Siber saldırılar iş dünyası için önde gelen bir risk faktörüne dönüştü. Gartner’ın öngörülerine göre, önümüzdeki beş yıl içerisinde, siber saldırılar şirketler için 5,2 trilyon dolarlık bir ek zarar ve gelir kaybı oluşturabilir (1). Peki ciddi bir ekonomik kayıp yaratan ve her geçen gün sayısı artarak gelişen bu siber saldırılar insan sağlığını tehdit edebilir mi ya da sağlık endüstrisinde kullanılan ve hayatı büyük ölçüde kolaylaştıran yeni teknolojiler bir silaha dönüşebilir mi?

Sağlık sektöründe siber güvenlik konusu giderek büyüyen bir endişe kaynağı. JAMA Internal Medicine’de yer alan makaleye göre, 2009-2017 yılları arasında hackerlar 133,8 milyon hastanın bilgilerini ele geçirmiş. Buna ek olarak, Amerikan sağlık sistemi veri sızıntılarına bağlı olarak 2016 yılında 6,2 milyar dolar kaybetmiş. Makaledeki bir diğer çarpıcı veri ise, 2016 yılında, her 5 doktordan 4’ünün bir siber saldırıya maruz kalmış olması (2).

Her ne kadar, bazı uzmanlar medikal cihazlara ait siber güvenlik risklerinin gereğinden fazla önemsendiğini belirtse de geçtiğimiz ay Amerikan Gıda ve İlaç İdaresi’nin (FDA) Medtronic markasının MiniMed insülin pompalarının siber güvenlik riski altında olabileceği uyarısı basında geniş bir yer bulmuş ve cihazı kullanan hastalara risk altında olan cihazların daha güvenlikli olanlarla değiştirilmesi gerektiği çağrısı yapılmıştı.

Uzmanlara göre, cihazlarda tespit edilen güvenlik açığı, yeterli teknik becerilere ve donanıma sahip potansiyel bir saldırgan için, yakındaki bir insülin pompasına cihazın ayarlarını değiştirmesi ve insülin iletimini etkilemesi için radyo frekansı sinyalleri göndermesine uygun ortam sağlayabiliyor. Bu çerçevede böyle bir saldırı, hastanın hipoglisemi ya da hiperglisemiye girmesine dahi neden olabiliyor (3). Güvenlik açığının tespitinin ardından, FDA yaptığı çağrıda, hastalara insülin pompalarını ve pompalara bağlı cihazları her daim kontrolleri dahilinde tutmaları, pompa seri numarasını paylaşmamaları ve yetkilendirilmemiş yazılımların kullanmamaları gibi uyarılarda bulundu (4).

Sağlık sektörünü hedef alan siber saldırılar her zaman ölüm ya da yaralanmalar kadar ciddi sonuçlar doğurmayabilir Bununla beraber, 2017 WannaCry saldırısında görüldüğü gibi, hassas medikal kayıtlar ve hastane veri tabanları siber saldırılar için önemli bir hedef oluşturuyor. Örneğin, İngiltere Sağlık Bakanlığı’nın açıklamasına göre, WannaCry saldırısı saldırıdan etkilenen sağlık kuruluşlarında 19,000 randevunun iptal edilmesine sebep olmuş, saldırı insan sağlığını doğrudan tehdit etmese de sağlık hizmetlerini aksamaya uğratmıştı (5).  BBC’nin haberine göre ise bu geniş çaplı küresel siber saldırı sonrası birçok hastanede bilgisayar sistemleri çökerken bazı hastanelerde ameliyatlar gerçekleştirilememiş ve acil durumlar dışında hasta kabulü yapılamamıştı (6). Hatırlanacağı üzere, WannaCry Türkiye dahil 99 ülkede binlerce bilgisayarı etkilemiş, geliştirilen fidye yazılımı ile siber korsanlar dosyaların teslim edilmesi için kurumlardan para talep etmişti.  

Amerikan Sağlık ve Sosyal Hizmetler Bakanlığı biriminin yayınladığı “Sağlık Endüstrisinde Siber Güvenlik Pratikleri” raporunda, 2016 yılında, bir hastaneyi hedef alan siber saldırıda hastanenin tüm bilgisayar sistemleri dondurulduğu ve hastaneden fidye talep edildiği bilgisine yer veriliyor. Rapora göre, saldırı neticesinde, bilgisayar sistemleri kullanılamaz hale gelen hastane hasta kayıt ve verileri kâğıt ve kalem kullanarak kaydetmek zorunda kalırken, her ne kadar yetkililerin müdahalesiyle sistemler geri getirilmeye çalışılsa da, sistemlerin kontrolünün geri alınabilmesi için 17,000 Dolar ödemek zorunda kalınıyor (7).

Peki sağlık sektörü ve politika yapıcılar, sektör için önemli bir risk oluşturan siber tehditlere karşı nasıl önlemler almalı? Amerikan Sağlık ve Sosyal Hizmetler Bakanlığı’nın önerilerine göre, gelecek siber saldırı risklerine karşı üzerinde durulması gereken 10 öncelikli konu başlığı var (8):

• E-posta güvenlik sistemleri
• Endpoint koruma sistemleri
• Erişim politikaları ve uygulamaları
• Verilerin korunması ve veri kayıplarının önlenmesi
• Varlık (envanter) yönetimi
• Network yönetimi
• Zafiyet yönetimi
• Olay müdahalesi
• Medikal cihaz güvenliği
• Sibergüvenlik politikaları

Öte yandan, uzmanlar pazarlama öncesi kontrollerle siber güvenlik riskini tamamen azaltmanın mümkün olmadığına dikkat çekerken, sağlık sektörleri güvenlik davranışlarının ve risk değerlendirmelerinin yapılması ve buna ek olarak “olay sonrası planları” geliştirilmesi gerektiğinin vurgusunu yapıyorlar (9). Bununla beraber, raporlanan veri sızıntıları ya da kayıplarının büyük bölümünün “insan” temelli olduğunun da altını çizmek gerekiyor. Bu çerçevede, “farkındalık” bütüncül bir siber güvenlik politikasının en temel bileşenlerinden biri olarak öne çıkıyor. Nitekim siber saldırılar sonucu en büyük kayıplar genellikle farkındalık ya da kaynak eksikliğinden ortaya çıkarken, insan temelli siber güvenlik politikaları ve siber güvenlik farkındalık geliştirme çalışmaları sağlık sektöründe siber güvenlik çalışmalarının önemli bir parçasını oluşturuyor.

Kaynaklar:

1. Information Age, “The true cost of cybercrime? $5.2 trillion apparently, Link: https://www.information-age.com/cost-cybercrime-123478352/
2. Fierce Health Care, “Theft and disclosures account for most healthcare data breaches. But hackers took 3 times as many records”, Link: https://www.fiercehealthcare.com/tech/healthcare-data-breaches-jama-hhs-hacking-theft-unauthorized-disclosure-phi
3. FDA, “Certain Medtronic MiniMed Insulin Pumps Have Potential Cybersecurity Risks: FDA Safety Communication”, Link: https://www.fda.gov/medical-devices/safety-communications/certain-medtronic-minimed-insulin-pumps-have-potential-cybersecurity-risks-fda-safety-communication
4. Zak Doffman, “FDA Warns Of Dangerous Cybersecurity Hacking Risk With Connected Medical Devices”, Forbes, Link: https://www.forbes.com/sites/zakdoffman/2019/06/28/fda-issues-cybersecurity-warning-over-hacking-risk-for-connected-medical-devices/#5ea1c962561d
5. The Telegraph, “WannaCry cyber attack cost the NHS £92m as 19,000 appointments cancelled”, Link: https://www.telegraph.co.uk/technology/2018/10/11/wannacry-cyber-attack-cost-nhs-92m-19000-appointments-cancelled/
6. BBC News, “Fidye yazılımı 'WannaCry' Türkiye dahil 99 ülkede binlerce bilgisayarı etkiledi”, Link: https://www.bbc.com/turkce/39899848
7. Department of Health and Human Services, “Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients”, Link: https://www.phe.gov/Preparedness/planning/405d/Documents/HICP-Main-508.pdf
8. Eli Richman, “Ransomware, phishing attacks top new HHS list of cyberthreats in healthcare”, Link: https://www.fiercehealthcare.com/tech/ransomware-phishing-attacks-top-hhs-list-cyberthreats-for-healthcare
9. İ. Hamit Hancı, Hilal Tokgöz İshak Yapar, “Tibbi Sistemleri Ve Cihazları Hedef Alan Siber Saldırılar”, Adli Bilimler Dergisi, 2018, Link: https://www.medikalakademi.com.tr/?get_group_doc=22/1529524068-Tibbi-cihaz-siber-saldiri.pdf