Siber güvenlik krizi sağlık sektöründe yaşansaydı neler olurdu

Geçtiğimiz günlerde yaşanan ve global firmalarda iş akışını durma noktasına getiren siber kriz, bilgi güvenliği endişelerini de su yüzüne çıkardı. Peki aynı kriz sağlık sektöründe yaşansaydı neler olurdu? Sağlıkta siber güvenliğin önemini İstinye Üniversitesi (İSÜ) Mühendislik ve Doğa Bilimleri Fakültesi Öğretim Üyesi Prof. Dr. Sedat Akleylek anlattı.

Siber güvenlik önlemleri gittikçe dijitalleşen dünyada öne çıkan konuların başında geliyor. Eğitimden sağlığa, e-ticaretten güvenliğe pek çok sektörde siber güvenlik çalışmaları ivme kazanıyor. Özellikle sağlık sektöründe siber güvenlik önlemlerinin önemine dikkat çeken İstinye Üniversitesi (İSÜ) Mühendislik ve Doğa Bilimleri Fakültesi Öğretim Üyesi Prof. Dr. Sedat Akleylek,sağlık verilerinin şifreli, kimliği doğrulanmış ve bütünlüğü sağlanmış bir şekilde tutulması gerektiğinin altını çizdi.

“Sağlık verilerimiz kötü kişilerin eline geçseydi ne olurdu?” sorusunun cevabını örneklerle veren Akleylek, “Bu durumda, kişilerin kan tahlil sonuçları, röntgen sonuçları, kalıtımsal hastalık bilgileri, ameliyat bilgileri gibi kişiye özel olan sağlık bilgileri internet ortamında dolaşıma girerdi. Bu bilgileri gören kötü niyetli kişiler bunları aleyhinize kullanabilirdi. Bu şeker hastası olan birisinin çayına bol bol şeker atmaya benziyor. Farklı hastalıklara sahip kişiler izinleri olmadan afişe edilebilir. Başka bir örnek olarak, sağlık sigortası yaptırmak istediğiniz zaman sahip olmadığınız hastalıkların varmış gibi gösterilmesi poliçe bedellerini artıracaktır veya yanlış tedavi uygulanması durumunu ortaya çıkaracaktır. Bu bütünlük ile ilişkili bir durumdur. Bu sebeplerden dolayı, sağlık verilerinin güvenli bir saklanması ve sadece yetkili kişilere erişime açık olması büyük önem arz etmektedir.

Aynı zamanda, sağlık merkezlerinde görevli ilgili çalışanlar sizinle ilgili verilere doğru ulaşamadığı taktirde, erişilebilirlik ve bunun sonucunda tedavinin gecikmesi veya uygulanamama problem ortaya çıkacaktır. Arşiv bilgisi olmadan hastaların kontrol edilmesi günümüzde başka sağlık problemlerini tetikleyebilir.

Bilgi güvenliği önemli

Bilgi güvenliği konusunda konuşan Prof. Dr. Sedat Akleylek, “Bir verinin güvenli bir şekilde saklanması, depolanması, paylaşılması, işlenmesi için gizlilik, bütünlük, kimlik denetimi, inkâr edememe, erişilebilirlik gibi kavramların sağlanması gerekiyor. Bu kavramların her biri sizden toplanan ya da paylaştığınız veya ürettiğiniz verinin güvenli kalacağını garanti eden özelliklerdir” dedi. 

“Sağlık verileri siber güvenlik kavramlarını sağlayacak şekilde saklanmalı”

Sağlık sektöründe bilgi güvenliğinin daha da önemli olduğuna dikkat çeken Akleylek, şöyle konuştu:

“Eskiden kişisel sağlık verileri herkes tarafından erişilebilir durumdaydı. Her doktor benim sağlık verimi görebilir ya da her hastane çalışanı benim sağlık verime ulaşabilirdi. Siber güvenlik altyapısı olmadığı için başka bir sektörün çalışanı da bu bilgilere erişebilirdi. Ancak günümüzde bu mantığı terk ederken, siber güvenlik önemlerinin de arttığını görüyoruz. Çünkü sadece sağlık bilgileriniz  kullanılarak çok kötü durumlar ile karşılaşabilirsiniz. Örneğin, bir akciğer röntgeninin başkalarıyla paylaşılması sizin genetik hastalıklarınızdan tutun da kişisel sağlık verilerinize ilişkin çok fazla bilgiyi açığa çıkarır. O yüzden sağlık verilerinin sistematik anlamda siber güvenlik kavramlarını sağlayacak gizlilik, bütünlük, kimlik denetimi, erişilebilirlik gibi bileşenleri de kapsayacak şekilde saklanması, depolanması, paylaşılması gerekiyor.”

“Paylaşımlar günümüz gizlilik kurallarına uygun bir şekilde yapılmalı”

Prof. Dr. Akleylek, sağlık verilerinin nasıl saklanması gerektiğiyle ilgili de şu bilgileri veriyor:

“Tahlil, röntgen sonuçları, önceki teşhisler gibi kişiye özel sağlık verilerinin arşivlenmesi ve bu arşivlere diğer sağlık personellerinin de erişmesi gereken durumlar olabiliyor. Ancak bu bilgilerin paylaşımı günümüz gizlilik kurallarına uygun bir şekilde olmalı. Aynı zamanda, bütünlük, erişim denetimi ve inkâr edememe üzerine farklı mekanizmalar bulunmalı. Sağlık verisinin en temel özelliklerinden biri kişiye özel olması ve kişinin izni olmadan kimseyle paylaşılamamasıdır. Buradan yola çıkarak, sağlık verilerinin depolama ortamlarında –günümüzde bulut olarak biliniyor– şifreli, kimliği doğrulanmış ve bütünlüğü sağlanmış bir şekilde tutulması gerekiyor.” 

“Bir hastanın tüm sağlık verileri her sağlık çalışanı için yetkilendirilemez”

Hastanın tüm bilgilerinin görülmesine gerek duyulmayan bir sistemin mümkün olduğunu belirten Akleylek, şunları söylüyor:

“İlgili uzmanın bireyin tüm bilgilerini görme hakkı olmadığı sağlık durumları da bulunuyor. O yüzden, bir hastanın tüm sağlık verileri her sağlık çalışanı için yetkilendirilemez. Ancak, bazı hastalıkların daha önce geçirilmiş başka hastalıkların sonucu veya nedeni olduğu göz önüne alındığında tüm sağlık verilerine ihtiyaç kapsamında erişim ve yetki verilmesi anlamlı olacaktır. Böylece yetkilendirme, kimlik doğrulama ve şifreli sağlık verisi üzerinde yapılacak aramalar ile en doğru sonuca bireyin tüm sağlık verisi elde edilmeden de ulaşılabilir.”