Sağlık alanı, bilgi teknolojilerinin (BT) kullanıldığı en önemli alanlardan biridir. Hastane bilgi sistemleri, tıbbi cihazlar, akıllı tıbbi cihazlar gibi pek çok teknoloji sağlık sektörünün verimliliğini, kalitesini ve erişilebilirliğini arttırırken aynı zamanda yeni riskler ve tehditler de getirmektedir. Bu riskler ve tehditler insan hayatını doğrudan ya da dolaylı olarak etkileyebilir. Bu nedenle sağlık alanında siber güvenlik büyük önem arz etmektedir.
Siber güvenlik, siber ortamda bulunan veri, sistem ve servislerin korunması için alınan önlemler bütünüdür. Sağlık alanında siber güvenlik ise sağlık kurumlarındaki kritik veri ve sistemlerin siber saldırılara karşı korunması için alınan önlemleri ifade eder.
Siber saldırılar, siber ortamda gerçekleştirilen kötü niyetli eylemlerdir. Siber saldırılarda genellikle fidye yazılımı (ransomware), veri hırsızlığı (data breach), kimlik avcılığı (phishing), hizmet engelleme (denial of service) gibi yöntemler kullanılır.
Sağlık sektörü siber saldırılara karşı neden açık hedef konumundadır? Bunun üç temel nedeni vardır:
– Sağlık sektörü bünyesinde barındırdığı hassas veriler nedeniyle siber suçluların ilgisini çeker. Hastaların tıbbi bilgileri, fatura kayıtları, sigorta bilgileri gibi veriler dark web ortamında yüksek fiyatlara satılabilir ya da fidye istenebilir.
– Sağlık sektörü yaşamsal hizmetler sunar. Bir siber saldırının hasta bakımını aksatması ya da durdurması hayati sonuçlar doğurabilir. Bu nedenle sağlık kurumları fidye yazılımına boyun eğmek zorunda kalabilir.
– Sağlık sektörü internet bağlantılı tıbbi cihazlara bağımlılık gösterir. Akıllı tansiyon aletleri, insülin pompaları, kalp pilleri gibi cihazlar uzaktan erişime açık olabilir ve bunların ele geçirilmesi hastaların sağlığına zarar verebilir.
Bu üç neden göz önünde bulundurulduğunda sağlık alanında siber güvenliği sağlamak için ne yapılmalıdır? Bunun için hem teknik hem de insan odaklı çözümler geliştirilmelidir.
Teknik çözümler arasında şunlar sayılabilir:
– Verilerin şifrelenmesi, yedeklenmesi ve düzenli olarak test edilmesi
– Sistemlerin güncellenmesi, yamalanması ve izlenmesi
– Ağların segmentasyonu, izolasyonu ve korunması
– Tüm cihazların güvenli bir şekilde yapılandırılması
– Güvenlik duvarları, antivirüs programları, kimlik doğrulama ve şifreleme gibi güvenlik araçlarının kullanılması
– Güvenlik ihlallerini tespit etmek ve önlemek için tehdit istihbaratı ve yapay zeka gibi gelişmiş teknolojilerin kullanılması
İnsan odaklı çözümler arasında ise şunlar sayılabilir:
– Sağlık çalışanlarının siber güvenlik bilincini arttırmak için eğitim ve farkındalık programları düzenlemek
– Sağlık kurumlarının siber güvenlik politikalarını oluşturmak, uygulamak ve denetlemek
– Sağlık kurumlarının siber güvenlik standartlarına uyum sağlamak için gerekli belgeleri almak
– Sağlık kurumlarının siber güvenlik uzmanlarıyla iş birliği yapmak ve danışmanlık hizmetleri almak
Sağlık alanında siber güvenliği sağlamak, hem teknik hem de insan odaklı çözümleri bir arada yürütmeyi gerektirir. Bu sayede sağlık sektöründeki kritik veri, sistem ve servisler korunabilir, hasta bakımı aksamaz, fikri mülkiyet değer kaybetmez ve itibar zedelenmez. Siber güvenlik sağlık alanında bir seçenek değil, bir zorunluluktur.