İçeriğe geç
Anasayfa » Sağlık Sektöründe Siber Güvenlik

Sağlık Sektöründe Siber Güvenlik

Sağlık sektöründe siber güvenlik kişisel veri güvenliği açısından oldukça önemli. Geniş bağlamda ise bu risk durumu iş dünyası geneli için geçerli. Gartner’ın tahminlerine göre, önümüzdeki beş yıl içinde siber saldırılar şirketlere 5.2 trilyon dolarlık ek zarar ve gelir kaybı yaşatabilir. Yüksek ekonomik kayıplar ve artan sayıdaki siber saldırılar insan sağlığını tehdit edebilir mi? Ya da sağlık endüstrisindeki hayatı kolaylaştıran teknolojiler silah olarak kullanılabilir mi?

Sağlık sektöründe siber güvenlik konusu giderek büyüyen bir endişe kaynağı. JAMA Internal Medicine’de yer alan makaleye göre, 2009-2017 yılları arasında hackerlar 133.8 milyon hastanın bilgilerini ele geçirmiş. Ek olarak, Amerikan sağlık sistemi veri sızıntılarına bağlı olarak 2016 yılında 6,2 milyar dolar kaybetmiş. Bir diğer önemli nokta da, 2016 yılında, her 5 doktordan 4’ünün bir siber saldırıya maruz kalmasıdır (2).

Bazı uzmanlar, medikal cihazlara ait siber güvenlik risklerinin gereğinden fazla önemseniyor olabilir. Ancak geçtiğimiz yıllarda FDA, Medtronic MiniMed insülin pompalarının siber güvenlik riski altında olabileceği belirtti. Bu noktada hastalara risk altındaki cihazların değiştirilmesini önerdi. Bu çerçevede böyle bir saldırı, hastanın hipoglisemi ya da hiperglisemiye girmesine dahi neden olabiliyor (3). Güvenlik açığının tespitinin ardından FDA bir çağrı gerçekleştirdi. İnsülin pompalarını ve bağlı cihazları her daim kontrolleri dahilinde tutmalarını önerdi. Hastaların pompa seri numarasını paylaşmamaları ve yetkilendirilmemiş yazılımların kullanmamaları gibi uyarılarda bulundu (4).

Medikal Kayıtlar Siber Risk Taşıyor

Pandemi ve siber güvenlik

Sağlık sektörünü hedef alan siber saldırılar, her zaman ölüm veya yaralanmalar kadar ciddi sonuçlar doğurmayabilir. Tıpkı WannaCry saldırısı gibi hassas medikal kayıtlar için hastanelerin veri tabanları hedef olabilir. Örneğin, İngiltere Sağlık Bakanlığı’nın belirttiğine göre, WannaCry saldırısından etkilenen sağlık kuruluşlarında 19.000 randevunun iptali yaşanmıştır. Dolayısıyla bu saldırılar, insan sağlığını doğrudan tehdit etmese bile, sağlık hizmetlerini olumsuz etkilemiştir. BBC’nin haberine göre, küresel çaplı bu saldırı sonrasında birçok hastanenin bilgisayar sistemleri çökmüştür. Üstelik bazı hastanelerde ameliyatlar gerçekleştirilememiş ve acil durumlar dışında hasta kabulü yapılamamıştır. Sonuç olarak WannaCry, Türkiye dahil 99 ülkede binlerce bilgisayarı etkilemiştir. Fidye yazılımı kullanarak kurumlardan dosyaların teslim edilmesi adına para talep edilmiştir.

Amerikan Sağlık ve Sosyal Hizmetler Bakanlığı biriminin yayınladığı Sağlık Endüstrisinde Siber Güvenlik Pratikleri raporunda, 2016 yılında, bir hastaneyi hedef alan siber saldırıda hastanenin tüm bilgisayar sistemleri dondurulduğu ve hastaneden fidye talep edildiği bilgisine yer veriliyor. Rapora göre, saldırı neticesinde, bilgisayar sistemleri kullanılamaz hale gelmiştir. Söz konusu hastane hasta kayıt ve verileri kâğıt ve kalem kullanarak kaydetmek zorunda kalmıştır. Her ne kadar yetkililer sistemleri geri getirmeye çalışılsalar da, kontrolünün tamamen geri alınabilmesi için 17.000 dolar ödenmesi gerekmiştir (7).

Peki sağlık sektörü ve politika yapıcılar, sektör için önemli bir risk oluşturan siber tehditlere karşı nasıl önlemler almalılar? HHS’ye göre gelecek siber saldırı risklerine karşı üzerinde durulması gereken spesifik konular var.

Dikkat Edilmesi Gereken Alanlar

  • E-posta güvenlik sistemleri
  • Endpoint koruma sistemleri
  • Erişim politikaları ve uygulamaları
  • Verilerin korunması ve veri kayıplarının önlenmesi
  • Varlık (envanter) yönetimi
  • Network yönetimi
  • Zafiyet yönetimi
  • Olay müdahalesi
  • Medikal cihaz güvenliği
  • Sibergüvenlik politikaları

Uzmanlara göre pazarlama öncesi kontrollerle siber güvenlik riskini tamamen azaltmak pek mümkün değil. Ancak sağlık sektöründe güvenlik davranışlarının ve risk değerlendirmelerinin yapılması gerektiğini belirtiyor. Bu noktada “olay sonrası planları” geliştirilmesi gerektiğinin vurgusunu yapıyorlar (9). Bununla beraber, raporlanan veri sızıntıları ya da kayıplarının büyük bölümünün “insan” temelli olduğunun da altını çizmek gerekiyor. Bu çerçevede, “farkındalık” bütüncül bir siber güvenlik politikasının en temel bileşenlerinden biri olarak öne çıkıyor. Nitekim siber saldırılar sonucu en büyük kayıplar genellikle farkındalık ya da kaynak eksikliğinden ortaya çıkarken, insan temelli siber güvenlik politikaları ve siber güvenlik farkındalık geliştirme çalışmaları sağlık sektöründe siber güvenlik çalışmalarının önemli bir parçasını oluşturuyor.

Kaynaklar:

  1. Information Age, “The true cost of cybercrime? $5.2 trillion apparently, Link: https://www.information-age.com/cost-cybercrime-123478352/
  2. Fierce Health Care, “Theft and disclosures account for most healthcare data breaches. But hackers took 3 times as many records”, Link: https://www.fiercehealthcare.com/tech/healthcare-data-breaches-jama-hhs-hacking-theft-unauthorized-disclosure-phi
  3. FDA, “Certain Medtronic MiniMed Insulin Pumps Have Potential Cybersecurity Risks: FDA Safety Communication”, Link: https://www.fda.gov/medical-devices/safety-communications/certain-medtronic-minimed-insulin-pumps-have-potential-cybersecurity-risks-fda-safety-communication
  4. Zak Doffman, “FDA Warns Of Dangerous Cybersecurity Hacking Risk With Connected Medical Devices”, Forbes, Link: https://www.forbes.com/sites/zakdoffman/2019/06/28/fda-issues-cybersecurity-warning-over-hacking-risk-for-connected-medical-devices/#5ea1c962561d
  5. The Telegraph, “WannaCry cyber attack cost the NHS £92m as 19,000 appointments cancelled”, Link: https://www.telegraph.co.uk/technology/2018/10/11/wannacry-cyber-attack-cost-nhs-92m-19000-appointments-cancelled/
  6. BBC News, “Fidye yazılımı ‘WannaCry’ Türkiye dahil 99 ülkede binlerce bilgisayarı etkiledi”, Link: https://www.bbc.com/turkce/39899848
  7. Department of Health and Human Services, “Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients”, Link: https://www.phe.gov/Preparedness/planning/405d/Documents/HICP-Main-508.pdf
  8. Eli Richman, “Ransomware, phishing attacks top new HHS list of cyberthreats in healthcare”, Link: https://www.fiercehealthcare.com/tech/ransomware-phishing-attacks-top-hhs-list-cyberthreats-for-healthcare
  9. İ. Hamit Hancı, Hilal Tokgöz İshak Yapar, “Tibbi Sistemleri Ve Cihazları Hedef Alan Siber Saldırılar”, Adli Bilimler Dergisi, 2018, Link: https://www.medikalakademi.com.tr/?get_group_doc=22/1529524068-Tibbi-cihaz-siber-saldiri.pdf