Sağlık Bilişiminde Siber Güvenlik

Endüstri 4.0 ile birlikte her alanda hızlı bir dijitalleşme yaşanmaya başladı. Özellikle teknolojik cihazların internete bağlı nesneler (IoT) kapsamında hızla çoğalması, internetin sağladığı imkanların sağlık alanında da yoğun bir şekilde kullanılmasıyla Sağlık Bilişiminin gelişimi hız kazanmış oldu. İşin gereği olarak Sağlık alanında sürekli bir veri üretimi olmaktadır. Hasta -Doktor ilişkisinin çevresinde örülmüş olan ve tanıya yardımcı olacak her türlü faaliyet sonrasında mutlaka yeni veriler ortaya çıkmaktadır. Verinin ortaya çıkması verinin güvenli tutulmasını ve sonucunda da Siber Güvenlik ihtiyacını zorunlu hale getirmiştir. (siber güvenlik)

Sağlık Verisinin Önemi

7 Nisan 2016 tarihli ve 29677 Sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile birlikte veriye bakış değişmiştir. Teknolojik gelişmeler sonrasında yaşanan dijital dönüşümün sonucu olarak verinin tutulduğu ve saklandığı platformlar büyük değişiklik göstermeye başlamıştır. Kağıttan Buluta olarak adlandırabileceğimiz bir süreç sonrası, her türlü veri dijitalleştirilerek elektronik ortamlarda işlenmeye ve muhafaza edilmeye başlanmıştır. KVKK kapsamında Sağlık verisi diğer veri türlerinden ayrıştırılmış ve ayrı olarak değerlendirilen daha hassas bir kategoriye ayrılmıştır: Söz konusu Kanunun aşağıdaki maddelerinde bu konu açıkça görülebilmektedir:

Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kanun maddelerinde görüldüğü üzere sağlık verisi Özel Nitelikli Kişisel Veri kapsamında değerlendirilmektedir. Bu verilerin işlenmesi için kanunda ilgili olarak tanımlanan verinin sahibinden ayrıca bir Açık Rıza alınarak işlenmesi hüküm altına alınmıştır. Bu şekilde Özel Nitelikli Kişisel Veri olarak belirtilen sağlık verisinin güvenli olarak muhafazası ve işlenmesi zorunluluğu doğmuştur. Ayrıca sağlık verisinin böylesi bir önemi olması bu veri grubuna karşı yapılan siber saldırıları da artırmıştır.

Sağlık Teknolojisi

Sağlık teknolojisi, günümüz teknolojik araçları içerisinde en hızlı gelişen araçları kapsamaktadır. Sağlık sektöründeki en büyük müşterinin Kamu olması ve büyük bir pazarı kapsaması bu alanda birçok firmanın çalışması ve teknoloji üretme çabasında olmasına neden olmaktadır. Endüstri 4.0 ile birlikte yapay zekâ kavramı hayatın her alanında yerini almaya başladı. Yapay zekanın en önemli özelliği ise veri ile beslenmesi. Teknolojinin yeni gözdesi internete bağlı nesneler alanında ise hemen hemen her cihaza mutlaka az da olsa bir yapay zekâ uygulanmaya çalışılıyor. Yapay zekanın verimli çalışması ise o alanda yeterli veri ile beslenmesine bağlıdır. Bu zorunluluk belki de en fazla internete bağlı nesneyi barındıran Sağlık Teknolojisinde de mevcut olmaktadır.

Bir hastaneyi gözümüzde canlandırdığımızda ne kadar fazla teknoloji barındırdığını görebilmekteyiz. Kapıdan girdiğimiz andan itibaren karşımıza çıkan ateş ölçerlerden başlayan bir teknoloji dünyası. Tüm bu teknolojik cihazların ürettiği veriler ise bambaşka bir dünyaya kapı açıyor. Big data olarak adlandırılan kavram yine bir Endüstri 4.0 bileşeni. Hastane muayene tecrübelerimiz gözümüzde canlandığında tanıya yardımcı olan birçok cihazı hatırlıyoruz. Kan tahlili yapan cihazdan, röntgen çekip ilgili doktorun masasındaki bilgisayardan erişim imkânı veren internete bağlı röntgen cihazına kadar birçok medikal cihaz aklımıza geliyor. Tüm bu bileşenleri düşündüğümüzde Sağlık Bilişim Sistemlerinin nasıl bir tehdit altında olabileceğini hayal edebiliriz.

Sağlık Alanındaki Siber Tehditler

Her zamanki gibi en büyük tehdit sağlık verisinin izinsiz erişime maruz kalması olmaktadır. Sağlık verisi hem kişisellik içerdiğinden hem de yapay zekâ içeren medikal cihazların ihtiyacı olan eğitim verisi eksikliği nedeniyle en büyük hedef haline gelmiştir. Yapılan akademik araştırmalar da görülmektedir ki sağlık verisinin değeri kredi kartı verisinin yaklaşık 10 katı bir değerdedir. Bu verilerin Deep Web olarak bilinen ve internetin karanlık tarafını tanımlayan ortamlardaki değeri sürekli artmaktadır. Birçok cihaz yapay zekâ destekli yapılmaktadır ve hemen hemen hepsi bilinen ve artık herkesin kullandığı eğitim verilerini kullanmaktadır. Bu akıllı medikal cihazların üretimindeki en büyük ihtiyaç yeni ve gerçek veridir. Buradan anlaşıldığı üzere en büyük tehdit yine veriyi hedef almaktadır.

Sağlık verisin tutulduğu veri tabanları saldırı tehdidi altındadırlar. Bu veri tabanlarının bulundukları ağlar hem içeriden hem de dışarıdan çeşitli saldırılara maruz kalmaktadırlar. Güvenlik yazılımı şirketlerinin yapmış oldukları araştırmaların raporlarında Amerika’da en çok siber saldırıya maruz kalan sektör Sağlık sektörü olduğu belirtilmektedir.

Sağlık verisine karşı yapılan saldırılar sadece veriye yetkisiz erişim ile sınırlı kalmamaktadır. Bu verinin iletişim sürecindeki saldırılar ile verinin içeriğinin değiştirilmesi ve olumsuz sonuçlar doğurabilecek yanlış tanı, teşhis ve tedaviye sebep olabileceği de unutulmamalıdır.

Medikal cihazların internet yardımıyla neredeyse kıtalararası kontrolü mümkün olmaktadır. Birçok kez iki farklı kıta arasında internet sayesinde ameliyatlar yapıldığını görme şansını sahip olmuştuk. Buradan da anlaşılacağı üzere tıbbi cihazlara erişim imkânı sağlayan teknoloji bu tıbbi cihazların kötü ellerin kontrolüne geçmesine de imkân sağlayabilecektir. Siber Saldırganlar tarafından ele geçirilen bir tıbbi görüntüleme cihazında yapılan görüntülemeye sonradan eklenen bir tümör görüntüsü hastanın sağlık durumunu ciddi bir şekilde etkileyebilecektir. Sadece kan grubunu ölçen bir cihazın siber saldırı sonrası farklı değerler üretmesi sonu insan hayatına mal olacak büyük sorunlara sebebiyet verecektir.

Uzun yıllar boyunca süren tedaviler ile ilgili tüm verinin bir siber korsan tarafından sisteme sızılıp şifrelenmesinin yaratacağı olumsuzlukları sadece hayal etmemiz bile dehşete düşmemize neden olmaktadır. Sağlık alanında gün geçtikçe kullanımı yaygınlaşan tıbbi akıllı cihazlar siber korsanların hedefleri arasında yer almaktadırlar. Hastaların anlık takibini yapmakta kullanılan bu cihazlar kullandıkları iletişim protokollerinin taşıdıkları güvenlik açıklıkları nedeniyle tehdit altındadır.

Sağlık Alanındaki Güvenlik Açıklıkları

Her alanda olduğu gibi sağlık alanında da birçok güvenlik açıklığı tespit edilebilmektedir. Bu alanda kullanılan cihazların geliştirilme aşamasında ve sonrasında saha kullanımları süreçlerinde yeterli siber güvenlik testleri yapılamadığı için birçok açıklıkla kullanıma sunulmaktadırlar. İnternete bağlı nesneler kapsamında değerlendirebileceğimiz akıllı tıbbi cihazlar maalesef yeterli siber güvenlik sıkılaştırılmaları yapılmadan piyasaya sürülmektedirler. Bunun en önemli sebepleri arasında artan maliyetler ve zaman kaybına neden olabilecek çalışmaların ticari kaygılara neden olmasıdır. Tıbbi cihazların üretilmesi ve kullanıma sunulması sürecinde zaman en önemle tahditlerden birisidir. Bu nedenle üretim sürecinde sürat bir zorunluluğa dönüşmüştür. Özellikle karmaşıklaşan yazılım ve donanımlara sahip olan yeni nesil tıbbi cihazların sıkı bir kontrol ve test süreci yaşaması gerekmektedir.

Bir diğer siber güvenlik açığı ise iletişim altyapısının yani internetin taşıdığı güvenlik açıklıklarıdır. Özellikle artan IP adresi ihtiyacı ve hala dünya genelinde IPv6 kullanımına geçilememenin getirdiği sıkıntılar internet ortamındaki belirsizlikleri artırmıştır. Siber korsanların sağlık alanındaki ana bileşenlere yani sağlık kurumlarına karşı artan saldırılarına bu belirsizliklerin neden olduğu düşünülmektedir. Yazılım ve donanım alanında yaşanan gelişmeler bu platformlardaki güvenlik açıklıklarının artmasına neden olmaktadır. İnternete bağlı nesnelerin en büyük özellikleri sürekli birbirleri arasında iletişim kurma maksatlı haberleşmeleridir. Ortamda sürekli bir haberleşme olduğundan, bu iletişimin siber korsanlarca takip edilerek istismar edilmesi ve sağlık kurumlarının ağlarına sızılması olası bir hale gelmektedir.

Siber güvenlik kavramında her zaman en zayıf halka olarak gösterilen İnsan faktörü ise başlı başına bir güvenlik açığını oluşturmaktadır. Siber güvenlik konusunda farkındalık eğitimi eksik olan ve bilinçsiz davranışlar sergileyerek en güçlü güvenlik sistemlerinin bile yetersiz ve çaresiz kalmasına neden olan insan faktörü sağlık alanında da karşımıza çıkmaktadır. Özellikle içerdikleri yüksek teknoloji ile her biri adeta mobil bir bilgisayarı andıran cep telefonları her insan tarafından kullanılmaktadır. Bu cep telefonları sayesinde zaten güvenlik zincirinin en zayıf halkası olan insan faktörünün daha kolay istismar edilmesine sebep olmuşlardır. Maalesef her an internete erişim halinde olan bu teknoloji mucizeleri sağlık kurumlarının oluşturduğu güvenlik kafeslerini delik deşik etmektedir. Son günlerde mobil uygulamaların indirilerek kullanıldığı başlıca kaynaklar olan Playstore ve Appstore gibi güven konusunda şüphe duyulmaması gereken platformlardan zararlı yazılımlar içeren uygulamaların dağıtıldığı haberleri duyulmaktadır. Böylesi bir kaotik ortamda tam bir siber güvenlik ancak temenni edilebilmektedir.

Sağlık Sektöründe Siber Saldırı Örnekleri

Amerika Birleşik Devletleri’nin Wyoming eyaletindeki Campbell County Memorial Hastanesi Eylül 2019’da bir Fidye Yazılım saldırısıyla karşı karşıya kalmıştır. Bu saldırıda Hastanedeki bilgisayar sistemine sızan siber korsanlar hasta verilerini şifreledikten sonra bu verilerin şifrelerinin çözülmesi için hastane yönetiminden fidye istemişlerdir. Bu saldırı ne ilk ne de son saldırı olmuştur. Amerikan Hükümeti sürekli olarak sağlık kuruluşlarını ve özellikle hastaneleri uyarmaktadır. Kuzey Kore kaynaklı siber saldırılarda artış olduğunu ve bu saldırıların sağlık sektörü üzerinde yoğunlaştığını belirtmektedir. Siber güvenlik firmaları tarafından yayınlanan raporlara göre sağlık kuruluşlarına karşı yapılan Fidye Yazılımı saldırıları 2021 yılından 2022 yılına %94 oranında artış göstermiştir. Amerika Birleşik Devletleri’nde hizmet veren sağlık kuruluşlarından üçte ikisinden fazlası 2021 yılı içerisinde en az bir kez Fidye Yazılım saldırısına maruz kaldığını bildirmiştir.

Amerika Birleşik Devletleri’nin Florida eyaletinin güneyindeki Broward County’de 30’dan fazla sağlık kuruluşunu kapsayan sağlık sistemi 2021 yılının sonlarında bir siber saldırıya maruz kalmıştır. Bu saldırı sonrasında yaklaşık 1,3 milyon hastanın bilgilerinin etkilendiği rapor edilmiştir. Saldırgan sağlık sistemine bir tıbbi cihaz yazılımın üzerinden sızmıştır. Siber saldırganlar hastaların tıbbi tanı ve teşhis bilgilerinin yanı sıra, hastaların isimlerine, doğum günlerine, adreslerine, banka bilgilerine, Sosyal Güvenlik numaralarına, ehliyet numaralarına ve hasta geçmişlerine erişim sağlamışlardır.

Paris’in güneydoğusunda küçük bir yerleşim yeri olan Corbeil-Essonnes’teki hastaneyi hedef alan siber korsan hastanenin tüm kayıtlarını şifreledi. Hastane yetkililerinden dosyaların şifrelerini açmak için tam 10 milyon $ isteyen korsana hiçbir ödeme yapılmadı. Hastane çalışanları tüm işlemleri manuel yapmak zorunda kaldı. Geçtiğimiz ağustos ayı içerisinde gerçekleşen bu siber saldırı hastanenin bir süreliğine sağlık hizmeti kesintisi yaşamasına neden oldu.

Ülkemizde meydana gelen siber saldırılardan haberdar olmamızı Kişisel verileri Koruma Kanunu ve Kişisel Verileri Koruma Kurumuna borçluyuz. Kurumun internet sitesinde yayınladığı Veri İhlali Bildirimleri incelendiğinde 2022 Mart ayında sağlık alanında büyük bir veri ihlali yaşandığı görülmektedir. Yonca Sağlık Hizmetleri Ltd. Şti.ne yapılan saldırı tipinin veri ihlal bildiriminin yayınlandığı 2022 Nisan ayı itibariyle belirlenemediğini yine veri ihlal bildiriminden öğreniyoruz. Bu saldırıdan etkilenen kişi sayısı 500.000 olurken etkilenen veri kaydı sayısı ise 2,5 milyon civarında oluyor.

Siber saldırı örneklerinden görüldüğü üzere siber saldırganlar tarafından sağlık sektöründe işlenen sağlık verisine karşı yoğun bir ilgi gösteriliyor. Tüm bu ilginin nedeni ise sağlık verisinin diğer verilerden çok daha değerli olması.

Sağlık Sektöründeki Yaygın Güvenlik Açıkları

Bünyesinde bilişim cihazları bulunduran her alanda mevcut olan güvenlik açıkları Sağlık sektöründe de mevcut olmaktadır. Ancak sağlık bilişiminde geliştirilen teknolojide birincil hedef hastalıkların tanı, teşhis ve tedavisi olduğu için güvenlik daha arkalarda kalan bir ilgiye sahip olmaktadır. Aslında bu kader internete bağlı nesneler ya da nesnelerin interneti olarak adlandırılan yeni ekosistemin kaderidir. Akıllı ev otomasyonlarında kullanılan akıllı fırının birincil vazifesi yemeği pişirmektir. Siber güvenlik gibi bir endişesi yoktur. İçerisindeki etin hangi derecede pişirilip ne zaman sıcak servise hazır olması gerektiğini ev sahiplerinin GPS sinyalleriyle konumlarının tespitinin yapıldığı ana otomasyon sistemiyle haberleşerek karar vermektedir. Aynı düşünce içerisinde akıllı hasta takip monitörü tüm dikkatini hastanın değerlerine vermektedir. İşte bu nedenle tıbbi cihazlara yetkisiz erişim konusunda siber saldırganlar çok fazla zorluk çekmezler.

Aynı ilgi bu tıbbi cihazların donanım üzeri kod olarak tanımladığımız firmware yazılımlarının yeterince güncellenmemesinde de karşımıza çıkmaktadır. Güvenlik yazılımlarının ya da yazılım güncellemelerinin yetersiz kalmasını yazılımsal açıklıklar arasında sayarken kullanım ömrü tamamlanan bilgisayarlara yeterli özen gösterilmeden ve imha protokollerine uyulmadan sistem dışarısına çıkarılması da donanımsal açıklıklardan sayabiliriz.

Güvenli olmayan ve takibi yapılmayan ağ bağlantıları da ağ açıklıklarının başında gelmektedir. Özellikle hastanelerin her yerinde mevcut olan kablosuz ağ erişim noktaları hastane içerisinde her noktadan ulaşılabilen bir ağa gerekli güvenlik önlemleri alınmadan yetersiz kayıt tutularak bağlanan bir iletişim havuzu oluşturmaktadır. Bu ortama bir de güvenlik zafiyeti içerisinde olan mobil cihazlarda eklenince siber saldırganlar için çekici bir saldırı hedefi ortaya çıkmaktadır.

Siber Güvenlik Nasıl Sağlanabilir?

Sağlık alanında çalışan birçok aktör bulunmaktadır. Hastaneler, araştırma laboratuvarları, kamu sağlık kurumları, ilaç ve tıbbi cihaz geliştirme ve pazarlama şirketleri vb. Böylesine karmaşık paydaşları olan sistemde tekdüze bir siber güvenlik protokolü ile güvenlik sağlamak pek de mümkün gözükmemektedir. Sağlık verilerini güvende tutmak için de çok yönlü bir siber güvenlik anlayışı olması gerekir. Aşağıda sıralanan önlemler tamamıyla bir güvenlik sağlamasa da caydırıcılık açısından önemli olacaktır:

  • Tıbbi cihazların donanım ve yazılım güvenliğinin sağlanması,
  • Donanım üzeri yazılımların ve uygulama yazılımlarının güncelliğinin sağlanması,
  • Ağ güvenliğinin çok yönlü kurulması,
  • Sisteme dışarıdan erişimin kısıtlanması,
  • Verilerin depolanması ve yedeklenmesi protokollerinin oluşturulması,
  • Bilgi Güvenliği Standartlarının uygulanması,
  • Kullanıcılara Siber Güvenlik Farkındalık eğitimlerinin verilmesi,
  • E-posta güvenliğinin sağlanması,
  • Siber Olaylara Müdahale Ekibinin kurulması,
  • Sistemin bilişim uzmanlarınca sızma testleri yapılarak güvenilirlik kontrollerinin yapılması,

Siber Güvenlik konusunda uzmanlardan sürekli danışmanlık hizmeti alınması gibi daha birçok önlem sayabilir. Burada sıralanan önlemler ilk akla gelen önlemlerdir. Tam bir siber güvenlik sağlamanın mümkün olmadığı söylense de caydırıcılığın siber saldırıların gerçekleşmesi konusunda etkisi büyüktür.

Sonuç

Siber Güvenlik alanı klasik bilişim alanlarından çok farklıdır. Bu alanda eğitimin önemi mutlaka vardır. Ancak tıpkı sanatın dalları gibi hayal gücü çok önemlidir. Temel mühendislik bilgisi bilişim altyapısının oluşturulmasında önem taşır ancak sonrası Siber Güvenlik uzmanının hayal gücüyle gelişir. En iyi siber güvenlik uzmanları her zaman en iyi hackerlardan oluşmuştur. Siber Güvenlik Uzmanı olmak için süreli kurslar yeterli olmayacaktır. Eğitim iyi bir farkındalık sağlayacaktır. Sonrası o kişinin ilgi ve gönül vermesi ile gelişecektir. Böylesi değerli bir bilgi birikimine sahip uzmanlardan siber güvenlik stratejisi oluşturulurken faydalanmak önem arz edecektir.

Sağlık Bilişimi farklı özelliklere sahip olan bir alandır. Bu alana özel bu ekosistemi yakından tanıyan uzmanların yetiştirilmesi artık bir zorunluluk halini gelmiştir. Özellikle yapay zekâ tabanlı sistemlerin yaygınlaşması tüm gözleri sağlık verisinin üzerine toplamıştır. Karmaşık ve hassa bir ortamda standartlar çevresinde güvenlik örgüsü oluşturmak daha faydalı olacaktır. Uluslararası güvenlik standartlarının çekirdekte yer alacağı Özelleştirilmiş Siber Güvenlik Politikaları maksimum güvenlik seviyesinin sağlanmasında faydalı olacaktır.

Düşmanı yenmek için onun gibi düşünmek gerekir…

Av. Murat Osman KANDIR’ın tüm Blog yazılarını bağlantıdan okuyabilirsiniz.

Yazarın 11. Sayı’mızdaki “Siber Suçlarda Sosyal Medya Etkisi” isimli yazısını okumak için bağlantıya tıklayınız.

Yazar: Avukat Murat Osman KANDIR – Bilgisayar Yüksek Mühendisi – Hukuk ve Bilişim Dergisi Yayın Kurulu Üyesi