GÜVENLİK ÖNEMLİDİR

Sağlık sektörü veri ihlalleri ve alabileceğiniz önlemler

John
7 Mart 2023

En hassas kişisel bilgilerden biri olarak hasta sağlık verilerinin, veri sorunlarına ya da veri ihlallerine karşı korunması gerekiyor. Söz konusu verinin büyük bir çoğunluğunun çeşitli uygulama ve cihazlar arasında paylaşılması nedeni ile bu verileri, tehditlere karşı korumak epey zorlayıcı olabiliyor. 

Ancak sağlık sektöründeki şirketlerin, veri güvenliklerini hızlı bir şekilde iyileştirmeleri ve hasta güvenini arttırmaları için kullanabilecekleri birkaç iyi uygulama örneği de bulunuyor. Makalemizde bu iyi uygulama örneklerine yer veriyoruz. 

Sağlık sektöründe teknolojinin etkisi

Sağlık sektörü, teknolojiden pek çok farklı açıdan faydalanmıştır. Bulut ortamında saklanan dijital sağlık kayıtları sayesinde doktorların, artık matbu kayıtlar oluşturması ve bunları güncelleyip yönetmesi için pek fazla zaman ayırması gerekmiyor. Giyilebilir cihazlar ve dijital sağlık uygulamaları, doktorların uzun süren rahatsızlıkları olan hastaları takip etmesine yardımcı oluyor. Dahası, hasta-doktor görüşmelerini kaydedip bunları genel bir not haline getirerek doktorlara epey zaman kazandıran yapay zeka destekli uygulamalar da bulunuyor. 

Tüm bu uygulamalar her geçen gün büyük oranda veri de oluşturuyor ve bu durum, sağlık sektöründe hem bir avantaj hem de bir dezavantaj olarak ortaya çıkıyor. Uygulamalardan gelen veriler, sağlık uzmanları için bir hastaya yönelik yüz yüze muayeneden elde edilebilecek bilgiye kıyasla çok daha fazla bilgi sunduğu için bu durum bir avantaj sağlıyor. Böylece, sağlık uzmanları hastaları nasıl muayene edecekleri konusunda daha iyi kararlar verip genel olarak daha iyi bir hasta bakımı sağlayabiliyorlar.

Her geçen gün ortaya çıkan veri miktarı ise hangi sağlık verilerinin nerede muhafaza edildiğini ve bunlara kimlerin erişim sağlayabildiğini takip etmeyi giderek zorlaştırıyor. Ayrıca yoğun mesai günlerini, sağlık çalışanlarının evrak işlerine yönelik hoşnutsuzluklarını ve ne yazık ki çoğu zaman verilmeyen siber güvenlik eğitimlerini göz önüne aldığınızda sağlık sektörünün, neden en çok veri sorunu yaşayan sektörler arasında yer aldığını da anlayabilirsiniz. Diğer sektörlerde olduğu gibi ne yazık ki sağlık sektöründe yaşanan saldırılar da gittikçe artıyor. Bunun altında ise hem sağlık kayıtlarının suçlular için değerli olması hem de birçok sağlık tesisinin halen eski ekipman kullanması yatıyor. Dolayısıyla suçlular, sağlık kayıtlarını çok daha kolay bir şekilde ele geçirebiliyor.

Sağlık sektöründeki veri ihlalinin ortalama maliyeti nedir?

Sağlık sektörü, sorun başına 10,10 milyon USD ile en yüksek ortalama veri ihlali maliyetine sahiptir.

Daha da endişe yaratan bir konu ise sağlık sektöründeki veri ihlali maliyetlerinin hızla artış göstermesidir. IBM Security tarafından hazırlanan bir ihlal raporuna göre sağlık sektöründeki benzer sorunların ortalama maliyeti, 2020’den itibaren %42 artış göstermiş olup artmaya devam etmektedir. 

Maliyetin bu kadar yüksek olmasının birkaç nedeni bulunuyor. Bu nedenlerden biri, sağlık hizmeti sağlayıcılarının topladığı ve sistemlerinde muhafaza ettiği veri türü ve miktarıyla ilgilidir. Her hastanın dosyasında genellikle aşağıdaki bilgiler yer alır: 

  • Hastanın adı, soyadı ve adresi
  • E-posta adresi
  • Kimlik numarası
  • Fatura bilgisi
  • Sosyal güvenlik numarası
  • Reçete bilgileri ile birlikte hastalık öyküsü vb.

Suçlular için bu tür bir sağlık kaydı verisi, bir kredi kartı numarasından 50 kat daha değerlidir.

Çünkü suçlular, sağlık kayıtlarındaki mevcut bilgiler ile tamamen sahte bir kimlik oluşturma yetisine sahiptir. Suçlular, ardından bu sahte kimliği kullanarak kurbanın sağlık sigortası ile tıbbi malzemeler satın alabilir, hasta adına kredi çekebilir, kurbanın sağlık planını suistimal edebilir veya sigorta tazminat talebinde bulunabilirler. Ayrıca kredi kartlarının aksine sağlık kayıtları, bir veri ihlali fark edildikten sonra iptal edilemediği, engellenemediği veya değiştirilemediği için sağlık şirketleri, bu ihlali kontrol altına almakta ve ortaya çıkan zararı en aza indirmekte çok daha zorlanıyor.

Sonuç olarak hali hazırdaki kimlik hırsızlığının %95’inin ele geçirilen sağlık kayıtlarından dolayı yaşandığı tahmin edilmektedir. Bu durum da bir veri sorununun, hastanın güvenliğine ilişkin ciddi bir risk oluşturabileceği anlamına gelmektedir.

Sağlık sektöründeki veri sorunlarının bu kadar maliyetli olmasının bir diğer nedeni de bu sorunları çözmek için ihtiyaç duyulan zamandır. IBM Security, 2022’deki raporlarında sağlık sektöründeki veri ihlalinin ortalama yaşam döngüsünün 329 gün olduğunu tespit etmiştir. 

Sağlık uzmanlarının gün içerisinde ne kadar az zamanları olduğu ve hassas sağlık bilgileri de dahil olmak üzere dosyaların kimse fark etmeden nasıl kolaylıkla kopyalandığı veya paylaşıldığı göz önüne alındığında bir kliniğin veya hastanenin bir veri sorununu tespit etmesi çok uzun zaman alabilir. 

Ne yazık ki bir veri sorunu tespit edildiğinde ise genellikle iş işten çoktan geçmiş oluyor. Sosyal güvenlik numaralarından kredi kartı numaralarına ve hastalık öykülerine kadar hastaların verileri çoktan karanlık ağa sızdırılmış olurken şirketler ise itibar kaybı, maddi zarar ve yasal sonuçlarla uğraşmak durumunda kalıyor. 

Sağlık sektörü veri ihlalleri ve yasal sonuçları

Sağlık sektörü veri ihlallerinin bu kadar maliyetli olmasının başka bir nedeni ise sektörün günümüzde uyması gereken birçok kanun ve yönetmeliğin olması ve bunların ihlal edilmesinin ağır cezaları olmasıdır. 

2014’te gerçekleşen bir siber saldırının ardından yaşanan veri ihlali ile 78,8 milyon kaydın sızdırılması sonucunda Anthem Inc. şirketi, 16 milyon ABD doları cezaya çarptırılarak 2018 yılında sağlık sektöründe günümüzdeki en büyük HIPAA ihlal cezasını ödemiştir. Anthem buna ek olarak olayın kurbanları adına açılan davaları çözmek için 115 milyon ABD doları ile birlikte 48 milyon ABD doları para cezası da ödemiştir. 

İkinci en büyük ceza ise 2020’de sağlık sigortası şirketi Premera Blue Cross’a verilmiştir. Şirket, birkaç HIPAA gerekliliğine uymayıp bilgisayar korsanlarının 10.466.692 kişinin koruma altındaki sağlık bilgisini ele geçirdiği bir veri sorununa neden olduğu için bu cezayı almıştır. Şirket, ardından bu sorunu çözmek için 6.850.000 ABD doları tutarında para cezası ödemeyi kabul etmiş ve uyumsuzluğun yaşandığı tüm alanlarla ilgilenmek için bir düzeltici faaliyet planını hayata geçirmiştir. 

Premera Blue Cross ayrıca birçok eyalette açılan davaları çözmek için 10 milyon ABD doları ve kurbanlar adına açılan toplu davaları çözmek için de 74 milyon ABD doları ödemiştir.

Sağlık verileri ile genetik ve biyometrik veriler de Genel Veri Koruma Yönetmeliği (GDPR) kapsamındaki özel veri kategorileri olarak kabul ediliyor.

Bu yüzden sağlık şirketlerinin, sağlık bilgilerini toplarken, işlerken ve muhafaza ederken sıkı kurallara uyması gerekiyor. Aksi takdirde oldukça ağır cezalarla karşılaşabilirler.

23 Şubat 2021’de DEDALUS BIOLOGIE şirketindeki büyük bir veri ihlalinin ardından yaklaşık 500.000 kişinin sağlık verisi internete sızdırılmıştır. Sızdırılan veriler arasında hasta isimleri, sosyal güvenlik numaraları, hastaların birincil doktorlarının ismi ve muayene tarihleri ile birlikte HIV, kanser hastalıkları, genetik hastalıklar, gebelik durumları ve uyuşturucu tedavileri ile ilgili gizli sağlık bilgileri yer almaktadır. Şirket, GDPR’ın 28, 29 ve 32. maddelerindeki gerekliliklere uymayıp ihlalin yaşanmasına yol açtığı için Fransız veri koruma kurumu (CNIL) tarafından 1,5 milyon Euro para cezasına çarptırılmıştır. Ancak soruşturma henüz devam ettiği için şirketin ihlaller için ödemek zorunda kalacağı nihai ceza tutarı çok daha yüksek olabilir.

Kişilerin, verilerinin ihlal edilmesi nedeniyle dava açması da daha yaygın hale geliyor. Örneğin, hukuk firması Baker Hostetler 2021’de müvekkillerine yardımcı oldukları 1.200’den fazla veri güvenliği sorununu incelemiş ve bu sorunların %23’ünün sağlık sektörü ihlallerinden yaşandığını tespit etmiştir.

Bu durum, ciddi bir veri ihlali durumunda sağlık tesislerinin sadece veri özel hukuku yaptırımlarıyla değil aynı zamanda sorundan etkilenen kişilerin açacağı özel hukuk davalarıyla da karşı karşıya kalabileceği anlamına geliyor. Nihayetinde şirketler davanın çözümü için para ödenmesi, tazminat ödenmesi ve hatta sorunla ilgili olarak veri ihlali kurbanlarının zararlarının kendi cebinden karşılanması gibi durumlarla karşılaşabiliyor.

Hasta kayıtları, veri kaybına veya ihlaline karşı nasıl korunabilir?

Sağlık merkezindeki veri güvenliğini iyileştirmek muhtemelen biraz zaman ve çaba gerektirecek olsa da bunu yapmanız veri sorunlarını veya uyumluluk ihlallerini daha kolay önlemenize yardımcı olacağı için uzun vadede daha kazançlı olabilirsiniz. Böylece, hem hastalarınıza hem de iş ortaklarınıza verilerinin güvenliği konusunda teminat verebilir ve sağlıkla ilgili veri ihlallerinden dolayı ortaya çıkabilecek oldukça maliyetli finansal sonuçları önleyebilirsiniz.

Peki işe nereden başlamanız gerekir?

Hasta sağlık kayıtları, veri kaybına veya ihlaline karşı nasıl korunabilir?

Sağlık sistemlerinizin güvenliğini artırmak için uygulayabileceğiniz bazı yöntemler:

Bir güvenlik risk analizi yapın

Hem GDPR hem de HIPAA, sağlık hizmeti sağlayıcılarının muhtemel güvenlik açıklarını ve ağlarındaki veri tehditlerini tespit etmeleri için yıllık güvenlik risk analizi yapmalarını gerekli kılıyor. Bu genelde zaman alsa da bu güvenlik analizini yapmak sağlık şirketleri için oldukça önemli, çünkü söz konusu değerlendirme, hasta verilerinin nerede ihlal edilebileceği ve şirketlerin bu güvenlik açıklarını nasıl önleyebileceği konusunda şirketlere yeterli bilgi sunabilir. 

Böylece, ağınızda gelecekte veri ihlaline ya da kaybına yol açabilecek bir güvenlik açığını ya da sorununu düzelterek hem zaman kazanabilir hem de maddi bir zarar yaşamazsınız.

Çalışanlarınıza en iyi siber güvenlik uygulamaları konusunda eğitim sağlayın

Çalışanlarınız, siber güvenlik eğitimi olmadan şirketinizin güvenlik politikalarını veya siber riskleri bilmeyebilir ve bu durum, bir hastanın dosyasını bir sosyal medya mesajı ile göndermeleri gibi riskli eylemlerde bulunmalarına neden olabilir. Bu duruma rağmen sağlık çalışanlarının yaklaşık üçte biri (%32), iş yerlerinde hiç siber güvenlik eğitimi almadıklarını ifade etmiştir! Veri ihlalinin neden olabileceği sonuçların farkında olmamak da çalışanların, bir işi daha hızlı yapmak için güvenlik prosedürlerini atlamasına neden olabilir. Bu durum da hızla sağlık veri ihlallerine yol açabilir. Aslında, insan hatası 2020’de sağlık ihlallerinin %33’ünü oluşturmuştur.

Ortaya çıkabilecek sorunların sayısını azaltmak için çalışanlarınızın, hassas verilerle nasıl ilgilenmeleri gerektiğini ve ilgili prosedürlere uyulmamasının meydana getirebileceği sonuçların farkında olmalarını sağlayın. Veri tehditlerini önlemek ve bunlarla ilgilenmek söz konusu olduğunda çalışanlarınıza, karşılaştıkları bir veri ihlaline nasıl yanıt vermeleri gerektiğini anlatan talimatların bulunduğu bir müdahale planı sunmak da oldukça faydalı olabilir.

Sağlık kayıtlarına erişimi sınırlayın

Yüzlerce insan ve cihazın olduğu bir sağlık kurumunda veri hırsızlığını önlemek amacıyla kimlerin hasta sağlık kayıtlarını açıp düzenlediğini ve paylaştığını yakından takip etmeniz hayati öneme sahiptir. Sadece belirli tıbbi kayıtlara ihtiyaç duyan sağlık uzmanlarının en hassas sağlık dosyalarına erişim sağlayıp bunları düzenleyebilmesi için bu dosyalara yönelik erişim izinleri oluşturulmalıdır

Sağlık kayıtlarına ne kadar az insanın erişimi olursa, veri ihlalleri ve veri sızıntısı da o kadar az olur.

Kişisel cihazların kullanımını sınırlayın

Sağlık uzmanları, iş amacıyla kişisel cihazlarını kullanmayı uygun görebilir ama bu cihazlar, genellikle bir klinik veya hastanedeki cihazlar kadar güvenli değildir. Çalışanlarınızın iş amacıyla kendi cihazlarını getirip kullanmalarına izin vermek istiyorsanız bu cihazları kullanırken çalışanlarınızın kurumunuza ait ağ/uygulamalara nasıl erişim sağlayabileceklerini ve bir sorunla nasıl ilgilenebileceklerini anlatan net bir politikanızın olması oldukça önemlidir. Aynı zamanda ağınıza hangi cihazların bağlandığını yakından takip edip tanımadığınız cihazların hassas dosyalara erişimini sınırlandırmak veya engellemek de faydalı olabilir.

Veri denetim kaydı tutun

Veri kaydı tutmak, HIPAA’nın önemli bir parçası olup herhangi bir politika ihlalini hızlıca tespit edip hemen yanıt verebilmenize olanak tanır. Ayrıca bir sorun meydana geldiğinde denetim geçmişi de adli uzmanların, sorunun başladığı yeri tespit etmelerine, sorunun nedenini bulmalarına ve benzer sorunların oluşmasını önlemek için en iyi yöntemi tavsiye etmelerine yardımcı olur. 

Ancak denetim kaydını manuel olarak takip edip kaydetmek, vakit alıcı ve karışık bir işlem olabilir. Neyse ki Safetica gibi sizin adınıza denetim kaydı oluşturup bunları güncelleyen uygulamalara güvenebilirsiniz. Böylece, bir veri sorunu ile uğraşırken tüm ağı aramaktansa veri kayıtlarını kontrol etmeniz, sorunun nerede ve nasıl meydana geldiğini anlamanız için yeterli olacaktır.

Hassas verilerle ilgilenirken yapılabilecek eylemleri kısıtlayın

Hangi çalışanınızın hassas dosyalara erişim sağlayacağını kontrol etmenizin yanı sıra bilgilerin yetkisiz bir şekilde açığa çıkarılmasını önlemek için bu dosyalarla neler yapılabileceğini de kısıtlamanız tavsiye edilir. Örneğin; hassas dosyaların internete yüklenmesi, harici sürücülere kopyalanması, e-posta eki olarak gönderilmesi veya çıktı alınmasının sınırlandırılması ya da engellenmesi, sorunların ortaya çıkma riskini azaltmada faydalı olabilir.  Kontrol edilen ve güvenli veri uç noktaları da veri hırsızlarının gizli verileri çalmasını büyük ölçüde azaltır çünkü bu, hırsızların yakalanmadan verileri kopyalama ya da paylaşma seçenekleri daha düşük hale getirir.

Verileri şifreleyin

Şifreleme, hassas bilgileri korumada en etkili yöntemlerden biridir. Yetkisiz bir kişi, hastaların tıbbi kayıtları gibi hassas dosyalara erişim sağlasa bile bu dosyaların içerisindeki bilgileri çözemez ve bu dosyaları hiçbir şekilde kullanamaz. Ek koruma sağlamak için birden fazla şifreleme katmanı da ekleyebilirsiniz, böylece bir sisteme giriş yapmak için ya da şifrelemeyi çok faktörlü kimlik doğrulaması ile birleştirmek için birden fazla şifreleme anahtarına ihtiyaç duyulur.

Hassas bilgileri uygun bir şekilde imha edin

HIPAA aynı zamanda, yetkisiz kişilerin kullanmasını önlemek için hasta verilerini veya diğer hassas bilgileri içeren dosyaları ve cihazları nasıl imha etmeniz gerektiği konusunda sıkı düzenlemelere sahiptir. Artık ihtiyaç duyulmayan verileri uygun bir şekilde imha etmemeniz, verilerin açığa çıkmasına neden olabilir ve böylece, ihlalden dolayı cezalarla karşılaşabilirsiniz. 

Aslında, HIPAA ihlallerine yönelik en büyük cezaların bazıları, tıbbi kayıtların imha kurallarına uyulmamasından dolayı verilmiştir. Örneğin, New England Dermatology and Laser Center, tıbbi kayıtların uygun bir şekilde imha edilmemesinden kaynaklı açılan soruşturmayı çözüme kavuşturmak için 300.640 ABD doları para cezası ödemek zorunda kalmıştır. 

Hassas verilerin uygun bir şekilde imha edilmesini ve bilgilerin tekrar kullanılamamasını sağlamak amacıyla hassas verileri ve bu verilerin bulunduğu cihazları elden çıkarmak için HIPAA uyumlu veri imha hizmetleri almanız tavsiye edilir.

Verileri düzenli olarak yedekleyin ve bunları güvenli bir yerde muhafaza edin

Sebebi ister sağlık sisteminizin çökmesi ister çalışanınızın hasta kayıtlarını yanlışlıkla iptal etmesi olsun hassas verilere erişim sağlayamamanız durumunda hastalarınızla ilgilenmeniz gereken zamandan çok yedekleri geri yüklemek için zaman harcayabilirsiniz. Ayrıca bir veri sorunu nedeniyle hastaların randevularını veya prosedürlerini tekrar planlamanız gerekirse bu hastaların, verilerinin güvende olduğuna ilişkin size duydukları güveni kaybedebilirsiniz.

Bu nedenle HIPAA’nın son kuralı, elektronik olarak korunan sağlık bilgilerinin (ePHI) düzenli olarak yedeklenmesini ve tesis dışında güvenli bir şekilde muhafaza edilmesini gerektirmektedir. İdeal olarak, farklı yerlerde muhafaza edilen verilerin üç yedeğine sahip olmanız gerekir; böylece tüm verilerinizi kaybetme ihtimalini önemli ölçüde azaltabilirsiniz.

Aynı zamanda yedeklemelerin günlük veya en azından haftada bir kez yapılması da tavsiye edilir. Bunu yapmak için zamanınız yoksa, örneğin her gece, planlı aralıklara otomatik yedekleme kurmanız iyi bir fikir olabilir. Ayrıca, yalnızca iş için verilerin kopyasına ihtiyaç duyan kişilerin bu kopyalara erişim sağladığından ve tüm kopyaların şifreli olduğundan da emin olmanız gerekir.

 

Safetica’nın sağlık tesisinizdeki verileri nasıl koruyabileceği hakkında daha fazla bilgiyi özel teknik incelememizi okuyarak öğrenebilirsiniz

Sonuç

Hastaneler, klinikler ve sağlık hizmeti sağlayıcıları, hasta verilerini ve kritik sağlık hizmeti bilgilerini korumaktan sorumludur, çünkü yanlış ellere düşmenin sonuçları felaket olabilir. Bir veri ihlalinin ortalama maliyeti her geçen gün daha da artıyor, bu da çeşitli ihlal türlerini ve olayları önlemeyi her zamankinden daha kritik hale getiriyor.

Hastane personelini ve sağlık personelini eğiterek, hasta verilerine erişimi kısıtlayarak ve verileri şifreleyerek, olayların sayısı ve neden olabilecekleri hasar gözle görülür şekilde azaltılabilir.

Sağlık verilerini izleyerek ve tehditlerden koruyarak güvende tutmayı kolaylaştırabilirsiniz. 

Safetica DLP

Etiketler:

Öne Çıkanlar

© 2024, ESET Türkiye

© 1992 – 2024 ESET, spol. s r.o. – Tüm hakları saklıdır. Burada kullanılan markalar ESET spol. s r.o.’nun ya da ESET Kuzey Amerika’nın tescilli markalarıdır.
Diğer tüm isim ve markalar sahipleri olan saygıdeğer şirketlerin tescili altındadır.

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye