Hızlanan dijitalleşme ile birlikte bilgilerin iletilmesi, işlenmesi ve depolanması büyük bir önem kazandı. Kişisel verileri içeren ve mahremiyeti korunması gereken bu bilgiler, çok sayıda kâr amaçlı tüzel varlık ve firma için ticari, hukuki ve stratejik değer taşıyabiliyor. Bu noktada hassas bilgilerin güvenle korunması gerekliliği ile hayatımıza giren “siber güvenlik-cybersecurity” kavramının hayati önemi gün geçtikçe artıyor. Siber güvenlik; sistemlere, yazılımlara, bağlantı ağlarına ve verilere yetkisiz erişime karşı korumak için tasarlanmış uygulamaları, teknolojileri ve süreçleri ifade ediyor.
Bilgi teknolojisi güvenliği olarak da adlandırılan siber güvenlik ile ilgili sorunlar, birçok alanı olduğu gibi sağlık sektörünü de etkiliyor. Tıbbi cihazlar dijitalleşerek birbirlerine daha bağlı hale gelirken kurumların geleceğe hazır olmasını ve verimli şekilde çalışmasını sağlayan yazılım geliştirmeleri, öngörüye dayalı izleme, proaktif servisler ile uzaktan destek gibi çözümlerde yüksek seviyede güvenlik sağlanması kritik bir önem taşıyor. Giderek karmaşık hale gelen siber saldırılar sadece bilgi kaybına ve maddi kayıplara yol açmakla kalmıyor, aynı zamanda kurumların güvenilirliğine ve prestijine de gölge düşürüyor.
Siber saldırılar sadece sistemleri değil insan yaşamını da tehdit ediyor
Odağında insan hayatı olan sağlık sektöründe siber güvenlik açıkları, yaşam kaybı dahil geri döndürülemez sonuçlara yol açabiliyor. Örneğin, dünyada siber saldırıya bağlı ilk yaşam kaybı 2020 yılında Almanya’da gerçekleşti1. 11 Eylül 2020 tarihinde, Almanya'nın Düsseldorf kentindeki sağlık görevlileri, aort anevrizması nedeniyle durumu ağırlaşan 78 yaşındaki hastayı ambulansa taşıdıktan sonra en yakındaki üniversite hastanesini arayıp personele hastaneye yaklaştıkları bilgisini verdi. Hastanedeki görevliler, kaza bölümü ve acil servis kapalı olduğu için hastayı kabul edemeyeceklerini belirtti. Bunun üzerine ambulans 32 kilometre uzaklıktaki başka bir üniversite hastanesine yönlendirildi ve bu da hastanın tedavisini geciktirdi; hasta, kısa bir süre sonra yaşamını kaybetti. Siber suç yetkililerinin dikkatini çeken bu durumun iç yüzü sonradan açığa çıktı. Bilgisayar korsanları hastanenin verilerini şifreleyip kilidi açmak için ödeme talep etmiş, bu da hastaneyi ambulansı geri çevirmeye zorlamıştı. Saldırı, hastanenin doktorları, yatakları ve tedavi süreçlerini koordine etmek için güvendiği dijital altyapıyı tehlikeye atarak yüzlerce operasyonu ve prosedürü sekteye uğratmış, aynı zamanda hastanenin kapasitesini de büyük ölçüde sınırlamıştı. Normalde her gün binden fazla hastayı tedavi ederken, saldırı sırasında ve sonrasında kabul edilen hasta sayısı neredeyse yarının altına düştü.
Sağlık sektörüne yönelik siber saldırılar artıyor
Sağlık sektörüne yönelik siber saldırılar, COVID-19 pandemisinin başlangıcından bu yana artarak devam ediyor. CyberPeace Enstitüsü tarafından, 33 ülkede sağlık sektörüne yönelik 235’ten fazla siber saldırıyı değerlendiren analiz2, bu konuda kaygı verici sonuçlar gösteriyor. Buna göre pandemi başlangıcından bu yana araştırmaya konu olan ülkelerde 10 milyondan fazla kayıt çalındı. Sektöre yönelik bir saldırı sırasında ortalama 155 bin kayıt ihlal ediliyor ve bu sayı çok daha yukarılara çıkabiliyor; bazı vakalarda 3 milyondan fazla kaydın ihlal edildiği bildiriliyor. Fidye yazılımı saldırılarının yüzde 15’i hastaların başka kurumlara yönlendirilmesine, yüzde 20’si randevu iptallerine neden olurken sağlık kurumlarında bazı hizmetlerin yaklaşık dört ay boyunca kesintiye yol açması da tespit edilen diğer sonuçlar arasında bulunuyor. Sağlık sektörüne yönelik fidye yazılımı saldırılarının, 2021'in ilk yarısında ise haftada dört saldırı oranında gerçekleştiği ve bunun buzdağının sadece görünen kısmı olduğu ifade ediliyor.
Özetle sağlık sektöründe siber saldırılar;
- Hasta güvenliğini tehlikeye atıyor.
- Hasta veri kaybına yol açıyor.
- Hastanın operasyonel muayene programını aksatıyor.
- Hasta gizliliği ve kişisel mahremiyet ihlallerine neden oluyor.
- Kurumlar için itibar ve prestij kaybına yol açıyor.
- Tetkikleri ve tedaviyi aksatıyor.
Tüm bunlar “siber güvenlik” kavramının sağlık sektörü ve tıbbi cihaz servis hizmet ekosisteminin hayati bir parçası olduğunu gösteriyor. Buna bağlı olarak dünya genelinde tıbbi cihazlar için siber güvenlik yaklaşımları ve iyileştirme hızı giderek artıyor. Sağlık kuruluşlarının yüzde 82’si dijital güvenliği en önemli endişelerinden biri olarak görüyor3. Devletler, çok uluslu sağlık örgütleri, sivil toplum örgütleri, tıbbi cihaz üreticileri, hukuk görevlileri, hastaneler ve klinikler, siber güvenlik üzerine incelemelerini artırıyor, yönergeler hazırlıyor ve çeşitli organizasyonlar altında bir araya geliyor. Bu kapsamda, farklı ülkelerde farklı “Bilgi Paylaşım ve Analiz Merkezi Organizasyonları” kurularak siber güvenlik tehditlerine karşı toplanan bilgiler analiz ediliyor ve çeşitli yönergeler tayin ediliyor.
Ülkemizde de bu görevi, T.C. Sağlık Bakanlığı’na bağlı TİTCK (Türkiye İlaç ve Tıbbi Cihaz Kurumu) üstleniyor. TİTCK, ulusal yönergeleri takip ederek tıbbi cihaz üreticileri ile iletişim halinde siber güvenlik yamalarını izliyor. EU MDR (European Union Medical Device Regulation for cybersecurity) gibi uluslararası yönergeler; sistematik risk analizi ile açıkların nasıl tespit edildiğini, kötü amaçlı yazılımın nasıl çalıştığını ve yayılmasının potansiyel olarak nasıl durdurulacağına dair paylaştığı tespit ve bilgileri içeren yayınlar ve çalışmalar sunuyor.
Siemens Healthineers, Siber Saldırılara Karşı Korunmaya Yardımcı Oluyor
Siber güvenlik, taşıdığı kritik öneme bağlı olarak Siemens Healthineers’ın sağlık sektörüne sunduğu tüm hizmetlerde ve çözümlerde merkezi bir rol oynuyor. Bu doğrultuda sistemlerini ve süreçlerini sürekli iyileştiren, ekiplerine siber güvenlik eğitimleri veren şirket; kurum genelinde korumayı sağlamaya yardımcı olan son teknolojiye sahip güvenli ürünler, siber güvenlik hizmetleri ve danışmanlık portföyü sunma misyonunu üstleniyor. Böylece veri koruma, siber risk yönetimi ve bilgi güvenliği gibi kritik alanlarda sunduğu gelişmiş çözümlerle sağlık kurumlarını, sağlık profesyonellerini ve dolayısıyla hastaları siber güvenlik açıklarının ciddi risklerine karşı korumaya yardımcı oluyor.
Siemens Healthineers ürünleri, çözümleri ve hizmetleri, HIPAA, GDPR, IEC/ISO 80001, KRITIS B3S gibi uluslararası ve yerel normlar, yönergeler ve yönetmeliklerin gerektirdiği kapsamlı siber güvenlik risk yönetimsinin bir parçası olarak IT güvenlik önlemlerinin uygulanmasıyla sağlık kurumlarını destekliyor. Siemens Healthineers’ın siber güvenliğe yönelik faaliyetlerinin hedefinde; bilgi güvenliğine yönelik riskleri ve yaklaşan tehditleri tanımlamak ve çözmek, yeterli güvenlik kontrolleri uygulamak ve bunların etkinliğini izlemek, işin ve müşterilerinin beklentilerini karşılamak için güvenlik yaklaşımını sürekli iyileştirmek ve etkili bir Siber Güvenlik Yönetimi Sistemi (CYSMS) sağlamak bulunuyor.
Siemens Healthineers’da Ürün ve Çözüm Güvenliği
- Ürün Güvenliği
- Güvenli Yaşam Döngüsü Geliştirme, “tasarıma bağlı ve varsayılan gizlilik” göz önünde bulundurularak geliştirmeden, standart ihtiyaçlara ve sektördeki uygulamalara kadar en gelişmiş süreçleri takip ediyor.
- Güvenli yapılandırma ve güçlendirme, beyaz listeye alma, denetleme ve günlüğe kaydetmenin yanı sıra şifreleme ve daha fazlası yerleşik güvenlik denetimleri ile mümkün oluyor.
- Ürün güvenliğine yönelik teknik incelemeler, SBOM* ve MDS2** detayları aracılığıyla bilgilerin şeffaflığı sağlanıyor.
- Kurulum doğrulaması ve güvenlik kontrollerinin yapılandırılması, güvenli kurulum anlamına geliyor.
- Siber Güvenlik Hizmetleri
- Güvenlik açığı izleme ve değerlendirmesi ile ABD Gıda ve İlaç Dairesi’nin (FDA) kılavuzu ile uyumlu ve sektördeki uygulamalar doğrultusunda Siemens Healthineers ekipman ve çözümlerine yönelik olası tehditler belirleniyor ve raporlanıyor.
- Sistemlerin mevcut en son sürümde tutulması için Siemens Healthineers ekipmanı için sürekli güncellemeler sağlanıyor ve gerektiğinde düzeltmeler yayınlanıyor. Yayınlanmadan önce tüm güncellemeler, hasta güvenliği ve sürekli operasyonlar için doğrulanıyor. Bu, gelişen tehdit ortamında sağlık kurumlarının korunmaya devam etmesine olanak tanıyor.
- Güvenlik ve ürün uzmanlarından oluşan küresel bir ekip, sağlık kurumlarında kullanılan ekipmanın siber güvenlik durumu hakkında yüksek düzeyde şeffaflık sağladığı mekanizmalar sunuyor.
- Ekipmanın her zaman en son yazılım sürümünde olması için çeşitli Siemens Healthineers sistemlerine yönelik çok çeşitli yükseltme programları sağlanıyor.
- Gizlilik
- Akıllı Uzaktan Servisler sistemi, uluslararası ISO/IEC 27001 standardını destekliyor.
- Bağımsız gizlilik denetimlerinden geçen teamplay platformu ve uygulamaları, European Privacy Seal (EuroPriSe) ödülüne ve ISO/IEC 27001 sertifikasına sahip.
- Siemens Healthineers, global uygulamalara ek ayrıca NIST, ISO/IEC 27001 ve 27005 dahil olmak üzere uluslararası standartlara dayanan bir Siber Güvenlik Yönetimi Sistemi’ni (CYMSM) izliyor.
Bir bakışta Siemens Healthineers Siber Güvenlik Yönetimi
Siber güvenlik kültürünü destekliyor: İlgili ekipler, siber güvenlik konularında eğitim alıyor ve ekipmanı siber tehditlere karşı korumak için siber güvenlik yönergelerini takip ediyor.
Siber güvenlik stratejisini izliyor: Güvenlik, Siemens Healthineers’ın öncelikli odaklarından birini oluşturuyor. Şirket, güvenli ürünler geliştiriyor, kullanım ömrü boyunca cihazları koruyor ve her ürün nesli için siber güvenlik önlemlerini sürekli olarak iyileştiriyor.
Şeffaflık ilkesine bağlı: Tıbbi cihazların güvenlik kontrolleri hakkında ilgili taraflarla proaktif olarak iletişim kuruyor. Güvenlik açıkları ve bunları nasıl ele aldığı hakkında hem müşterilerine hem de ulusal otoritelere bilgi veriyor. Ekipmanı olabildiğince güvenli tutmaya yardımcı olan çözümler sunuyor.
Seçenekler ve Yükseltmeler: Ekipmanı güncel tutmak ve siber tehditlere karşı korumak için hazır yükseltmeler sunuyor. Geniş Seçenek ve Yükseltme yelpazesi ve hizmet sözleşmeleriyle, müşterilerinin ekipman güvenliğini en üst seviyede koruması için teknolojilerini güncel tutmalarına yardımcı oluyor, bununla birlikte ekipman alt yapısına uygun güvenlik donanımları da sağlıyor.
Advance Plans: Siemens Healthineers, Advance Plans bakım-onarım sözleşmesi ile kullanım ömrü boyunca ekipmanın geleceğe hazır ve siber saldırılara karşı güvende olmasını mümkün kılıyor.
Diğer hizmet planları: Advance Plans kontrat tipine henüz uyumlu olmayan ürünler için, yükseltme programları dahil olmak üzere hizmet sözleşmeleri temin ediliyor.
Ürün güvenliği: Sağlık kurumlarına ağ altyapılarına güvenli bir şekilde entegre edilebilecek güvenli ekipmanlar sunuyor.
Sağlık kurumlarının ve hastaların gizliliğini koruyor: Siemens Healthineers, ürün, çözüm ve hizmetlerinde “tasarıma bağlı ve varsayılan gizlilik” ilkesini ilk tasarım ve planlama aşamasından başlayarak dikkate alıyor. Sağlanan süreçlerin bu ilkeyle uyumlu olması, sağlık kurumlarının gizlilik düzenlemelerine uymasına yardımcı oluyor.
1. https://www.wired.co.uk/article/ransomware-hospital-death-germany
2. https://www.weforum.org/agenda/2021/11/healthcare-cybersecurity/
3. “25% of Healthcare Orgs not Encrypting Patient Data in Cloud”, Health IT Security
*SBOM: Yazılım Malzeme Listesi
**MDS2: Tıbbi Cihaz Güvenliği için Üretici Açıklama Beyanı