ABD’nin ikinci büyük sağlık sigorta şirketi olan  Anthem Inc., Şubat 2015 tarihinde veri tabanlarının hack edildiğini ve kabaca 80 milyon güncel ve eski müşteriye ait kişisel bilginin bu durumdan etkilendiğini bildirdi. Bu olay 2015 yılı boyunca endüstrinin karşılaştığı en büyük siberaldırılardan birisi idi.

Sadece altı hafta sonra, Mountlake Terrace, Washington kökenli sigorta şirketi olan Premera Blue Cross Mayıs 2014 tarihinde gerçekleşmiş ancak 2015 yılının 29 Ocak tarihinde tespit edilebilmiş bir güvenlik ihlalinden yaklaşık 11 milyon müşterisinin etkilendiğini açıkladı.

Bunlardan sonra bildirilen kaydedeğer güvenlik ihlaleleri de şu şekilde;

• CareFirst BlueCross BlueShield, Mayıs 2015 tarihinde 1.1 milyon kişiyi etkileyen sibersaldırıyı duyurdu.
• UCLA Health 5 Mayıs 2015 tarihinde ağ alt yapısına erişilerek yaklaşık 4.5 milyon bireyin kişisel ve tıbbi bilgisini tehlikeye atan bir güvenlik ihlalini Temmuz 2015 tarihinde bildirdi.
• Rochester, New York kökenli sigorta şirketi Excellus BlueCross BlueShield, Eylül 2015 tarihinde, yaklaşık bir ay öncesinde üyelerinden kabaca 10 milyonunun kayıtlarını riske sokan bir sibersaldırıyı bildirdi.

Çeşitli güvenlik ihlallerine tepki olarak BlueCross BlueShield Association, Temmuz 2015 tarihinde, tüm üyelerine 1 Ocak 2016 itibarıyla kimlik hırsızlığı koruma hizmeti vermek için girişime başladığını bildirdi. 36 “Blue” şirketini kapsayan birlik sibergüvenlik uygulamaları alanında sağlık endüstrisinde lider olmak istediğini açıkladı!

ABD’deki sağlık planlarına yönelik gerçekleştirilen sibersaldırı hazırlık testinde (HITRUST CyberRX 2.0 Health Plan) sibertehditlere yönelik hala çok sayıda işin yapılması gerektiği görüldü. Söz konusu teste 12 farklı sigorta kurumundan 250 kişi katıldı. Eş zamanlı simülasyonlarla kurumlarının hazırlık durumu değerlendirildi. test sonrası yapılan açıklamalarda, sibergüvenlik tehditine karşı kamu-özel işbirliğinin önemi vurgulanmıştır.

ABD’de yürürlüğe giren Sibergüvenlik Bilgi Paylaşım Yasası, ABD Department of Health and Human Services tarafından bir sibergüvenlik görev kuvveti oluşturmasını zorunlu kılmaktadır. Bu görev kuvveti;

• Sibergüvenlik saldırılarına karşı özel sağlık kuruluşlarının kendi güvenliklerini sağlamada karşılaştıkları güçlükleri analiz edecek,
• Ağdaki tıbbi cihazlar ve elektronik sağlık kayıtlarına bağlayan yazılımların güvenliğini sağlamada kuruluşların ve iş ortaklarının zorluklarını gözden geçirecek,
• Bu sayısal tehditleri değerlendirme ve endüstri paydaşlarını bunlar için hazırlamaya yönelik bilgileri HHS sekreterliği ile yayımlayacaktır.

Bilgi teknolojilerinin gündelik yaşantının olağan ve vazgeçilmez bir parçası haline gelmesi, tehdit ve güvenlik kavramınlarının da giderek soyut, algılanması ve anlaşılması zor, çözümünde uzmanlık isteyen bir alanın unsurları haline gelmesine yol açmaktadır. Aynı durum, kaliteli, etkin ve sürdürülebilir bir sağlık sistemi için bilgi teknolojilerine dayalı dönüşümün küresel ölçekte zorunluluk haline gelmesi ile beraber sağlık endüstrisi içinde geçerlidir. Bu kapsamda, sağlık kurumlarına önerilen bazı en iyi uygulama örneklerinin bir kısmı aşağıda sıralanmıştır:

1. Yönetim kuruluna bilgi güvenliğinden sorumlu başkanı da (Chief Information Security Officer) dahil edin. Bu giderek artan ve karmaşıklaşan tehditleri anlamanıza yardımcı olur.
2. Yapabildiğiniz kadar çok koruma düzeyi oluşturun. Yani, verilerin iletişim ve veritabanında şifrelenerek korunması, ateş duvarı, saldırı tespit ve önleme sistemleri, fiziksel ve mantıksal erişim kontrolü vs.
3. Penetrasyon ve uygulama hassasiyetinizin testi birinci önceliklerdendir.
4. Risk değerlendirmesi yapmak için kurum içi yeteneklerden çok üçüncü parti ortaklardan yararlanın. Böylece objektif sonuçlar alırsınız.
5. Sıkı güvenlik standartları gerektiren verilerin korunmasında bulut ortamını değil kurum içi depolama biriminizi kullanın.
6. Uygulama geliştiriyorsanız Open Web Application Security Project (OWASP) standartlarını takip edin. OWASP tüketiciler için yazılım güvenliğini şeffaf hale getirir, geliştiriler ve diğer ortaklar güvenlik risklerini anlar ve kararlarını bilinçli olarak alırlar.
7. Çalışanlarınızı eğitin. Bu zor olduğu kadar zorunludur da. E-posta ile yapılan saldırılarda en gözde hedef çalışanlardır ve bu durumu bilmeleri gerekir. Çalışanların “tanımadıklarından gelen e-posta eklerini açmamaları”, “gazetelerde okumaktan hoşlanmayacakları şeyleri e-postalarına da yazmamaları” vs. konularında eğitildiklerinden emin olun.
8. Veri güvenliğine ilişkin kurumunuzun taahhütlerine uygun bir güvenlik kültürü oluşturun. Çalışanlar zekidir ve bir konuya ilişkin üst yönetici seviyesinde ciddiyet görmezlerse kendileri de ciddiye almazlar.

Sağlıkta bilgi sistem güvenliği ve mahremiyet kapsamındaki diğer yazılara erişmek için tıklayınız.

Kaynaklar:

1. Bowman, Dan. Data breaches force a shift in healthcare cybersecurity. Yayım Tarihi: 24 Aralık 2015. Erişim Tarihi: 10 Ocak 2016.

2. Bowman, Dan. Omnibus funding bill requires HHS to convene cybersecurity taskforce. Yayım Tarihi: 16 Aralık 2015. Erişim Tarihi: 10 Ocak 2016.

3. Mottl, Judy. Mobile device security to remain big challenge in 2016. Yayım Tarihi: 29 Aralık 2015. Erişim Tarihi: 10 Ocak 2016.

4. Small, Leslie. Simulation shows health plans must do more to prepare for cyberattacks. Yayım Tarihi: 04 Aralık 2015. Erişim Tarihi: 10 Ocak 2016.

5. Eastwood, Brian. 8 best practices for payer data security. Yayım Tarihi: 09 Şubat 2015. Erişim Tarihi: 10 Ocak 2016.