Yine Yeniden: Siber Afet ve Sağlık

Türkiye Acil Tıp Derneği Afet Komisyonu olarak her yıl yazıp paylaşımda bulunduğumuz “Afet Yazı Dizisi”nin 2024 yılı için ilk yazısı ile karşınızdayız. Afetsiz ve akademik bir dönem için şimdiden iyi okumalar diliyorum.

GİRİŞ

Bugün üç milyardan fazla kişinin kullandığı internet 1960 yılında bilgi paylaşmak amacı ile kurulmuştur. İlerleyen zamanlarda internetin bu denli yaygınlaşacağı beklenmediğinden ve insanların sisteme zarar verebilecekleri düşünülmediğinden güvenlik geri planda bırakılmıştır. Teknolojik gelişmeye paralel olarak altyapıların bilişim sistemlerine bütünleşme çabaları artmış, küreselleşme ve getirdiği iş kolaylığı gibi nedenlerden ötürü bu geçiş hızlanmıştır. Dünyada ortaya çıkan bu yeni durum ekonomik, siyasal ve sosyal olarak uluslararası alanda yeni bir yapı yani küreselleşmeyi meydana getirmiştir. Bundan dolayı küreselleşmeye yön verebilmek için bilgi teknolojileri önemli bir aktör olarak kullanılmaktadır. Bilgisayar teknolojisi sayesinde internet dünyası dediğimiz yeni görünmeyen sanal bir kıta keşfedilmiştir. Böylece bilgi teknolojileri ve iletişim sistemleri ile küreselleşme hız kazanmış, ülke sınırları küçülmüş, rekabet ortamı şiddetlenmiş, bölgesel gruplaşmalar başlamış ve bugün için ülkelerin fiziksel alan dâhil tüm etki alanları siber alandaki yetkinliklerine göre sınırlanmıştır. Ülkemizde ve dünyada yaşanan tüm bu bilgi toplumuna geçiş süreci ile birlikte, bu sürece karşı olarak kişisel, ticari ve politik motivasyonlar barındıran zararlı yazılımların oranında büyük artış meydana gelmiş; ülkelerin kurum ve kuruluşları siber saldırıların hedefi olmuştur.(1)

Elektronik sistemlerde olduğu gibi, sağlık hizmetleri teknolojisi de güvenlik açığına yol açan yazılım ve donanım kusurlarıyla doludur.(2) Bu güvenlik açıklarından kötü niyetli aktörler tarafından yararlanılması maalesef sağlık sektöründe yaygın hale geldi ve teknolojiye olan bağımlılığımız artmaya devam ettikçe muhtemelen hızlanarak önümüze çıkacaktır.(3)

Sağlık ve Teknolojik Bağımlılık

Modern sağlık sistemleri birbirine bağlı ve  bağımlı teknik sistemlerdir ve sayısız yazılım, donanım, tıbbi cihaz ve ağ ürününden oluşur. Bilgisayarlı sistemlere yapılan saldırılar, genellikle kötü niyetli aktörün amacına ve becerisine bağlı olarak, etki, gelişmişlik ve ölçek açısından büyük ölçüde farklılık gösterir. Geleneksel olarak, bu saldırılar “CIA üçlüsü” tarafından tanımlanmıştır.(4) Bu model, saldırıları gizlilik, bütünlük ve kullanılabilirlik olmak üzere 3 kategoriye ayırır ( Şekil 1 ). 

  • Gizlilik, yetkisi olmayan kişilerden veri erişiminin korunmasını içerir. Örneğin, bilgisayar korsanları hastaların adları, adresleri ve ilaç listeleri gibi korunan sağlık bilgilerini ifşa ederse, bu bir gizlilik saldırısı olarak sınıflandırılır.
  • Bütünlük, bir konumdan depolanan veya iletilen verilerin yetkisiz değişiklikten arınmış olduğunun güvencesidir. Bir veri tabanındaki laboratuvar testlerinin değerlerini anormalden normale değiştiren veya bir hastanın kritik ilaç alerjilerini elektronik tıbbi kayıttan silen bir saldırı, bütünlük saldırısı olarak sınıflandırılır.
  • Bilgisayarlı sisteme sürekli erişimin sağlanması veya işlevinin korunması, kullanılabilirlik olarak adlandırılır. Bir bilgisayar korsanı, eczane sistemine, eczacılara veya doktorlara erişilemezlik ile sonuçlanan bir saldırı başlatırsa, buna erişilebilirlik saldırısı denir.

Şekil 1 Sağlık hizmetleri örnekleriyle siber güvenlik saldırı sınıflandırması.

Kötü amaçlı yazılım olarak bilinen bilgisayar programları, son 20 yılda çoğaldı. Saldırgana finansal bir ödeme yapılıncaya kadar verileri erişilemez hale getiren programlar olan fidye yazılımları, yakın zamanda yüzlerce sağlık sistemine bulaştı. Bu olayların belki de en yıkıcısı, Mayıs 2017’de, WannaCry fidye yazılımının 80’den fazla Birleşik Krallık Ulusal Sağlık Hizmeti hastanesindeki sistemlere bulaştığı ve bazı acil servislerin (ED’ler) kapatılmasına, ameliyatların iptal edilmesine ve ayakta tedavi gören klinik bakımın kesintiye uğramasına neden oldu.(5)

Birçok bağlantılı tıbbi sistem, inme, travma, kalp arrest ve sepsis gibi zamana bağlı durumların klinik tedavi iş akışları için hayati öneme sahiptir. Bu sistemlerden birinin bile başarısız olması hasta için olumsuz sonuçlar doğurabilir. Örneğin, bir görüntülemenin, bilgisayarlı tomografi (BT) tarayıcısının işletim sisteminin bir bilgisayar virüsü nedeniyle rapor edilememesi, inme tanısını uzatabilir, hastayı trombolitik tedavi süresini etkileyebilir veya kafa içi kanamanın beyin cerrahisi müdahalesini geciktirebilir. Bir hastanenin dijital sınırlarının dışındaki teknik sistem arızası bile hasta bakımını etkileyebilir; örneğin, Allscripts’in güvenlik ihlali nedeniyle yüzlerce virüslü hastane ve kliniği hasta kayıtlarını görüntüleyemez veya ilaç yazamaz hale getiren 2018 Allscripts fidye yazılımı saldırısı.(6)

Hastaneler ayrıca, klinik bakımı etkileyebilecek geniş bağlantılı cihaz ve sistem ağlarını da kullanırlar. Örneğin, bir hastane çağrı sistemine veya telefon sistemine yapılan bir hizmet reddi saldırısı, hızlı iletişimin hayati önem taşıdığı miyokard enfarktüsünde uzman müdahalesini geciktirebilir.(7)

Siber Afet Tıbbı

Doğal afetler, salgınlar ve kitlesel olaylara hazırlık ve tıbbi yönetim, acil tıp ve yan dal afet tıbbının birincil sorumlulukları arasındadır. Siber saldırılar, ilk bulaşma veya ilerleme için öngörülebilir bir model izlemez ve genellikle geniş bant İnternet hızında ayrım gözetmeksizin yayılır. Kasırgalar veya depremler gibi birçok doğal afetin coğrafi bir tercihi ve tarihsel bir emsali vardır ve bu da belirli bölgelerdeki hastanelerin sağlam afet müdahale planlarına hazırlanmalarına ve bunları test etmelerine olanak tanır. Ancak, kötü amaçlı yazılımlar veya diğer siber saldırılar, internet bağlantısı olan her yere yayılabilir ve her türlü felaketten izole edilmiş bölgeleri etkileyebilir. Bir hastaneden diğerine hızla yayılma riski, tüm sağlık sistemine hızla bulaşabileceği ve yüzlerce hastanenin klinik bakımını etkileyebileceği anlamına gelir.(8)

Olay komuta sistemi, bir afetle ilgili belirli talepleri karşılamak için standartlaştırılmış bir yönetim aracı sağlar. Operasyonlar, planlama, lojistik ve finans gibi afet müdahalesinin tüm ana bileşenleri için liderlik yapısını, işbölümünü ve buradaki sorumlulukları ana hatlarıyla belirtir. Doğal afetler veya terör eylemleri için çok uygulanabilir olmasına rağmen, bu model bir siber saldırıyı etkili bir şekilde yönetme yeteneği bakımından sınırlıdır. Hasta bakımında aksamalardan kaçınmaya çalışırken teknoloji kusurlarını ele almanın zorlukları gerçekten de farklıdır. Siber afetlere müdahale için standartlaştırılmış en iyi uygulamaların geliştirilmesi, muhtemelen hibrit bir yaklaşım gerektirecektir.

Organize bir afet müdahalesinin yaygın uygulaması, mümkün olduğunca çok sayıda eğitimli profesyoneli hızla olay yerine göndermek ve onlara belirli görevler vermektir. Ancak bir siber saldırı durumunda kaynak ihtiyaçları çok farklıdır. Artan hasta talebini karşılamak için insan gücü ve malzemeleri sağlamak yerine, ortaya çıkması en muhtemel sorunlar, hasta akışını ve tedavisini sürdürmek için alternatif, bilgisayarsız sistemleri uygulamaya hazır bilişim uzmanları ve önceden eğitilmiş bireyler gerektirecektir.  Bu nedenle, acil tıp eğitimcileri, bir hastane afet proğramından farklı bir tehlike olarak dahil edilebilecek siber saldırı planları oluşturmaya çalışmalıdır.

Hastaneler, sağlık hizmetlerine yönelik siber saldırıların azaltılması, hazırlık, müdahale ve kurtarma konularında Ulusal Acil Durum Yönetim Ajansı’nın acil durum yönetimi aşamalarının ilkelerini uygulayabilir ( Şekil 2 ). 

“Mitigation-Hafiletme” sürecine klinisyenlerin dahil edilmesi, sınırlı kaynakları güvence altına almak için en yüksek öncelikli klinik sistemleri ve cihazları belirlemede sağlık hizmetlerinin güvenlik durumunu iyileştirebilir. 

Şekil 2 Siber acil durum yönetiminin aşamaları.

“Preparedness-Hazırlık”, bilgi teknolojisi sistemlerinin yanı sıra acil durum yönetimini de içermelidir, bilgi teknolojisinin olay müdahalesini ve geleneksel sağlık olayı komutasını uyumlu hale getirmek için birlikte çalışmalıdır.

Siber afetlere gerçek zamanlı “Response-Müdahale”, diğer afet müdahalelerinden benzersiz prosedürler gerektirir ve genellikle 3 hedefi içerir. 

  • Birincisi, sürekli güvenli klinik bakımı sağlamak için dijital klinik iş akışlarını manuel süreçlerle değiştirmek. 
  • İkinci amaç, belirli siber tehdidi belirlemek ve yayılmasını ve ağ üzerindeki etkisini sınırlamaktır. 
  • Üçüncü amaç, ayrıcalıklı Sağlık Bilgi Paylaşımı ile içişleri bakanlığı ve diğer sağlık kuruluşları gibi ilgili kurum ve kuruluşlarla iletişim kurmaktır.

Tıbbi siber felaketlerden “Recovery-Kurtarmak” da bazı benzersiz hususları gerektirir. Saldırıdan etkilenen klinik sistemleri yeniden başlatırken, bilgi teknolojisi ekiplerinin saldırılara izin veren güvenlik açıklarının kapatıldığından emin olması gerekecek; aksi takdirde, sistemden yararlanan aynı virüs, kötü amaçlı yazılım veya saldırgan, sistemler yeniden başlatılır başlatılmaz geri dönebilir.

Öneriler

Siber afetlere hazırlık için özel önerileri şu şekilde sunabiliriz.

  • Uygulanacak ilk şey, tüm dijital sistemlerin teknik arızasını simüle eden düzenli acil servis ve hastane çapında siber afet tatbikatlarıdır. 
  • Hazırlık hedeflerinizi daha da hızlandırmak için teknik, klinik ve organizasyonel liderliği içeren bir siber afet görev gücü oluşturun ve geliştirin. 
  • Daha sonra en iyi uygulamaları diğer sağlık hizmeti sunan kuruluşlarla paylaşabilirsiniz. Bir siber güvenlik tehdidi hastanenizi etkiliyorsa, Sağlık Bilgi Paylaşımı ve Analiz Merkezi gibi mevcut uluslararası mekanizmaları kullanarak sağlık hizmetleri organizasyonlar arası tehdit paylaşımına katılın. 
  • Son olarak, bir acil servis doktorunun hastanesini siber bir tehditten koruyabilmesinin en basit yollarından biri, iyi bir siber programı uygulamaktır. 
  • Sözlüklerde bulunan bir parola yerine daha uzun benzersiz parola ifadeleri oluşturun.
  • Parolaları paylaşmayın.
  • Birden fazla hesap ve hizmet için aynı parolayı veya parolayı kullanmaktan kaçının.
  • Güvenlik sorularını yanıtlamak için kullanılabilecek bilgileri sosyal medyada paylaşmaktan kaçının.
  • Çok faktörlü kimlik doğrulamayı dağıtın.
  • Kötü niyetli e-postaları açmaktan kaçının.
  • Hileli flash sürücüleri klinik ortamlara bağlamaktan kaçının.
  • Dijital veri depolamayı şifreleyin.
  • Yetkili kullanıcıları taklit ediyor olabilecek doğrulanmamış kişilere gizli bilgileri ifşa etmekten kaçının.

Kaynaklar

  1. Orak M. Sağlıkta Korkutan Gelecek Siber Afetler, https://tatd.org.tr/afet/afet-yazi-dizisi/saglikta-korkutan-gelecek-siber-afetler/
  2. Nigrin DJ. When “hacktivists” target your hospital. N Engl J Med. 2014;371:393-395.
  3. Gordon WJ, Wright A, Aiyagari R, et al. Assessment of employee susceptibility to phishing attacks at US health care institutions. JAMA Netw Open. 2019;2:e190393. 8. Blumenthal D. Launching HITECH
  4. Schabacker DS, Levy L-A, Evans NJ, et al. Assessing cyberbiosecurity vulnerabilities and infrastructure resilience. Front Bioeng Biotechnol. 2019;7:61
  5. National Audit Office Investigation: WannaCry cyber attack and the NHS—National Audit Office (NAO) report. (Available at:) https://www.nao.org.uk/report/investigation-wannacry-cyber-attack-and-the-nhs/ Date accessed: June 21, 2019
  6. Healthcare IT News. Allscripts sued over ransomware attack, accused of “wanton” disregard. Available at: https://www.healthcareitnews. com/news/allscripts-sued-over-ransomware-attack-accused-wantondisregard. Accessed June 21, 2019.
  7. Wired. The highly dangerous “Triton” hackers have probed the US grid. Available at: https://www.wired.com/story/triton-hackers-scan-uspower-grid/. Accessed June 21, 2019
  8. Collier R. NHS ransomware attack spreads worldwide. CMAJ. 2017;189:E786-E787.

Kategoriler

Etiket Bulutu

Önceki Yazı

Bomba Saldırılarında Hastane Öncesi Tıbbi Organizasyon Ve Yönetim

Sonraki Yazı

HASTANE ÖNCESİNDE AFET YÖNETİMİ

Paylaş Paylaş