SAĞLIK VERİLERİ TEHDİT ALTINDA
Her geçen gün verinin değerinin artması siber korsanların veriyi ele geçirme arzularının da artmasına neden olmaktadır. Bu uğurda her türlü çabayı gösteren siber korsanlar ya da evrensel isimleriyle Hackerlar özellikle kişisel verileri ele geçirme yolunda büyük efor sarf etmektedirler.
Hem 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hem de General Data Protection Regulation (GDPR) yani Avrupa Birliği Veri Koruma Tüzüğü sağlık verilerini özel nitelikli kişisel veriler olarak tanımlamıştır. Bu verilerin işlenmesi için farklı bir yöntem belirlemiştir. KVKK kapsamında ayrıca bir açık rıza alınması zorunlu tutulmuştur. GDPR ise 35,53,54 ve tanımlar bölümünde sağlık verilerinin önemini ve özel işlenme şartlarını belirlemektedir.
Böylesine hassas olan sağlık verilerini işleyen sağlık alanında çalışan kurum/kuruluşların bilgi güvenliği ve siber güvenlik konularında çok daha dikkatli olmaları gerekmektedir. Sağlık kuruluşlarının hasta verilerini doğru şekilde muhafaza ederek siber saldırganların eline geçmesini önlemek için doğru tedbirler almaları gerekmektedir.
SAĞLIK VERİLERİNE SİBER TEHDİT
Sağlık verilerini muhafaza eden kuruluşlara yapılan saldırılar incelendiğinde iki farklı yaklaşıma rastlanılmaktadır. Bir kısım siber saldırgan bu verileri çalarak deep web, dark web olarak adlandırılan internetin karanlık tarafında pazarlayarak ekonomik bir kazanç elde etme peşindeyken diğer kısmının ise bu verileri şifreleyerek kullanımını engellemeyi ve sonrasında da şifrelerin çözülmesi karşılığında fidye isteme peşinde olduğu görülmektedir.
Son günlerde Kişisel Verileri Koruma Kurumu tarafından yapılan veri ihlali bildirimleri incelendiğinde Ransomware (Fidye yazılımı Saldırısı) saldırılarının artışta olduğu görülmektedir. Siber saldırgan tarafından çeşitli saldırı yöntemleri kullanılarak verinin muhafaza edildiği ağa ulaşılarak veriler şifrelenmekte ve sonrasında kurum/kuruluş ile iletişime geçilerek verilerin şifresinin çözülmesi karşılığında bir miktar para istenmektedir. Eğer kurum/kuruluş tarafından gerekli siber güvenlik önlemler alınmamışsa verilerin kaybı söz konusu olmaktadır.
Siber saldırganlar yaptıkları saldırılarda ağ ve bilişim sistemlerinin zayıflıklarından faydalanırken aynı zamanda sistemin kullanıcılarının da zayıflıklarından faydalanmaktadırlar. Phishing (Oltalama) saldırıları bu kapsamda öne çıkmaktadır. Kimlik avı saldırıları kapsamında kullanılan her türlü oltalama saldırısı ile sisteme erişim hakkı olan kullanıcılar hedef alınarak bu kullanıcıların erişimlerinden faydalanmak amaçlanmaktadır. Son derece hassas olan sağlık verileri siber korsanlar için büyük önem taşımaktadır. Dijital dönüşümün en çok yaşandığı alan olan Sağlık sektörü en çok bilişim cihazının olduğu alandır. Hemen hemen tüm cihazlar internete bağlı nesneler (Internet of Things – IOT) kapsamında değerlendirilmektedir. Bu durum sağlık verisinin işlenmesi kapsamında ayrı bir öneme sahiptir.
KVKK VE GDPR UYUMU
On Birinci Kalkınma Planı (2019-2023), 30.10.1984 tarihli ve 3067 sayılı Kanun gereğince, Türkiye Büyük Millet Meclisi Genel Kurulunun 18.07.2019 tarihli 105’inci Birleşiminde onaylanmıştır. Bu planın 479.1. maddesinde “6698 sayılı Kişisel Verilerin Korunması Kanunu AB’nin Genel Veri Koruma Tüzüğü dikkate alınarak güncellenecektir.” İbaresi yer almaktadır. Burada öne çıkan husus ise veri ihlalleri nedeniyle verilen cezaların da bu kapsamda güncelleneceğidir Halihazırda AB’nin Genel Veri Koruma Tüzüğü kapsamında meydana gelen veri ihlali nedeniyle 20 Milyon € veya Küresel Cirosunun %4’üne Kadar İdari Para Cezası verilebilmektedir.
Bu kapsamda tüm sağlık alanında kullanılan bilişim sistemlerinin zafiyetleri de göz önüne alınarak sağlık bilişiminde Kişisel Verilerin muhafazası konusunun dikkatle ele alınması gerekmektedir. KVKK uyum süreçlerini gerçekleştirmiş ancak asıl önemli olan verileri muhafaza ettikleri ve işledikleri bilişim sistemleri konusunda bir denetim hizmeti almamış tüm kişisel veri işleyenlerin siber güvenlik kapsamında durumlarını tekrar değerlendirmeleri gerekmektedir.
Kişisel Verilerimiz Ne Kadar Güvende?