Dosya Sağlıkta Bilişim ve Beklentiler 13 MAYIS 2016 / 18:56

SİBER SALDIRILAR, SAĞLIK SEKTÖRÜNE DE KAYIYOR

Güvenlik ihlallerine ve veri sızıntılarına yol açan, Gelişmiş Kalıcı Tehditler (APT) ile ‘Güvenlik Yaşam Döngüsü'nün hedef alındığı, dağıtık hizmet aksatma (DDOS) saldırıları, sanal saldırılar, ısrarcı tehditler ve e-posta vektör saldırıları gibi tehditler önümüzdeki yıllarda büyük ölçüde artacak saldırı türleri arasında. Fortinet Bölge Satış Direktörü Derya Aksoy, konuyla ilgili şu bilgileri verdi: “Bankacılık ve finans sektörlerinde daha çok karşımıza çıkan siber saldırılar, başta sağlık olmak üzere güvenliğin ilk önceliklerden biri olmadığı sektörlere de kayıyor. Fortinet olarak özellikle sağlık sektörüne yönelik birçok bir projeyi hayata geçirdik. Dünya genelinde sağlık sektörünün çeşitlilik gösteren ve güvenlik açısından kritik önem taşıyan ihtiyaçlarını karşılayan çözümleri sunuyoruz. Kolay entegre edilebilen, ölçeklenebilen güvenlik çözümlerimizle, sağlık sektörüne performanslarından feragat ettirmeden güvenlik katıyoruz. Bu nedenle ABD’nin en büyük on sağlık kurumundan yedisi ve yine en büyük on ilaç şirketinden yedisi güvenlik hizmetini Fortinet’ten alıyor. Fortinet’in sağlık çözümleriyle; hasta verilerini koruma altına alan bir ağ güvenliği sağlanıyor, merkezi güvenlik mimarisiyle hasta bilgileri kolaylıkla yönetilirken düşük gecikme süresine sahip ağlarla büyük tıbbi dosyaların transferi güvenli bir şekilde gerçekleştiriliyor. Diğer yandan dahili segmentasyon güvenlik ağları (Internal Segmentation Firewalls) kullanılarak tıbbi cihazlar korunurken gelişmiş tehdit koruması yapısı ATP ile klinik güvenlik en üst seviyeye çıkartılıyor.”
 
Hasta bilgileri, çalınan kredi kartı bilgilerinden 20 kat daha değerli 
Elektronik Sağlık Kayıt sisteminden tıbbi cihazlara kadar sağlık sistemlerinin tamamı, düşündüğümüzden çok daha büyük bir tehdit altında. “Günümüzde karaborsaya dönüşmüş olan hasta bilgileri, perakende sektöründeki güvenlik açıkları nedeniyle çalınan kredi kartı bilgilerinden 20 kat daha değerli” diyen Aksoy, şunları kaydetti: “Hastayla ilgili tıbbi bilgiler, siber suçluların kimlik hırsızlığı ve sahtecilik işlemlerinde kullanabileceği kadar ayrıntılı veriler içeriyor. Daha da önemlisi, hastaların bilgilerinin ele geçirildiğini anlaması çok daha uzun sürüyor. Kötü amaçlı yazılımlar, e-Dolandırıcılık, ‘trojan'lar ve fidye yazılımlar gibi tehditlerin hepsi pusuya yatmış durumda. Özellikle sağlık sektörü, bu tehditler karşısında çok daha savunmasız; çünkü gömülü güvenlik mekanizmalarından yoksun ve diğer sektörlerde olduğu gibi güvenlik algısına öncelik vermiyor. Bu tür kötü amaçlı yazılımlar yalnızca hassas verileri açığa çıkarmıyor; aynı zamanda uzun süreli ve yüksek maliyetli BT sorunlarına da yol açıyor. Bu saldırılar yeni olmamasına rağmen her geçen gün daha karmaşık hale geliyor. Bugün kalp monitörlerinden insülin pompalarına kadar her şey, bir ağ üzerinden birbiriyle bağlantılı hale getirilebiliyor ve otomatik Elektronik Sağlık Kayıt sistemi arayüz bağlantısı üzerinden sağlık çalışanlarına gerçek zamanlı uyarılar gönderebiliyor. Hasta bakımı ve operasyonel verimlilik açısından bu iyi bir şey olsa da güvenlik açısından önemli açıkları da beraberinde getirebiliyor. Yine MR cihazları, CT tarayıcılar ve pek çok tanı cihazı gibi tıbbi cihazların çoğu, güvenliği ön planda tutarak tasarlanmamış değil. Siber teröristler hastalara zarar vermek veya hastanelerdeki kritik sistemleri tamamen sekteye uğratmak için de makineleri istedikleri gibi kontrol edebilirler. Kısacası evimizdeki glukoz takip cihazından telefonumuzdaki iPhone uygulamasına kadar her şey siber saldırılara bu kadar kolay maruz kalabiliyorken, sağlık kurumlarının ne denli savunmasız olduğunu daha iyi anlayabiliriz. Bu sorunun önüne geçmek için en başta, sağlık sektöründe faaliyet gösteren şirketlerin verimlilik ve performansa ek olarak kesinlikle siber güvenlik mekanizması sunan çözümleri tercih etmesi gerekiyor. Sağlık sektörü, tıbbi kayıtlar siber suçlular tarafından ele geçirilmeden önce, proaktif bir şekilde gerekli güvenlik önlemlerini almalı; hem ağ hem de uygulama seviyesinde güvenlik sistemlerinin kurulumunu planlamalı.”