Veri güvenliği günün en hassas konularından biridir. Özellikle sağlık söz konusu olduğunda. Bu günlerde hastanın tıbbi bilgilerinin güvenliğinden kim sorumludur?

Tamamen farklı

Teknolojiyi, iş stratejilerini veya sağlık sektöründe çalışan bir arkadaşınızla kendi deneyimlerinizi tartışmışsanız, muhtemelen şu ifadeyi duymuşsunuzdur: “Sağlık hizmetleriyle, işler farklıdır.”

Ve bu, endüstrinin karakteristiği ve hastaların yüksek beklentileri (her şeyden önce yaşam ve ölüm meselesi) sayısız problemler göz önünde bulundurulduğunda kesinlikle geçerli bir ifadedir. Sağlık sektörünün teknolojik ve organizasyonel gereksinimleri özeldir. Şimdi sağlık sektörü heeycan verici bir büyüme dönemine girerken ön plana çıkıyor ve kaçınılmaz olarak ciddi zorluklarla karşılaşıyor.

Sıkı yasal gereklilikler, telaşlı iş koşulları, yönetimin hassas doğası ve tıbbi hizmetlerin bir hastaya sunulması sırasında insanlığın tezahürü – tüm bu olağanüstü değişkenler sadece sağlık hizmetleri bağlamında bulunur. Sektörün bugün karşı karşıya olduğu çeşitli sorunları incelemek için özel bir lens kullanmamızı gerektiriyor.

Güvenlik kolayca sağlanır (değil)

Bu bakış açısı bizi sağlık hizmetlerinde gizlilik ve veri güvenliği konusuna yönlendiriyor. Hasta tıbbi verileri artık çok sayıda şirket arasında yaygın olarak dağıtılmaktadır ve hızla en değerli veri formlarından biri haline gelmektedir. Verilere ek olarak, hayatlarımıza ve sağlığımıza güvenen medikal cihazlar, bilgisayar korsanları ve kötü amaçlı yazılımlar tarafından tehdit ediliyor.

Ticaret dünyasında kişisel verilerin çalınması büyük rahatsızlıklara yol açabilir ve binlerce dolara mal olabilir, ancak bu, tehlikeye atılan bir tıbbi cihazın neden olduğu potansiyel hasarla karşılaştırıldığında ne anlama geliyor? Hasta refahı, kalp atış hızı monitörünün düzgün çalışmasına bağlı olduğunda oranlar artar. Hastaları tedavi etmek ve teşhis etmek için kullanılan tıbbi cihazlar, hacker saldırganları tarafından hedef alınabilecekleri için büyük bir risk taşırlar.

Yaşam ve sağlığın yanı sıra, hastanın sağlık sistemi ile ilişkisinde önemli bir bileşen daha vardır: “Korunan Sağlık Bilgileri” (İngilizce – PHI). Hasta, sağlayıcı ve ödeme yapan kişi arasında iletilen PHI, hastanın sağlık sektörü ile etkileşimi boyunca üretilen kişisel sağlık bilgisinden oluşur. Kural olarak, bu veriler tıbbi hizmetlerimizin ilişkili olduğu tıbbi şirketler tarafından işlenir. Böylelikle, hastanın sağlığı ile ilgili bilgilerin gizliliği, bulunabilirliği ve değişmezliği için sorumluluk yükü bu şirketlerle birlikte yatmaktadır.

Tabii ki, yapılması gerekenden daha kolay, ama “konuşma, ama harekete geçme” zamanı geçti. Hastalar, tıp şirketleri ve düzenleyici otoriteler tarafından halihazırda anlaşıldığı üzere, PHI’da meydana gelen ihlaller sadece pahalı olmakla kalmaz, aynı zamanda büyük bir rahatsızlık da doğurabilir.

Hatırlatma: Tıbbi cihazların güvenliği sorunu federal düzenleyicilerin çalışmaya başladığı bir sorudur. Son zamanlarda FDA, tıbbi cihazların siber güvenliğini artırma çabalarını açıkladı.

Teknik devrim, bir anlamda

Geçtiğimiz on yıl boyunca, veri ve hizmetlerin yirminci yüzyılın sonundaki analog teknolojilerden “şu an bağlı olan” hava-teknik altyapılarına hızla ve yaygın bir şekilde göç ettiğini gözlemledik. Bu devrim hayatımızın tüm alanlarına ve dahası, her insanın sağlığının ve esenliğinin kalbinde yer alan sağlık sektörüne girmiştir.

Özellikle, sağlık hizmetlerinin sayısallaştırılması, tıbbi kayıtların kaydedilmesi ve hasta üzerinde kontrolün kontrol edilmesini mümkün kılan güvenilir bir tıbbi elektronik kart sisteminin (in – EMR) kabulünde kendini göstermiştir. İnternet üzerinden erişilebilen hasta platformları, artık hastaları tıbbi bilgileri, teşhis raporları, reçete hizmetleri ve tabi ki ödemeler için bağlayan endüstri standardıdır.

En gelişmiş örnekler arasında, hastaların doktorları muayenehanesini ziyaret etme ihtiyacını tamamen ortadan kaldıran, fotoğraf makinesini kullanarak sağlık hizmeti sağlayıcılarına danışabilmelerini sağlayan tele-sağlık sistemleriyle entegrasyon bulunmaktadır.

Bu teknolojik ilerleme etkileyici olsa da, sağlık sektöründe kapsamlı bir hale gelmedi. Hasta verilerinin hala faks yoluyla iletildiği ve dokümanların elle doldurulduğu yeterli organizasyon var. Sonuç olarak, korunan bilgilerin çoğu hem elektronik hem de kağıt formunda mevcuttur. Tüm bunlar, özel bilgilerin dolaşımını artırmaya katkıda bulunur – kayıtlar, farklı derecelerde gizlilik ve güvenlik mekanizmalarına sahip birçok farklı sağlık sisteminden geçer.

Bunun ışığında, PHI güvenliğinin neden baş ağrısına dönüşmesi şaşırtıcı değildir. Açıkça görülen siber merkezli güvenlik sorunlarına ek olarak (örneğin, bilgisayar korsanları, veri sızmaları, gelişmiş araçlar kullanarak saldırılar, vs.), tıbbi bilgilerin fiziksel güvenliği dikkatli bir şekilde dikkate alınmalıdır. Birçok uygulayıcı, elektronik tıbbi kayıt sistemlerine uygun ölçüde güvenmez. Sonuç olarak, masalarda düzensiz şekilde yığılmış, dosya dolaplarına sıkışmış veya yanlışlıkla çöp kutularına atılan yüzlerce ve binlerce tıbbi kayıt bulabilirsiniz.

Elektronik tıbbi kayıt sistemi yaygındır, ancak tam olarak kullanılmamaktadır.

Değerli kargo

Son zamanlarda, tüketicileri etkileyen çok sayıda güvenlik olayı olmuştur. 2017’de Equifax’ı korsanlık sonucunda, milyonlarca kullanıcının bilgisi ele geçirildi.

İlk bakışta finansal bilgiler en önemli ve “kıymetli” gibi görünüyor. Geçmişte bu durum söz konusu olabilir, ancak tıbbi şirketler ve tedarikçilerle ilişkilerimiz aracılığıyla daha fazla PHI ürettiğimizde, denge şüphesiz değişecektir.

Bu arada, tıbbi verilerin gerçek maliyeti, güvenlik sorunlarından sonra şirketlerin uğradığı maddi kayıplara örnek olarak gösterilmektedir.
Korsanların ve veri korsanlarının, sektörler arası alternatiflerle karşılaştırıldığında bu değerin farkında olmaları da ilginçtir. Örneğin, satılan veritabanlarından birini oluşturan 396.459 tıbbi kayıt için 405 bin dolar istedi.

Bu kayıtları yasadışı kara pazarlarda bu kadar değerli kılan nedir? Başlamak için, tıbbi kayıtlar sigorta sahtekarlığı yapmak için kullanılabilir. Ve bu şekilde kullanıldığında, kaçıranların onları değiştirmesi çok kolaydır.

Bu yanlış değişiklikler, tıbbi kayıtların sahibi olan mevcut sahibi ciddi şekilde etkiler. Acil bir durumda ilgisiz ve geç tıbbi bakımın sağlanması en ciddi varsayımsal sonuçlardan biridir – sağlık sigortası hakkına etkisi daha “zararsız” bir örnektir.

Karaborsada onlara değer veren bir diğer faktör de bu tıbbi belgelerin genellikle diğer kişisel bilgileri içermesidir: sosyal güvenlik numaraları veya iletişim bilgileri. Tabii ki, sağlık bakımı genellikle maliyetle ilişkilendirilir, bu nedenle bu pakette finansal bilgiler de bulunur. Tüm bu bilgileri tek bir yerde bulmak maceraperest bir hacker’a çok fazla zaman ve efor harcar ve sağlık güvenliğindeki mevcut pozisyon görevle eşleşmezse – bu sadece bir başka bonustur.

Hükümet hazır olsun

Şu anda, sağlık bilgi güvenliği gereksinimlerini ele alan belirli bir güvenlik doktrini vardır. Özellikle, HITECH ve HIPAA formlarında, sağlık hizmetlerini sağlayan herhangi bir kuruluşa düzenleyici standartlar getirerek gizli bilgileri ve hasta refahını korumak için tasarlanmış iki federal kanun.

Bu federal standartlar, sağlık endüstrisinin özellikleriyle ilgili olarak dikkate alınmakla birlikte, yeniliklere ayak uydurmak için yeterince hızlı bir şekilde yükseltilemez. Aynı zamanda, NIST (ABD Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından yayımlananlar gibi daha modern güvenlik altyapıları, sağlık bilgi güvenliği departmanlarından bahsetmeksizin kapsamlarında çok yaygındır.

Aynı zamanda, sağlık hizmetlerinde gizlilik ve güvenlik konularına eğilmede inovasyon hızı da etkileyici değildir. Özellikle robotik bir kolun kullanıma girmesiyle kıyaslandığında (gelecekte gelecekte hacklenmeyecek ve hastaya boğulması emredilmeyecektir).

Neyse ki hastalar için, federal kuruluşlar tarafından uygulanan yaptırımlar, hasta verilerinin güvenliğini sağlamayan şirketlere yöneliktir. Her özel kayıtlı giriş için sabit bir oranda para cezasına çarptırılırlar ve tekrarlanan suçlulara daha ağır ve büyük para cezaları uygulanır.

Açıkçası, hasta veri güvenliği sağlık kuruluşları için devasa bir operasyonel ve finansal sorumluluğu temsil etmektedir. İkincisi, hizmet sundukları kişilere daha fazla gizlilik ve güvenlik sağlamak için sağlık ortamlarını iyileştirmek için tüm teşviklere sahiptir. Her neyse, hastalar, sağlayıcılar ve ödeme yapan kişiler veri güvenlik açığı ile eşit şekilde etkilenir.

Teşhis için teşekkürler, ama ne tür bir tedavi?

Tabii ki, hasta verilerinin gizliliği ile durumu iyileştirmek için yapılması gereken çalışmalar. Sağlık teknolojilerinin hızlı gelişiminin nihayetinde güvenliğin kenarlarında bir yerde güvenlik bırakması muhtemeldir. PHI’nin yavaş yavaş “dijital altın” haline dönüşmesi nedeniyle, bilginin gizliliğine dikkat sadece önümüzdeki yıllarda artacaktır. Bir soru kalır: Zamana ayak uydurmak için yeterince yapıyor muyuz?

Federal ve özelleşmiş sağlık kurumları tarafından yapılan çabalar ödüyor, bu nedenle veri güvenliği uygulamalarının gelişmeye ve gelişmeye devam etmesi muhtemeldir. Kuruluşların sadece çalışanların değil, aynı zamanda hastaların da dikkatini çekmeye çalışmaları gerektiğini unutmamak önemlidir. Bu, tüm taraflar için önemlidir.

Sağlık eğitimi aydınlanmasından hepimizin sorumlu olduğumuzu unutmayın. Uygun hizmetleri alırken, verilerin nasıl kullanılacağını (ve bir sızıntının sonucu olarak ne olabileceğini), ayrıca sağlık hizmeti sunucularının performansını eleştirel ve dikkatli bir şekilde değerlendirmemiz gerekir. Gizlilik konusuna da değinerek, verdiğimiz verilere saygıyı geliştirmeye ve sağlık hizmetlerinin sadece bakım değil, aynı zamanda güvenin de sağlandığından emin olmaya başlıyoruz.