Sağlık verileri, illegal veri alışveriş platformlarında diğer kişisel bilgilerin onlarca katı değerde alıcı buluyor. Bu değerli kaynak sahip olduğu önem derecesine uygun olarak korunamıyor ve siber saldırganların kolay ve açık hedefi haline geliyor. Çözüm içinse gerçek bir işbirliği gerekiyor.
Dijitalizasyonun hayatımızda gerçekleştirildiği en kapsamlı ve sonuçlarını yakından deneyimlediğimiz değişiklikler öncelikle sağlık sektöründe karşımıza çıkıyor. Artık sağlığımızla ilgili bütün özgeçmişimizi bizim bile hatırlamadığımız detaylarla aplikasyonlarda görüntüleyebiliyor, gitmek istediğimiz hastane ve doktorla paylaşıyor, sağlık sigortamızın sağladığı teminatlar için gerekirse dakikalar içerisinde onay alabiliyor ve ihtiyaç duyduğumuzda yine dakikalar içerisinde teminat limitlerimizi yükseltebiliyor veya yeni teminatları poliçemize ekleyebiliyoruz. Üstelik bu hızlı veri akışına dahil olan dağıtım kanalından akıllı saatlere, kiosklardan api terminallerine, hastanedeki medikal cihazlardan evlerde kullanılan analog gereçlere kadar birçok farklı yapıda ve farklı güvenlik seviyelerine sahip unsur (medium) bulunuyor.
Bu büyük sağlık hizmetleri ailesi ile sağlanan kolaylık ve müşteri lehine yaratılan büyük faydanın beraberinde getirdiği tehlike ise bilgilerin çalınması ve izinsiz kullanılması riski. Sağlık verileri bir kişinin sahip olabileceği en kişisel ve kötü kullanımı söz konusu olduğunda en büyük zararı yaratabilecek kadar önemli ve iyi korunması gereken bir veri ağı.
KOLAY VE AÇIK HEDEF
Sadece kötü niyetli kişiler tarafından kullanımı değil, onay dahilinde yanlışlıkla paylaşılması bile veri sahibi açısından ciddi sonuçlar ortaya koyabilecek bu değerli kaynak ne yazık ki sahip olduğu önem derecesine uygun olarak korunamıyor ve siber saldırganların kolay ve açık hedefi haline geliyor.
Özellikle ‘Dark Web’ denilen ve illegal veri alışverişlerinin pazar yeri haline gelen platformlarda binlerde dolar değerinde bedellerle el değiştiren sağlık verileri diğer kişisel bilgilerin onlarca katı değerde alıcı buluyor. Üstelik bu karanlık tablo her an daha da genişlemekte ve binlerce yeni veri günlük olarak alıcılara sunuluyor.
SAĞLIK VERİLERİ DOĞRU YÖNETİLMELİ
Çözüm ise ne yazık ki bilgilerin çalınmasından daha zor ve gerçek bir işbirliği gerektiriyor. Özellikle sağlık verilerinin doğru yönetilmesi, saklanması, risk teşkil etmeyecek şekilde paylaşımı ve ancak sahibinin onayı ve yalnızca onay verilen kişi veya kurumlarca paylaşımı; siber riskle alakalı gerçekleştirdiğimiz her analizde belirttiğimiz gibi; geniş kapsamlı bir iş birliğinin oluşturulması, kurumlar üstü veri güvenliği standartlarının belirlenmesi ve kısa vadeli kurumsal ve/veya kişisel çıkarların etkisi altında kalınmadan denetlenmesi ile mümkün olabilir. Bu noktada dikkatinizi çekmek istediğimiz diğer bir nokta ise verilerin de tıpkı ormanlar gibi bir koruma yapısına muhtaç olması.
Orman yangınları sırasında yangının söndürülmesi için ilk yapılacak aksiyon ateşe müdahale etmekle birlikte öncelikle yangının yayılmasını önlemektir. Dolayısıyla ormanlar koruma yolları ile bölünür ve yangının çıktığı bölgede kalması ve yayılmasının önüne geçilmesi amaçlanır. Öngörülen veya öngörülmeyen bir siber riskin gerçekleşmesi durumunda da benzer bir yol izlenmeli ve verilerin bütünü olabildiği kadar saldırının gerçekleştirildiği bölgeden yalıtılarak öncelikle veri kaybının genişlemesinin önüne geçilmelidir.
Veriler ‘silo’lar şeklinde saklanmamalı ve mutlaka periyodik olarak gözden geçirilerek gruplandırılmalı ve sonrasında kullanıma açılmalıdır. Genel işleyişi dikkate aldığımızda sağlık verilerinin birçok farklı özelliği ile sınıflandırma sürecine çok uygun olduğunu görüyoruz. Ancak henüz bu alanda gerekli çalışmalar gerçekleştirilemedi, kişinin sağlık verileri bütün olarak işlem yetkisine konu ediliyor. Böylelikle veriye bir şekilde ulaşan her siber saldırı girişimi birçok farklı veri kaynağına da erişebiliyor. Bununla birlikte sağlık verilerinin arasında da önem ve etki derecesine göre farklılaştırma işlemleri uygulanmalı, örneğin kan değeri veya kalp atış düzeni gibi birçok hastalığın öncelikli habercisi olan temel veriler en yüksek öneme sahip olarak kategorize edilmeli ve erişim farklı güvenlik adımlarından geçilerek sağlanmalıdır.
Sağlık sektöründeki verilerin yönetimi alanında hem dünya hem de Türkiye uygulamalarında önümüze çıkan ve siber saldırı riskini daha da arttıran diğer bir unsur ise veri sahipliği. Sağlık alanında veri sahipliği ile ilgili alınması gereken uzun bir yol ve hem rekabet hem de finansal sistemlere etkisi konularında düzenleyici kurumlar tarafından da yakından takip edilen kaygan bir zemin söz konusu.
Sağlık verilerinin günlük kullanılan akıllı aletler ile toplanması, belli aralıklarla araç sahibi şirketlere aktarılması ve sonrasında nasıl ve kimler tarafından değerlendirilmesi gerektiğiyle ilgili hayata geçirilen birçok düzenleme olmakla birlikte sürece bütünsel bir yaklaşım halen mevcut değil. Dolayısıyla yapılan düzenlemeler de yama özelliği göstermekten öteye geçemiyor. Bunun öncelikli nedenlerinden bir ise tarafların etki alanları arasındaki asimetri. Kişinin kullandığı teknolojik aleti değerini ödeyerek aldığı, buna rağmen verilerini işleme hakkı vermediği durumda bütün özelliklerinden yararlanmasının engellenmesi, verilerin sağlandıktan sonra nasıl bir hareket rotası çizdiğinin bilinmemesi gibi birçok bilinmezlik aslında veri havuzuna dahil olmak isteyen birçok kullanıcıyı korkutuyor ve büyük veri yönetiminin temel dinamiklerinin etkin işlemesini engelliyor. Bu aksaklıkların giderilmesi adına önümüzdeki günlerde hem büyük veri yönetiminin hem de sağlık sektörünün boyutları açısından merkez olarak adlandırabileceğimiz A.B.D. düzenleyici kurumlarından genişletici ve özellikle siber risk seviyesini düşürmeyi amaçlayan politikaların kamuoyu ile paylaşılacağını öngörüyoruz. Bu politikaları da yakından izleyerek siber risk perspektifinden değerlendirmelerini de sizinle paylaşacağız.Attachments area