Verileri etkisiz hale getirme amaçlk saldkrklar için, yedeklerin güvenilirliği önemli

CIO Turkiye - - DOSYA KONUSU -

Astrazeneca Türkiye Bilgi Teknolojileri Müdürü Tuna Taş, sağlık sektörünün finansal büyüklük açısından kamu, perakende ve finans sektörleri ile beraber önde gelen sektörlerden biri olduğunu hatırlatırken, “Bu durum da ister istemez sektörü, siber ataklar için doğal bir hedef haline getiriyor. Dünyada siber ataklar çoğunlukla, sektör paydaşlarında tutulan hastalara ait veriler için oluyor. Bu veriler hastalara ait ad, soyad, doğum tarihi, kimlik numarası, çeşitli muayene sonuçları ve tetkik değerleri olabileceği gibi, ne zaman hangi ameliyatı geçirdiğine, hangi ilacı kullandığına dair bilgiler de olabilmektedir. Bu bilgilerin hasta için ömür boyu değiştirilemeyecek olması ve maddi değerinin çalıntı bir kredi kartı numarasına göre neredeyse 10 kat daha fazla olduğu düşünüldüğünde neden cazip bir hedef olduğu daha net anlaşılabilir” diyor. Sektördeki Arge faaliyetleri, klinik araştırmalar, ruhsat ve geri ödeme süreçlerinin çok maliyetli süreçlerle birlikte çok değerli verileri de içerdiğini kaydeden Taş, “Türkiye’de kullanımda olan 2D Barkod verisi tüm sektöre ait ilaç alış/ satış verilerini içermektedir. Buradaki veriler de ticari rekabet için belirleyici olduğundan son dönemde sağlık sektöründeki siber atakların sayısı arttı” diye konuşuyor. Tuna Taş şöyle devam ediyor: “Sağlık sektörü, önceliğinde her zaman insan sağlığı olduğu için aslında çok regüle bir sektör. Fakat bu regülasyon, son zamanlara kadar kurumların güvenlik politikaları için bir temel teşkil etmemekteydi. Ancak artan saldırılar sonucu, firmaların uğradıkları zararlar göz önüne alındığında, firmalar artık bilgi teknolojileri güvenlik politikalarını bir masraf merkezi olarak değil, sıfır risk alınacak bir nokta olarak görmeye başladılar. Bu önemli sorunun önüne geçmek adına, öncelikli olarak kurumların bilgi güvenliği prosedürünün belirlenmiş olması ve bu prosedürde belirtilenlerin harfiyen uygulanması gerekmektedir. Kurumda internet trafiğini denetleyecek kurumsal bir güvenlik duvarı olmalıdır. Günümüzde artık çoğu firma ‘Kendi Cihazını Kendin Getir’ konsepti ile çalıştığı için, ağa bağlı tüm cihazlar için uçtan uca entegre bir savunma platformu kullanılmalı. Özellikle veri sızdırma değil de, verileri etkisiz hale getirme amaçlı saldırılar için, alınan yedeklerin güvenilirliği mutlaka kontrol edilmelidir. Kurumlar her ne kadar tüm güvenlik önlemlerini alsalar da öncelikle içerideki en kolay sızma noktası hedef seçilmektedir. O da kurum çalışanlarıdır. Bu yüzden kurum çalışanları periyodik eğitim ve duyurularla konu hakkında (güvenli şifre seçimleri, temiz masa politikası, yazılımların güncel sürümlerini yükleme vb...) bilgilendirilmelidir. 12 Mayıs’ta global çapta yaşadığımız siber saldırı maalesef Microsoft’un, ilgili güncellemeyi iki ay kadar önce kritik önemde çıkarmış olmasına rağmen Avrupa’da binlerce sistemi etkileyebilmiştir.”

IOT sayesinde geleceğin teknolojisinin günümüz imkânları ile tasarlanmaya çalışıldığını, bu yüzden de maliyet unsurunun ortaya çıktığını dile getiren Taş, “Buna bir de tasarlanan sistemlerin yeşil dostu ve güvenli olması için alınması gereken önlemleri

Artan saldkrklar sonucu, €rmalarkn uğradkklark zararlar göz önüne alkndkğknda, €rmalar artkk bilgi teknolojileri güvenlik politikalarknk bir masraf merkezi olarak değil, skfkr risk alknacak bir nokta olarak görmeye başladklar.

eklerseniz maliyetli bir yapı ile karşı karşıya kalıyoruz. Bu maliyet farkını, bugün cep telefonunuzdan ‘çalış’ komutu verdiğiniz bir çamaşır makinesi için ya da yılda kaç litre parlatıcı harcayacağını hesap eden bir bulaşık makinesi için ödemek zorunda değilsiniz, çünkü bu alabileceğiniz bir risktir; fakat hastalarınızın cep telefonundaki uygulama ile hangi ilacı kaç kere aldığı ya da vücudunda taşıdığı giyilebilir bir teknoloji ile size periyodik ya da durumsal gönderdiği veriler ve bunlara istinaden ilgili aksiyonların alındığı platformlar için bu maliyete katlanmak zorunda kalırsınız” şeklinde konuşuyor.

Sağlık alanında silinmesi talep edilen verilerin istenildiği durumlarda kamu yararına kullanılması için arşivlenmesi, bu verilerin güvenliği ve gizliliğini ne oranda etkileyeceğini sorduğumuz Tuna Taş, “Ülkemizde, Kişisel Verilerin Korunması Kanunu’nun kabulünden sonra bu tip uygulamaların hukuksal zeminde kurallara bağlandığı bir gerçek. Kanun her ne kadar yeni olsa da artık çerçeve bellidir, kişisel verinin tanımı, nasıl kayıt edilmesi gerektiği, kim tarafından ve nasıl kullanılması gerektiği belirtilmiştir. Lakin güvenliğinin sağlanması ve denetlenme, takip, sorgulama imkânlarının oluşturulması konusunda yasal ve teknolojik düzenlemelerin yapılması zorunluluğu ortaya çıkmaktadır ki bu da emek isteyen bir süreç. En azından bu ara dönemde hasta bilgilerini arşivleyecek paydaşların hastaları doğru bir şekilde bilgilendirmesi, hastalardan konu ile alakalı onam alması, arşivlenecek verilerin anonim hale getirilerek hasta mahremiyetinin korunması ve uygun, güvenli veri arşivleme yöntemlerini kullanması ile alınan risk daha aşağı bir düzeye çekilecektir” diyor.

Astrazeneca Türkiye Bilgi Teknolojileri Müdürü Tuna Taş

Newspapers in Turkish

Newspapers from Turkey

© PressReader. All rights reserved.