W- Ankara Özel Natomed Hastanesi’nin başhekim ve mesul müdürü Sn. Prof. Dr. Ayşegül Akbay ile sağlık işletmelerinin siber güvenliği konusunu görüşeceğiz.
Prof. Dr. Ayşegül Akbay, geçtiğimiz yıl içinde hastanelerinin, 3 kez siber saldırıya uğradığını ve yedeklenen verilerin sisteme yeniden yüklenmesinin günlerce sürdüğünü belirtiyor.
Bu saldırılardan sonra, hastane, güvenlik duvarları hakkında ayrıntılı bir piyasa araştırmasına başlamış ve erişim kısıtlaması gibi önlemler almak zorunda kalmış. Hastane Afet uygulamalarında da öncelikle, siber saldırı tatbikatlarına öncelik vermiş.
Prof. Dr. Ayşegül Akbay, hastanelere siber saldırılar ve siber güvenlik konusunda şunları söylüyor;
A.A.- Hastane siber güvenliği, benzersiz zorluklarla ve hesaplanamayan risklerle ilgili acil bir sorundur. Sağlık sektörünün, sofistike ağların, bağlı cihazların ve dijital kayıtların benimsenmesini hızlandırması, klinik operasyonlarda ve hasta bakımında devrim yarattı.
Ancak, modern hastaneleri, siber saldırılara karşı savunmasız bıraktı. Son zamanlardaki yüksek profilli saldırılar, artan çabalara ve farkındalığa rağmen, bir dizi teknolojik, kültürel ve düzenlemelerle ilgili konularla, sağlık siber güvenliğini algılamayı ve bununla baş etmeyi, zorlaştırmaktadır.
Tipik bir ticari işletme için oluşturulan güvenlik çözümleri, hastane bilgi teknolojilerinin karmaşık dünyasına uygulandığında, yetersiz kalmakta ve sektöre özgü yeniliklere acil ve karşılanmayan bir ihtiyacı hissettirmektedir. Siber güvenliğin bir sonraki sınırı, günümüzde hastanelerin karşılaştığı zorlukları, özellikle de yeni ortaya çıkan Nesnelerin İnterneti (IoT) ile ilgili olarak, sistemik ve acil sorunları çözmek için, geleneksel kurumsal güvenliğin geliştirilmesinde olacaktır.
Teknolojinin tartışılmaz lideri ABD’nin verilerine bakacak olursak sağlık harcamalarının 2025 yılına kadar GSYİH’nın yüzde 20’sine (5,5 trilyon dolar) ulaşması bekleniyor. Yine, küresel sağlık IoT pazarının, 2021 yılına kadar yüzde 12,5 ya da 136 milyar dolara ulaşması bekleniyor. Ancak, bu büyüyen bu pazar, büyüyen bir tehditle karşı karşıyadır. Amerikan Tabipler Birliği Dergisi‘nde yer alan bir rapora göre, siber saldırılar, 2010 yılından bu yana önemli ölçüde arttı. Sağlık hizmeti sunum organizasyonları, izlenen 2.149 saldırıyla, pazarın yüzde 70’inden fazlasını oluşturan en hızlı büyüyen hedef kitleydi. Bir başka çalışmada, bu kitlenin, geçen yıl ABD endüstrilerindeki tüm fidye yazılımı saldırılarının yüzde 88’inin kurbanı olduğunu ve incelenen kuruluşların yüzde 89’unun bilgi işlem çöküntüsüne uğradığı, bulundu.
Sağlık kuruluşlarının, siber saldırılara karşı çok savunmasız olmaları, onları çok cazip hedefler haline getiriyor. Üstelik sahip oldukları verilerin değeri, saldırganları, daha da cezbediyor. Karaborsada kişisel tıbbi bilgilerden 20-50 kat daha fazla fiyat alabilen hasta tıbbi kayıtları için yüksek talep var. Hackerlar, ayrıca hayati sağlık sistemlerini tutmak ve rehineleri kaydetmek için fidye yazılımlarını kullanmaya eğilimli. Bunun en çarpıcı örneği, geçen yıllarda, Birleşik Krallık Ulusal Sağlık Hizmeti organizasyonlarının üçte birini bozan ve dünya çapında çok sayıda güvenli olmayan bağlı tıbbi cihazı enfekte eden ‘WannaCry’ saldırıları sırasında korkutucu bir şekilde netleşti.
Sorunun özü, bilgisayar korsanlarının tam bir ağ ihlalini başarmak için en zayıf bağlantı cihazınlarını hedef almasıdır.
Hem cihaz üreticileri, hem de sağlık kuruluşları, sorunun farkında. Ancak, araştırmalar, bu bilginin, yine de henüz gerekli eylemlere ilham vermediğini, gösteriyor. 2017 tarihli bir araştırmaya göre, cihaz üreticilerinin yüzde 67’si ve hastanelerin yüzde 56’sı tıbbi cihazlarından birine veya daha fazlasına saldırmanın muhtemel olduğuna inanıyor.
Bununla birlikte, üreticilerin sadece yüzde 17’si ve hastanelerin sadece yüzde 15’i bu tür saldırıları önlemek için önemli adımlar atıyor.
Bu gerçekler, alarm verici. Haziran 2017’de ABD kongresi “Sağlık Sektöründe Siber Güvenliği Artırma Raporu” ile: “Sağlık siber güvenliği kritik durumdadır” ikazını ilk kez verdi.
W- Sevgili Hocam ülkemizdeki durum hakkında bilgi paylaşır mısınız?
A.A.- Türkiye’deyse bilgi ve inisiyatif hala yetersiz.
Hastaneleri daha güvenli hale getirmek için, yine de sorunun kökenini, daha iyi anlamak gerekiyor.
Sağlık sektöründeki siber güvenliğin, ciddi ilgiye ihtiyaç duyduğu açıktır. Ve endüstrinin rahatsızlıklarının kökenini anlamak, bir tedavi geliştirmenin ilk kritik adımıdır.
Sağlık hizmetlerinin gecikmiş siber güvenliği, kısmen yeni teknolojilerin hızlı ama dengesiz benimsenmesinin bir sonucudur. 2009’a kadar olan yakın geçmişte bile, Holter cihazı bile, hala manşet yapan yeniliklerdendi ve elektronik sağlık kayıtlarının kabulü yüzde 10’un altındaydı. On yıldan kısa bir süre sonra, hastanelerin yüzde 96’sı elektronik sağlık kayıtlarını benimsedi ve sadece ABD’de tahminen 3,7 milyon ağa bağlı tıbbi cihazın kayıtları, saklanıp yönetiliyor, bunlarla, hasta sağlığı izleniyor, ilaç kullanılıyor ve kritik bakım sağlanıyor. Türkiye için rakamlar henüz net değil. Bu yenilikler, hastalar ve hizmet sağlayıcılar için bir nimet olsa da, güvenlik çoğu durumda sonradan düşünülmektedir. Bu hızlı teknoloji değişimi, hastane güvenliği için de göze çarpan güvenlik açıklarına yol açıyor ve kötü niyetli siber saldırganlar için karşı konulmaz teşvikler yaratıyor.
Bağlı tıbbi cihazların güvenliğini sağlamak, geleneksel IoT muadillerinden çok daha zordur. Bu cihazlar genellikle orijinal olarak ağa bağlanmayan eski sistemlerde çalışır. Buna ek olarak, tıbbi cihazların görev açısından kritik olması ve tipik olarak gömülü işletim sistemlerine dayanması, yazılım yamalarını diğer sektörlere göre daha karmaşık ve hantal hale getirir. Tıbbi cihazlar, dayanıklılık için tasarlanmıştır, yani 20 yıl önce veya daha eskiden üretilmiş birçok cihaz – Windows 95 en son teknoloji olarak kabul edildiğinde – bugün hala hizmet vermektedir. Sonuç olarak, uzun zaman önce diğer endüstrilerde düzeltilen güvenlik açıkları, hala bağlı tıbbi cihazları tehdit ediyor. Cihazların, çok eski olması ve düzeltilmesinin zor olması, hem de hasta bakımı için sistem dışı bırakılmalarının imkansızlığı, yeni denemelerle sistemi riske atmak için çok kritik bir zayıf halka oluşturuyor.
Eski sistemler, tek sorun da değil. Sağlık hizmetindeki IoT cihazları, bunları karşılamak için gereken tam görünürlüğü sağlamak için klinik bağlam gerektiren benzersiz güvenlik zorlukları sunar. Eylül ayında yayınlanan bir araştırmaya göre, katılımcılar arasında yüzde 49 konsensüs ile tıbbi cihaz güvenliği sorunlarına neden olan en üst düzey kurumsal faktörün maliyet olduğu anlaşılmıştır. Tıbbi cihazların opak sistemleri, özel protokolleri ve karmaşık etkileşimleri, kurumsal IoT cihazlarının hesaba katılmalarını ve güvende tutulmalarını, çok daha zor hale getirir. Hatta temel bir görünürlük elde etmek için, bir sağlık hizmeti IoT çözümü, bağlı her cihazı, ayrıntılarla (üretici protokolleri dahil) tanımlayabilmeli ve risk sıralaması, cihaz kullanımı, yazılım bakımı ve uyumluluk verileri hakkında güncel bilgiler sağlamalıdır. Her cihazın ve klinik bağlamının uzmanlık bilgisi, önemlidir.
Bu tür benzersiz bir cihaz kategorisinin güvenliğini sağlamak için cihaz davranışını yönetmek üzere tasarlanmış daha özel bir kurallar ve yapılandırmalar kümesi de gerekir. Özel bir sağlık hizmeti IoT çözümü, cihaz düzeyindeki anormallikleri tespit edebilecek ve klinik iş akışlarına dayalı tehditlere öncelik verebilecektir. Yatak başına ortalama 10-15 bağlantılı tıbbi cihaz ve sayım yapan hastanelerde, envanteri otomatik olarak kataloglama ve izleme yeteneği, hayati önem taşımaktadır. Çoğu hastanede, sürekli güvenlik sağlamak için personel, kaynak ve departmanlar arası uyum açıkça yoktur.
Günümüzün büyüyen siber saldırı yüzeyi, gelişen tehdit ortamı, resmi düzenlemelerin sınırlılıkları ve sistematik zorluklar, bağlı tıbbi cihazların güvenliğini sağlamak için özel ve yenilikçi bir yaklaşım gerektirmektedir. Hastaneler siber güvenlik yeniliğinin bir sonraki sınırıdır. Çünkü, geleneksel IoT güvenliği artık tek başına yeterli değildir.
W-Değerli Hocam önemli ve teknik bir konuda görüş paylaşımınız için şükranlarımızı sunarız.