Bu durumun yenilikçiliği sık boğaz etmeyeceğini, muhtemel tehditlerin tanınması ve yama oluşturulması için daha büyük fırsatlara kapı aralayacağını ifade ediyorlar.

Öte yandan ABD’de yapılan yeni bir anket çalışmasına göre; sağlık alanındaki liderlerin siber güvenlik konusundaki en büyük korkuları sistemlere yada tıbbi cihazlara yetki dışı erişen kötü niyetli kişilerden dolayı hastaların kaybedilmesi. HIMSS tarafından uygulama yazılımları güvenlik şirketi olan Veracode adına yapılan bir ankete göre, artan güvenlik ihlallerinin olduğu sağlık alanında yöneticiler markalarının zarar görmesi, hükümet birimlerinin zorlamaları ve güvenlik ihlalleri sonrası maliyetlerden de ciddi anlamda kaygı duyuyorlar (konuya ilişkin infografiğe erişmek için tıklayınız). Ankete katılan 200’den fazla hastane ve sağlık bilişim lideri katılımcının %28 kadarı başlıca kaygılarının hacker’ların Web ve bulut ortamındaki elektronik sağlık kayıt sistemleri ve klinik uygulamalar gibi araçlardaki açıkları kullanmaları olduğunu ifade etmiştir.

Ankete göre sağlık alanındaki liderler güvenlik açıklarının oluşturduğu sorumlulukların giderek daha çok farkına varıyorlar. Katılımcıların %55’i güvenlik değerlendirmeleri yapılmasına yönelik harcamaların arttığını ifade etmiş. Buna karşılık %56’sı üçüncü parti satıcılarla sözleşmelerine yükümlülük konularını içeren maddeler ilave ettirdiğini, yaklaşık %50 kadarı SANS Institute Center for Internet Security (CIS) Security Controls gibi çerçeveler eklediklerini ifade etmiş.

Raporda katılımcıların;

• %56’sı en büyük kaygılarının çalışanlara yönelik “oltalama” (phishing) saldırıları ve kurum içindeki kötü niyetliler olduğunu,
• %54’ü siber sigorta için daha fazla mali kaynak bütçelediklerini,
• %44’ü tüm birimlerde bilişim güvenlik politikalarını savunmalarını yöneticilerden ısrarla istediklerini,
• %65’i hükümetin politik düzenlemelerine uygun teknolojiler için para ayırdıklarını,
• %51’i bölüm liderlerini siber güvenlik alanında eğitmek üzere yatırım yaptıklarını  ifade etmişler.

Raporu hazırlayanlar, sağlık kurumlarının web ve mobil uygulamalardan kaynaklı güvenlik riskleri ile karşı karşıya olduğunu, siber saldırıların karşı karşıya bırakacağı bu riskleri anlamak  için para ve zaman yatırımı gerektiğini ifade ediyorlar.

Sonuç olarak, siber güvenlik merkezli kültür; üreticilerin daha güvenli aygıtlar geliştirilmesini, sağlık sektörünün bütün olarak mahremiyete uymasını ve politika üreticilerin daha güvenli ve teknolojik olarak erişilebilir bir geleceği sağlayacak yasal düzenlemeler gerçekleştirmesini talep etmektedir.

Kaynaklar:

1. Dvorak, Katie. Loss of life, liability top cybersecurity fears for health IT leaders. Yayın Tarihi: 21 Ocak 2016. Erişim Tarihi: 25 Ocak 2016.

2. Hall, Susan D. Report: Healthcare the least prepared sector against cyberattacks. Yayın Tarihi: 20 Ocak 2016. Erişim Tarihi: 25 Ocak 2016.

3. Veracode. AppSec in Healthcare: Defending Patient Data. Yayın Tarihi: 21 Ocak 2016. Erişim Tarihi: 25 Ocak 2016.

4. Institute for Critical Infrastructure Technology (ICIT). Hacking Healthcare IT in 2016: Lessons the Healthcare Industry can Learn from the OPM Breach. Yayın Tarihi: Ocak 2016. Erişim Tarihi: 25 Ocak 2016.