Siber güvenlik krizi sağlık sektöründe yaşansaydı neler olurdu

Peki tıpkı kriz sıhhat kesiminde yaşansaydı neler olurdu? Sıhhatte siber güvenliğin kıymetini İstinye Üniversitesi (İSÜ) Mühendislik ve Doğa Bilimleri Fakültesi Öğretim Üyesi Prof. Dr. Sedat Akleylek anlattı.

Siber güvenlik tedbirleri gitgide dijitalleşen dünyada öne çıkan bahislerin başında geliyor. Eğitimden sıhhate, e-ticaretten güvenliğe pek çok bölümde siber güvenlik çalışmaları ivme kazanıyor. Bilhassa sıhhat kesiminde siber güvenlik tedbirlerinin ehemmiyetine dikkat çeken İstinye Üniversitesi (İSÜ) Mühendislik ve Doğa Bilimleri Fakültesi Öğretim Üyesi Prof. Dr. Sedat Akleylek, sağlık verilerinin şifreli, kimliği doğrulanmış ve bütünlüğü sağlanmış bir formda tutulması gerektiğinin altını çizdi.

“Sağlık datalarımız makûs bireylerin eline geçseydi ne olurdu?” sorusunun yanıtını örneklerle veren Akleylek, “Bu durumda, bireylerin kan analiz sonuçları, röntgen sonuçları, kalıtımsal hastalık bilgileri, ameliyat bilgileri üzere şahsa özel olan sıhhat bilgileri internet ortamında sirkülasyona girerdi. Bu bilgileri gören berbat niyetli şahıslar bunları aleyhinize kullanabilirdi. Bu şeker hastası olan birisinin çayına bol bol şeker atmaya benziyor. Farklı hastalıklara sahip şahıslar müsaadeleri olmadan afişe edilebilir. Öteki bir örnek olarak, sıhhat sigortası yaptırmak istediğiniz vakit sahip olmadığınız hastalıkların varmış üzere gösterilmesi poliçe bedellerini artıracaktır yahut yanlış tedavi uygulanması durumunu ortaya çıkaracaktır. Bu bütünlük ile bağlantılı bir durumdur. Bu sebeplerden ötürü, sıhhat datalarının inançlı bir saklanması ve yalnızca yetkili şahıslara erişime açık olması büyük ehemmiyet arz etmektedir.

Aynı vakitte, sıhhat merkezlerinde vazifeli ilgili çalışanlar sizinle ilgili bilgilere hakikat ulaşamadığı taktirde, erişilebilirlik ve bunun sonucunda tedavinin gecikmesi yahut uygulanamama sorun ortaya çıkacaktır. Arşiv bilgisi olmadan hastaların denetim edilmesi günümüzde diğer sıhhat sorunlarını tetikleyebilir.

Bilgi güvenliği önemli

Bilgi güvenliği konusunda konuşan Prof. Dr. Sedat Akleylek, “Bir bilginin inançlı bir formda saklanması, depolanması, paylaşılması, işlenmesi için kapalılık, bütünlük, kimlik kontrolü, inkâr edememe, erişilebilirlik üzere kavramların sağlanması gerekiyor. Bu kavramların her biri sizden toplanan ya da paylaştığınız yahut ürettiğiniz datanın inançlı kalacağını garanti eden özelliklerdir” dedi. 

“Sağlık dataları siber güvenlik kavramlarını sağlayacak formda saklanmalı”

Sağlık kesiminde bilgi güvenliğinin daha da kıymetli olduğuna dikkat çeken Akleylek, şöyle konuştu:

“Eskiden şahsî sıhhat bilgileri herkes tarafından erişilebilir durumdaydı. Her doktor benim sağlık verimi görebilir ya da her hastane çalışanı benim sıhhat randımana ulaşabilirdi. Siber güvenlik altyapısı olmadığı için öbür bir bölümün çalışanı da bu bilgilere erişebilirdi. Fakat günümüzde bu mantığı terk ederken, siber güvenlik kıymetlerinin de arttığını görüyoruz. Zira yalnızca sıhhat bilgileriniz  kullanılarak çok makus durumlar ile karşılaşabilirsiniz. Örneğin, bir akciğer röntgeninin diğerleriyle paylaşılması sizin genetik hastalıklarınızdan tutun da şahsî sıhhat bilgilerinize ait çok fazla bilgiyi açığa çıkarır. O yüzden sıhhat bilgilerinin sistematik manada siber güvenlik kavramlarını sağlayacak saklılık, bütünlük, kimlik kontrolü, erişilebilirlik üzere bileşenleri de kapsayacak halde saklanması, depolanması, paylaşılması gerekiyor.”

“Paylaşımlar günümüz saklılık kurallarına uygun bir biçimde yapılmalı”

Prof. Dr. Akleylek, sağlık verilerinin nasıl saklanması gerektiğiyle ilgili de şu bilgileri veriyor:

“Tahlil, röntgen sonuçları, evvelki teşhisler üzere bireye özel sıhhat bilgilerinin arşivlenmesi ve bu arşivlere başka sıhhat işçilerinin de erişmesi gereken durumlar olabiliyor. Fakat bu bilgilerin paylaşımı günümüz kapalılık kurallarına uygun bir halde olmalı. Tıpkı vakitte, bütünlük, erişim kontrolü ve inkâr edememe üzerine farklı düzenekler bulunmalı. Sıhhat verisinin en temel özelliklerinden biri şahsa özel olması ve kişinin müsaadesi olmadan kimseyle paylaşılamamasıdır. Buradan yola çıkarak, sıhhat bilgilerinin depolama ortamlarında –günümüzde bulut olarak biliniyor– şifreli, kimliği doğrulanmış ve bütünlüğü sağlanmış bir formda tutulması gerekiyor.” 

“Bir hastanın tüm sıhhat bilgileri her sıhhat çalışanı için yetkilendirilemez”

Hastanın tüm bilgilerinin görülmesine gerek duyulmayan bir sistemin mümkün olduğunu belirten Akleylek, şunları söylüyor:

“İlgili uzmanın bireyin tüm bilgilerini görme hakkı olmadığı sıhhat durumları da bulunuyor. O yüzden, bir hastanın tüm sıhhat bilgileri her sıhhat çalışanı için yetkilendirilemez. Fakat, kimi hastalıkların daha evvel geçirilmiş diğer hastalıkların sonucu yahut nedeni olduğu göz önüne alındığında tüm sıhhat datalarına muhtaçlık kapsamında erişim ve yetki verilmesi manalı olacaktır. Böylelikle yetkilendirme, kimlik doğrulama ve şifreli sıhhat verisi üzerinde yapılacak aramalar ile en gerçek sonuca bireyin tüm sıhhat verisi elde edilmeden de ulaşılabilir.”

Kaynak: (BYZHA) Beyaz Haber Ajansı