KPMG’nin hazırladığı rapora göre yeni teknolojiiyle üretilmiş, bir veya birden çok ağa bağlı ve birbiriyle bağlantılı cihazlar siber risklere de kapı açıyor.
KPMG, sağlık sektöründeki teknoloji güvenliğini araştırdı. 2000’lerin ortalarından beri hızla büyüyen erişilebilir tıbbi cihaz teknolojisi, takılabilir veya giyilebilir medikal cihazların güvenliği hakkındaki soru işaretlerini de hızla arttırıyor. Cihazların güvenliğini test eden bir grubun, laboratuvarda çalışan kalp piline kablosuz internet üzerinden ulaşması, cihazı durdurmakla kalmayıp ölümcül bir elektroşok oluşturması ya da onbinlerce kişinin kullandığı vücutta taşınan insülin pompasının uzaktan kontrol edilerek dozajının yeniden ayarlanması, sağlık sektöründe teknoloji güvenliğini tartışma konusu yapıyor. Özellikle ABD’de hastanelerin güvenlik duvarını aşan korsanların akıllı cihazlara erişip hasta güvenliğiyle ilgili şantaj yaptığı ve hastane yönetiminden fidye aldığı haberlerine artık daha sık rastlanıyor.
KPMG, hasta güvenliğini, hastane faaliyetlerini ve kurumsal itibarı tehdit eden medikal cihazların siber güvenliğiyle ilgili hazırladığı araştırmada, teknolojiyle gelen risklere dikkat çekti. Araştırmadan başlıklar şöyle:
- Yeni teknolojiyle üretilmiş, ağa bağlı ve birbiriyle bağlantılı medikal cihaz kullanımı hızla yayılıyor. Bu cihazlar, klinik verimliliği artırıyor ancak yeni saldırı düzenlerine ve siber risklere de kapı açıyor.
- Sağlık kuruluşlarının yüzde 32’si medikal cihaz güvenliğinin kendileri için bir numaralı güvenlik problemi olduğunu ifade ediyor. Çünkü kötü amaçlı yazılım nedeniyle hastalanmış bir medikal cihaz, tüm hastane faaliyetlerinin durmasına, kişisel sağlık verilerinin sızmasına, teknolojik güvenlik açığı oluşmasına ve hastaların zarar görmesine neden olabiliyor.
- Sağlık kuruluşlarının yüzde 81’i geçen iki yıl içinde bir siber saldırıya uğramış. Çünkü sağlık bilgileri, kredi kartı bilgilerinden 10 kat daha değerli. Yakın zamanda sağlık kuruluşlarını hedef alan siber saldırıların bir kısmında, saldırganların kritik ortamlardaki bilgileri özel bir kötü amaçlı yazılımla şifreledikleri ve karşılığında fidye istedikleri biliniyor.
- Medikal cihazları hedef alan siber tehdit; hizmetlerin kesintiye uğraması, kötü amaçlı yazılımların sisteme girmesi, verilerin çalınması veya kaybolması, bilgilerin sızması, casusluk, web saldırıları ve satış noktalarına saldırılması gibi sonuçlar yaratabiliyor.
KPMG Türkiye BT Danışmanlığı Lideri Tanıl Durkaya dünyada hızla yayılan ve Türkiye’de de kullanılmaya başlayan akıllı medikal cihazların bağlantılı oldukları ağlarda siber güvenlik önemlerinin hayati önem taşıdığını söyledi. Durkaya şu uyarılarda bulundu:
“Siber güvenlik tehditleriyle ilgili ilk kural, başka bir cihaza bağlanacak şekilde yapılandırılmış her cihazın saldırı riski altında olduğudur. Üstelik tüketiciler ve kuruluşlar ‘nesnelerin interneti’ni daha fazla kullanmaya başladıkça, giyilebilir teknolojileri günlük hayatlarına daha çok dahil ettikçe, büyük veri imkanlarından yararlandıkça, hasta verilerini birkaç ağ üzerinden farklı kaynaklara ilettikçe risklerin sayısı ve şiddeti giderek artacaktır.“
Sağlık sektöründe siber tehditle mücadele için kuruluşların acilen harekete geçmesi gerektiğini kaydeden Durkaya, “Siber saldırılara doğru karşılık verebilmek için kuruluşların risk belirleme, azaltma ve ortadan kaldırma konusunda programlı bir yaklaşım belirlemesi gerekiyor. Siber risklerin ve ilgili tehditlerin belirlenmesi, hasta güvenliğinde sürekliliğin sağlanması için cihaz üreticilerinden sağlık hizmeti sunucularına kadar tüm taraflar iş birliği halinde olmalı” dedi.
Ekim ayında Resmi Gazete’de yayımlanarak yürürlüğe giren “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkındaki Yönetmelik” etkin bir siber güvenlik risk yönetimi programını şart koşuyor. Bu yönetmelik, Kişisel Verilen Korunması Kanunu ile de uygun şekilde kişisel bilgilere yetkisiz ulaşımı önlemeyi hedefliyor. Bu verileri koruyamayan sağlık hizmeti sunucularının tazminat ödemek durumunda kalabileceğini belirten Durkaya, “Her şeyden önce insan sağlığını korumak adına bu riskleri bertaraf etmek gerekiyor” dedi.