Kişisel sağlık bilgileri konusu hackerlar arasında giderek daha popüler bir hal alıyor. Bu bilgilerin değeri de karaborsa da giderek artıyor. Sağlık bilgileri hackerlar için özellikle boy veya göz rengi gibi sahte kimlik yaratmak için kullanılabilecek kişisel ayrıntıları içerdiğinden cazip. Yakın tarihli bir rapora göre çalıntı sağlık sigortası bilgileri karaborsada 60-70$ gibi bir fiyata ulaşmış durumda. Bu rakam sosyal güvenlik numarası içinse bir dolardan az.
Sayıları giderek artan hack olayları birçok sağlık kuruluşunu etkiliyor. Ponemon Institute’un yapmış olduğu yıllık çalışmada hastanelerin ve sağlık kuruluşlarının %90’ının veri hırsızlığı mağduru olduğunu ve bunun kuruluş başına ortalama 2.1 milyon dolarlık bir zarara neden olduğu, bu kuruluşların %40’ının ise bu olayı son bir iki sene içinde yaşadığı belirtiliyor. Bu rakamların giderek artması bekleniyor. IDC Health’in yayınladığı bir raporda 2016 yılı içerisinde her üç sağlık kuruluşundan birinin veri hırsızlığı mağduru olacağı tahmin ediliyor.
Sağlık kayıtlarının dijitalleşmesi riski arttırıyor
Hastaların sağlık kuruluşuna gelmeden önceki sağlık durumlarıyla, kullandıkları ilaçlarla ve yaşadıkları hastalık belirtileriyle ilgili bilgilerin saklandığı elektronik sistemler doktorların hastalarının sağlık geçmişiyle ilgili önemli bilgileri başka hastanelerle, sağlık kuruluşlarıyla ve ilaç firmalarıyla paylaşmasını sağlıyor. Ancak, dijitalleştirilmiş kişisel sağlık bilgileri çalınmaya da açık.
Bazı veriler e-posta yazışmaları gibi basit yöntemlerle sızabiliyor. Çalışanlardan birinin yanlış bir kişiye e-posta göndermesiyle bu veri bir anda yayılabiliyor. E-postaların hacklenerek çalındığı da oluyor. Hackerlar artık sosyal mühendislik sayesinde daha akıllı oldu ve sağlık kuruluşu çalışanlarından daha fazla sağlık bilgisi isteyen mesajlar gönderiyorlar. Bu sahte e-postaların çoğunda kötü amaçlı yazılımlar veya kötü amaçlı yazılımlara yönlendiren linkler oluyor. Hackerlar bu sayede sağlık çalışanlarını kandırıp bilgisayarlarını ele geçirerek tıbbi veriler de dahil olmak üzere tüm kişisel bilgileri ele geçirebiliyor.
Birçok üçüncü tarafın kişisel sağlık bilgilerine erişimi olması da riski arttırıyor. Hastanelere IT danışmanlığı, tıbbi malzeme, laboratuvar hizmetleri vs. gibi hizmetler sunan tüm şirketlerin klinik verilere erişiminin olması nedeniyle veri dışarı daha kolay sızabiliyor.
Büyük hacimli dosyaların paylaşımı ve yedeklenmesi için kullanılan bulut hizmetleri de hacklenebiliyor. Bunların arasında Dropbox gibi popüler hizmetler ve özel bulut hizmetleri de bulunuyor. Ayrıca takvim sistemleri, e-posta hesapları ve acil tıbbi müdahale sistemleri gibi, tıbbi verileri içeren tüm uygulamalar da hacklenmeye açık.
Sağlık hizmetleri verilerini korumak için atılması geren adımlar
Elektronik sağlık bilgilerinin paylaşımı ve erişimi için birçok farklı yol olduğundan, sağlık kuruluşları bu bilgi akışını korumak için ekstra önlemler almalı. Bu önlemler arasında verinin tüm uygulamalar, bulut hizmetleri, veritabanları ve e-posta sunucuları arasında nasıl dolaştığını incelemek de bulunmaktadır. Bilgi her paylaşıldığında bu paylaşım veri kaybını önlemek için kontrol edilmeli ve onaylanmalıdır ama bu işlemler de kullanıcıların takip edebileceği şekilde şeffaf olarak yapılmalıdır.
Buna ek olarak, veri paylaşımını güvence altına almak için uygulanan tüm sistemler erişilebilir ve kolay kullanımlı olmalıdır. Sistem karmaşık olursa veya kullanıcıların yazılım indirmesini gerektirirse çalışanlar sistemi kullanmak istemez ve bilgiyi herhangi bir koruma veya güvenlik önlemi olmadan paylaşır. Veriler genellikle büyük dosyaları göndermek için kullanılan kurum içi sistemlerin kullanımı zor olduğu, bu yüzden de çalışanlar güvenlik riskinin bilincinde olmaksızın dosyalarını Dropbox veya diğer basit ve güvensiz yöntemlerle paylaştığı için hacklenir.
Veri paylaşımının her türünü analiz etmek için yapılan tüm yatırımlar yerindedir. Gizli sağlık bilgileri yanlış kişilerin eline geçecek olursa bunun sonuçları çok ciddi olabilir. Sağlık kayıtlarının ele geçirilmesi kimlik hırsızlıklarına, dolayısıyla mağdurların veriyi çaldıran sağlık kuruluşuna karşı yasal yollara başvurmasına yol açabilir. Bu veri hırsızlığı olayı birden çok hastayı mağdur edecek olursa çok ciddi yasal kovuşturmalara ve bir o kadar ciddi güven kaybına neden olur.
Kuruluşlar kişisel sağlık bilgileri konusunda çok titiz davranmalı ve bir yandan doktorların teşhis ve tedavi sürecinde ihtiyaç duydukları verilere hızlı ve kolay bir şekilde erişebilmesini sağlarken bir yandan da bu konuyla ilgili mevzuata tamamen uymalı. Sağlık kuruluşları veri paylaşımının yapılabileceği tüm yolları güvenli bir hale getirerek kişisel sağlık bilgilerini korumalı ve hacker kurbanı olmamaya özen göstermeli.