Siber güvenlik krizi sağlık sektöründe yaşansaydı neler olurdu

Peki tıpkı kriz sıhhat bölümünde yaşansaydı neler olurdu? Sıhhatte siber güvenliğin değerini İstinye Üniversitesi (İSÜ) Mühendislik ve Doğa Bilimleri Fakültesi Öğretim Üyesi Prof. Dr. Sedat Akleylek anlattı.

Siber güvenlik tedbirleri gitgide dijitalleşen dünyada öne çıkan mevzuların başında geliyor. Eğitimden sıhhate, e-ticaretten güvenliğe pek çok bölümde siber güvenlik çalışmaları ivme kazanıyor. Bilhassa sıhhat dalında siber güvenlik tedbirlerinin kıymetine dikkat çeken İstinye Üniversitesi (İSÜ) Mühendislik ve Doğa Bilimleri Fakültesi Öğretim Üyesi Prof. Dr. Sedat Akleylek, sağlık verilerinin şifreli, kimliği doğrulanmış ve bütünlüğü sağlanmış bir halde tutulması gerektiğinin altını çizdi.

“Sağlık bilgilerimiz makus şahısların eline geçseydi ne olurdu?” sorusunun yanıtını örneklerle veren Akleylek, “Bu durumda, bireylerin kan analiz sonuçları, röntgen sonuçları, kalıtımsal hastalık bilgileri, ameliyat bilgileri üzere şahsa özel olan sıhhat bilgileri internet ortamında deverana girerdi. Bu bilgileri gören makûs niyetli şahıslar bunları aleyhinize kullanabilirdi. Bu şeker hastası olan birisinin çayına bol bol şeker atmaya benziyor. Farklı hastalıklara sahip bireyler müsaadeleri olmadan afişe edilebilir. Öteki bir örnek olarak, sıhhat sigortası yaptırmak istediğiniz vakit sahip olmadığınız hastalıkların varmış üzere gösterilmesi poliçe bedellerini artıracaktır yahut yanlış tedavi uygulanması durumunu ortaya çıkaracaktır. Bu bütünlük ile bağlı bir durumdur. Bu sebeplerden ötürü, sıhhat bilgilerinin inançlı bir saklanması ve yalnızca yetkili bireylere erişime açık olması büyük değer arz etmektedir.

Aynı vakitte, sıhhat merkezlerinde vazifeli ilgili çalışanlar sizinle ilgili datalara yanlışsız ulaşamadığı taktirde, erişilebilirlik ve bunun sonucunda tedavinin gecikmesi yahut uygulanamama sorun ortaya çıkacaktır. Arşiv bilgisi olmadan hastaların denetim edilmesi günümüzde öbür sıhhat sorunlarını tetikleyebilir.

Bilgi güvenliği önemli

Bilgi güvenliği konusunda konuşan Prof. Dr. Sedat Akleylek, “Bir bilginin inançlı bir biçimde saklanması, depolanması, paylaşılması, işlenmesi için saklılık, bütünlük, kimlik kontrolü, inkâr edememe, erişilebilirlik üzere kavramların sağlanması gerekiyor. Bu kavramların her biri sizden toplanan ya da paylaştığınız yahut ürettiğiniz bilginin inançlı kalacağını garanti eden özelliklerdir” dedi. 

“Sağlık bilgileri siber güvenlik kavramlarını sağlayacak biçimde saklanmalı”

Sağlık bölümünde bilgi güvenliğinin daha da değerli olduğuna dikkat çeken Akleylek, şöyle konuştu:

“Eskiden ferdî sıhhat bilgileri herkes tarafından erişilebilir durumdaydı. Her doktor benim sağlık verimi görebilir ya da her hastane çalışanı benim sıhhat randımana ulaşabilirdi. Siber güvenlik altyapısı olmadığı için öteki bir dalın çalışanı da bu bilgilere erişebilirdi. Lakin günümüzde bu mantığı terk ederken, siber güvenlik değerlerinin de arttığını görüyoruz. Zira yalnızca sıhhat bilgileriniz  kullanılarak çok makus durumlar ile karşılaşabilirsiniz. Örneğin, bir akciğer röntgeninin diğerleriyle paylaşılması sizin genetik hastalıklarınızdan tutun da şahsî sıhhat bilgilerinize ait çok fazla bilgiyi açığa çıkarır. O yüzden sıhhat bilgilerinin sistematik manada siber güvenlik kavramlarını sağlayacak zımnilik, bütünlük, kimlik kontrolü, erişilebilirlik üzere bileşenleri de kapsayacak halde saklanması, depolanması, paylaşılması gerekiyor.”

“Paylaşımlar günümüz saklılık kurallarına uygun bir formda yapılmalı”

Prof. Dr. Akleylek, sağlık verilerinin nasıl saklanması gerektiğiyle ilgili de şu bilgileri veriyor:

“Tahlil, röntgen sonuçları, evvelki teşhisler üzere şahsa özel sıhhat bilgilerinin arşivlenmesi ve bu arşivlere öteki sıhhat işçilerinin de erişmesi gereken durumlar olabiliyor. Lakin bu bilgilerin paylaşımı günümüz kapalılık kurallarına uygun bir biçimde olmalı. Tıpkı vakitte, bütünlük, erişim kontrolü ve inkâr edememe üzerine farklı düzenekler bulunmalı. Sıhhat verisinin en temel özelliklerinden biri şahsa özel olması ve kişinin müsaadesi olmadan kimseyle paylaşılamamasıdır. Buradan yola çıkarak, sıhhat datalarının depolama ortamlarında –günümüzde bulut olarak biliniyor– şifreli, kimliği doğrulanmış ve bütünlüğü sağlanmış bir halde tutulması gerekiyor.” 

“Bir hastanın tüm sıhhat dataları her sıhhat çalışanı için yetkilendirilemez”

Hastanın tüm bilgilerinin görülmesine gerek duyulmayan bir sistemin mümkün olduğunu belirten Akleylek, şunları söylüyor:

“İlgili uzmanın bireyin tüm bilgilerini görme hakkı olmadığı sıhhat durumları da bulunuyor. O yüzden, bir hastanın tüm sıhhat dataları her sıhhat çalışanı için yetkilendirilemez. Lakin, kimi hastalıkların daha evvel geçirilmiş diğer hastalıkların sonucu yahut nedeni olduğu göz önüne alındığında tüm sıhhat bilgilerine muhtaçlık kapsamında erişim ve yetki verilmesi manalı olacaktır. Böylelikle yetkilendirme, kimlik doğrulama ve şifreli sıhhat verisi üzerinde yapılacak aramalar ile en gerçek sonuca bireyin tüm sıhhat verisi elde edilmeden de ulaşılabilir.”

Kaynak: (BYZHA) Beyaz Haber Ajansı