Dört yıl önce veri sızması, servis reddetme (denial-of-service ) saldırıları, ve sosyal hacktivism raporlarının yoğunlaştığı dönemde, IBM X-Force tarafından 2011 yılı güvenlik ihlalleri yılı olarak ilan edilmişti. 

IBM tarafından yayımlanan Security Trends in the Healthcare Industry adlı rapora göre, ABD’de sağlık alanında geçen beş yıldan fazla süre içerisinde gerçekleşen en büyük sekiz güvenlik ihlalinden beş tanesi (ki 100 milyondan fazla kaydı etkiliyordu) 2015 yılının ilk altı ayında gerçekleşmiştir. Bundan dolayı benzer şekilde 2015  yılı sağlık güvenlik ihlalleri yılı olarak adlandırılabilir.

IBM X-Force Interactive Security Incidents tarafından toparlanan verilere göre, 2015 yılının ilk 10 ayında gerçekleşen güvenlik olayları değerlendirildiğinde, sağlık alanı tüm endüstriler arasında öncü durumdadır ve bildirilen olaylar içerisinde etkilenen kayıtların %34 kadarı sağlık kaydıdır. Bu yıl ABD’de gerçekleşen sağlıkla ilgili büyük güvenlik ihlalleri arasında Anthem Health Insurance, Premera Blue Cross, Excellus BlueCross BlueShield, UCLA Health System, CareFirst ihlalleri sayılabilir.

Sağlık alanında ihlaller kapsamında kayıp yada çalınan korunmuş sağlık bilgisi (Protected Health Information, PHI) veri alanları e-postalar, sosyal güvenlik numaraları, banka ve işveren bilgileri ve tıbbi kayıtları içermektedir. PHI kavramı özgül bir bireyin sağlık durumu, aldığı tıbbi bakım veya bakım maliyeti ile bağlantılı herhangi bir bilgidir ve 45 Code of Federal Regulations 160.103’de ve HITECH yasasında (Subtitle D-Privacy, Section 13400) tanımlanmıştır.

Sağlık endüstrisinde ihlallerin maliyeti yasal düzenlemenin olmadığı diğer endüstrilere kıyasla oldukça fazladır. Ponemon Institute tarafından yapılan 2015 Cost of Data Breach Study’ye göre ihlal sonucu kayıp yada çalınan tek bir sağlık kaydının maliyeti 363 ABD doları kadar olabilmektedir. Bu maliyet veri güvenliği ihlaline bağlı olarak her bir kayıp yada çalınan kaydın ortalama maliyetinden %136 fazladır.

IBM’in 2015 yılı güvenlik raporu, sağlık endüstrisinin PHI hatta elektronik sağlık kayıtlarının yüksek değerinden dolayı popüler bir hedef haline geldiğini belirtmektedirler. Sağlık verilerinin son kullanım tarihi olmadığından sağlık endüstrisi hala güvenlik alanına uyum sağlamaya çalışmaktadır. Sağlık süreçlerinin teknolojiye dayalı dönüşümü sürecinde güvenlik ihlallerine yönelik tedbirler ve imkanlar artarken, değişen teknolojinin yeni tehditleri de ortaya çıkaracağı açıktır. Bu konuda Nesnelerin İnterneti (Internet of Things, IoT), bulut teknolojisi, mobil sağlık uygulamaları üzerinde dikkatle durulması gereken alanlardır.

Raporda verilerin toplandığı “kurban” durumundaki kurumların neredeyse yarısının maruz kaldıkları saldırıların tipini açıklamadığı belirtilmektedir. Toplanabilen verilere göre ise en sık fiziksel saldırılar ardından kötü amaçlı yazılım (malware), yemleme (phishing), kötü konfigüre edilmiş ağlar ve SQL enjeksiyonu gelmektedir.

IBM raporu sağlık kurumlarına sağlık verilerini korumak ve güvenliği güçlendirmek üzere teknik ve idari önerilerde de bulunmaktadır. Bu önerilerden birisi organizasyonun güvenlik stratejisi ve bütçesinin idaresi için tam zamanlı Bilgi Güvenliği Başkanı (Chief Information Security Officer, CISO) işe alınmasıdır.

Raporda IoT’lerin ve tıbbi cihazların açıklar oluşturarak güvenlik ihlallerine zemin hazırlayabileceği belirtilmektedir. Cihazların güvenlik güncellemeleri çok önemlidir ve sağlık kurum ve kuruluşları sisteme dahil etmeden önce cihazların test ve değerlendirilmesinin yapmalı, ağdaki cihazlara yetkisiz  erişimi kısıtlamalı, firewall’larını güncel tutmalı ve periyodik olarak konfigürasyonu gözden geçirmelidir. Güvenlik personeli ağda yetkisiz kullanımı takip etmeli, cihaz denetimi, implante edilenler dahil tıbbi cihazların penetrasyon testleri yapılmalıdır. Raporun yazarları giriş şifreleri (password) dahil şifrelemenin önemini vurgulamaktadır. Rapora göre, ayrıca sağlık kurumları güvenlik çerçeveleri ve risk değerlendirmeleri yürürlüğe koymalı ve olay tepki planı geliştirmelidir.

Rapor küresel ölçekte risk ve tehditlere yönelik genel yaklaşım konusunda fikir vermekle beraber, ülkelere özgü zafiyet noktaları ve güvenlik riskleri de ayrıca değerlendirilmelidir.

Kaynaklar:

1. Landi, Heather. Report: 2015 Was the Year of the Healthcare Security Breach. Yayın Tarihi: 28 Aralık 2015. Erişim tarihi: 02 Ocak 2015.

2. IBM X-Force Research. Security trends in the healthcare industry. New risks and priorities for keeping patient information safe. Erişim tarihi: 02 Ocak 2015.

3. HIPAA ‘Protected Health Information’: What Does PHI Include? Erişim tarihi: 02 Ocak 2015.4. Ponemon, Larry.

4. Ponemon, Larry. Cost of Data Breaches Rising Globally, Says ‘2015 Cost of a Data Breach Study: Global Analysis’. Yayın Tarihi: 27 Mayıs 2015. Erişim tarihi: 02 Ocak 2015.

5. Racine, Hope. The Biggest Data Breaches Of 2015 So Far, In One Incredibly Alarming Infographic. Yayın Tarihi: 11 Eylül 2015. Erişim tarihi: 02 Ocak 2015.6. Davis, Jessica.

6. Davis, Jessica. 7 largest data breaches of 2015. Yayın Tarihi: 11 Aralık 2015. Erişim tarihi: 02 Ocak 2015.

7. World’s Biggest Data Breaches. Selected losses greater than 30,000 records. (updated 2nd October 2015). Erişim tarihi: 02 Ocak 2015.