Kaspersky uzmanları, uzaktan hasta izleme için kullanılan giyilebilir cihazlardan veri aktarımı için yaygın olarak kullanılan protokolün, yalnızca 2021’de, 19’u “kritik güvenlik açığı” olmak üzere 33 güvenlik açığı içerdiğini keşfetti. Bu, 2020’dekinden 10 tane daha fazla kritik güvenlik açığına karşılık geliyor ve çoğunun yamasız kalması söz konusu. Bu güvenlik açıklarından bazıları, saldırganlara cihazdan çevrimiçi olarak gönderilen verilere erişebilme imkanı veriyor.
Pandemi sağlık sektörünün hızlı bir şekilde dijitalleşmesine yol açtı. Hastaneler ve sağlık personeli bunalmış ve birçok insan evde karantinaya alınmışken, kuruluşlar hasta bakımının nasıl sağlanacağını yeniden düşünmek zorunda kaldı. Son Kaspersky araştırması, küresel sağlık hizmeti sağlayıcılarının %91’inin tele-sağlık özelliklerini uyguladığını ortaya çıkardı. Ancak bu hızlı dijitalleşme, özellikle hasta verileri söz konusu olduğunda yeni güvenlik risklerine neden oluyor.
Telesağlığın bir kısmı, giyilebilir cihazlar ve monitörler kullanılarak yapılan uzaktan hasta izlemeyi içeriyor. Bunlar hastanın kardiyak aktivite gibi sağlık göstergelerini sürekli veya aralıklarla takip edebilen aygıtları içeriyor.
MQTT (Message Queuing Telemetry Transport-Mesaj Sıralama İzleme Aktarma) protokolü, kolay ve kullanışlı olduğu için giyilebilir cihazlardan ve sensörlerden veri aktarımı için kullanılan en yaygın protokol. Bu yüzden sadece giyilebilir cihazlarda değil, hemen hemen her akıllı cihazda bulunabiliyor. Ne yazık ki MQTT kullanırken kimlik doğrulama tamamen isteğe bağlı ve nadiren şifreleme içeriyor. Bu, MQTT’yi üçüncü bir kişinin araya girerek iletişime müdahale edebildiği türden saldırılara oldukça hassas hale getiriyor. Yani internet üzerinden aktarılan herhangi bir veri çalışabilme riskiyle karşı karşıya kalıyor. Giyilebilir cihazlar söz konusu olduğunda, bu bilgiler son derece hassas tıbbi verileri, kişisel bilgileri ve bir kişinin hareketlerini içerebiliyor.
2014’ten bu yana, MQTT’de kritik olanlar da dahil olmak üzere 90 güvenlik açığı keşfedildi ve bunların çoğu bugüne kadar yamalanmamış durumda. 2021’de bunlara 18’i kritik olmak üzere yeni keşfedilen 33 güvenlik açığı eklendi (2020’dekinden 10 daha fazla). Bu güvenlik açıklarının tümü, hastaları verilerinin çalınması riskiyle karşı karşıya bırakıyor.
Kaspersky araştırmacıları yalnızca MQTT protokolünde değil, aynı zamanda giyilebilir cihazlar için en popüler platformlardan biri olan Qualcomm Snapdragon Giyilebilir platformunda da güvenlik açıkları buldu. Platformun piyasaya sürülmesinden bu yana 400’den fazla güvenlik açığı bulundu ve bunların tümü yamanmış değil.
Çoğu giyilebilir cihazın hem sağlık verilerinizi hem de konumunuzu ve hareketlerinizi takip ettiğini belirtmekte fayda var. Bu, yalnızca verileri çalmakla kalmayıp aynı zamanda potansiyel olarak takip edilebilme olasılığınızı da gündeme getiriyor.
Kaspersky Rusya Küresel Araştırma ve Analiz Ekibi (GReAT) Başkanı Maria Namestnikova, şunları söylüyor: “Salgın telesağlık pazarında keskin bir büyümeye yol açtı. Bu sadece doktorunuzla video yazılımı aracılığıyla iletişim kurmayı içermiyor. Özel uygulamalar, giyilebilir cihazlar, implant sensörler ve bulut tabanlı veritabanları dahil olmak üzere bir dizi karmaşık, hızla gelişen teknoloji ve üründen bahsediyoruz. Bununla birlikte birçok hastane hasta verilerini depolamak için hala test edilmemiş üçüncü taraf hizmetleri kullanıyor ve sağlık bakımı için giyilebilir cihazlar ve sensörlerdeki güvenlik açıkları yamanmamış olarak kalıyor. Bu tür cihazları uygulamadan önce, şirketinizin ve hastalarınızın verilerini güvende tutmak için güvenlik düzeyleri hakkında mümkün olduğunca çok şey öğrenmeye bakın.”
Telesağlık hizmetlerinin küresel olarak benimsenmesi hakkında daha fazla bilgi edinmek için Kaspersky’nin küresel anketine göz atabilirsiniz.
Hasta verilerini güvende tutmak için Kaspersky, sağlık hizmeti sağlayıcılarına şunları öneriyor:
- Hastane veya tıbbi kuruluş tarafından önerilen uygulama veya cihazın güvenliğini kontrol edin.
- Mümkünse telesağlık uygulamaları tarafından aktarılan verileri en aza indirin. Gerekli değilse cihazın konum verilerini göndermesine izin vermeyin.
- Varsayılan parolaları değiştirin ve cihaz destekliyorsa şifreleme kullanın.