Günümüzde siber güvenliğin en önemli, ama bir o kadar da göz ardı edilen saldırı noktalarından biri medkal cihazlar ve sağlık kuruluşları. Çoğu üretildiğinden beri güncellenmiş cihazlarla dolu olan bu kuruluşlar, yeri geldiğinde basit bir göz muayenesi üzerinden tüm hastalara ait sağlık bilgilerinin ve hastane kayıtlarının sızmasına neden olabiliyor. Bu ilginç konunun detaylarını Kaspersky Lab Kıdemli Güvenlik Araştırmacısı Denis Makrushin ile konuştuk.
Bilgi sistemleri altyapıları, günümüzde her alanda olduğu gibi sağlık sektöründe de yoğun şekilde kullanılıyor. Hastaların tahlil sonuçlarının doktorların tabletlerine anında aktarılmasından çekilen bir röntgen filminin bilgisayar ekranında görüntülenmesine, hastaların yanında taşıdığı akıllı şeker ve tansiyon ölçüm cihazlarına kadar, sağlık hizmetlerini iyileştirmeye yönelik akıllı ve bağlı teknolojiler hemen her sağlık kurumunun demirbaşları arasında yer alıyor.
Diğer yandan bu durum, tüm bu altyapıların güvenliğini de önemli bir endişe konusu haline getiriyor. Zira hemen hepsi sağlık kuruluşlarındaki belli hizmetleri yerine getirmek için özelleşmiş tüm bu özgün cihaz ve yazılımlar, hele de uzun yıllar önce üretildiyse belki de hiç düzeltilmeyecek güvenlik açıkları taşıma riskine sahip. Bu kurumlarda saklanan verilerin hassasiyetini de düşündüğünüzde, veri güvenliğin sağlanmasına yönelik çözümler daha da fazla önem kazanıyor.
Bu konu, Kaspersky Lab Kıdemli Güvenlik Araştırmacısı Denis Makrushin’in uzman olduğu alanlardan biri. Biz de kendisiyle İstanbul’a ziyareti sırasında bu konu üzerine sohbet etme fırsatı bulduk.
Egzotik Makinelerin Hükümdarlığı
Makrushin, sağlık kurumlarındaki çoğu cihazı “egzotik makineler” olarak tanımlayarak başladı söze. Aralarında MRI, CT ve X-Ray gibi görüntüleme cihazları, kardiyografi ve elektroretiongrafi gibi adını söylemesi bile zor pek çok örnek var. Üstelik bunlar sağlık kurumlarında karşılaşabileceğiniz cihazlardan sadece birkaçı. Bazıları oda büyüklüğünde ve milyon dolarlık cihazlar, çoğunun ilk bakışta bilgisayarla uzaktan yakından alakası yok.
Ama çoğu ağa bağlı. Bilgiyi üretme, saklama, analiz etme, aktarma ve kişilerle ilişkilendirme yeteneğine sahipler.
“Bu sistemlerin derinlerine indiğinizde, çoğunun bundan 20 yıl önceki bilgisayarlara benzediğini görüyorsunuz” diyor Makrushin. Protokolleri eski, üzerinde antivirüs çalıştırma imkanınız yok, çoğu üretildikten sonra güncellenmemiş, bazılarının üreticisi bile faaliyette değil. Kısacası kötü amaçlı saldırganlar için adeta birer hedef tahtası gibi ortalıkta duruyorlar. Yeri geliyor göz hastalığınızı teşhis etmek için kullanılan cihaz, tüm sırlarınızı açığa vuruveriyor.
Peki bir sağlık kurumundan çaldığınız bilginin size ne yararı olabilir? “En yaygın kullanım alanı şantaj” diyor Makrushin. Örneğin bundan birkaç yıl önce bir cerrahi kliniğine düzenlenen siber saldırıda tedavi için gelen ünlülerin medikal işlem öncesinde tanı için çekilen çıplak fotoğraflarını ele geçirerek, bunlarla kuruma şantaj yapıp para koparmaya çalışmışlar. Böyle bir durumda kurumun itibarının büyük bir yara alacağını söylemeye bile gerek yok.
Ama iş daha da ciddiye binebiliyor. Makrushin’in verdiği bilgilere göre bu yöntemle hasta kartına müdahale ederek koyulan teşhisi ve alınan ilaçları değiştirmek, böylece hastanın iyileşmesini yavaşlatıp hayatını tehlikeye atmak bile mümkün.
Gerçekçi Olmayan yaklaşımlar Yerine Ana İhtiyaçlara Öncelik Verilmeli
Peki önlem almak için ne yapmalı?
Makrushin, eski ve yama yapılamayacak cihazları korumanın en etkili yolunu izolasyon olduğunu söylüyor. Yani bir şekilde söz konusu cihaza dışarıdan müdahale etme şansını ortadan kaldırmak lazım. Ağ trafiğini kontrol altına almak, özelikle nesnelerin internetine bağlı cihazlardaki varsayılan şifreleri değiştirmek ilk anda alınması gereken diğer önlemler arasında.
Sağlık kurumları, özellikle de Türkiye’de bu durumun farkında mı? Makrushin’e göre bu alanda özellikle son birkaç yıldır farkındalık kayda değer oranda artmış durumda. “Bu alandaki çözümleri değerlendirirken bazen ilk aşamada ilginç ama gerçekçi olmayan noktalara odaklanıldığını görüyoruz” diyor Makrushin. “Oysa işin temelinden başlamanız, ana ihtiyacı gerçekçi bir şekilde ortaya koymanız lazım. Neden saldırıyorlar? Nereden giriyorlar? İçerde neyin peşindeler? Uygulayacağınız çözümü bu soruların cevaplarına göre şekillendirmeniz gerekir.”
Makrushin, son olarak sağlık alanında giderek yaygınlaşan nesnelerin internetine dair de şu öğütte bulunuyor: “Bu tür cihazları kendini kanıtlamış, ürünlerinin arkasında duran, bir sorununuz olduğunda çözüm üretecek muhataplar bulabileceğiniz üreticilerden alın.”