Medikal verilerimiz güvende mi?

Geçtiğimiz günlerde Anonymous grubunun bir üyesi Türkiye’deki bazı hastanelere ait on milyonun üzerinde medikal kaydı yayımladı. Kayıtları yayınlayan hacktivist saldırıyı iki amerikan hastanesine yapılan fidye saldırısının intikamını almak için yaptığını açıkladı. Söz konusu saldırı ile ABD’de iki hastanenin verileri şifrelenmiş ve şifreli verileri çözebilmek için gereken anahtar için 3.4 milyon dolar fidye istenmişti. paste-bin’e atılan bir mesajda saldırının ABD’nin Kürtlere desteği nedeni ile Türkler tarafından yapıldığı iddia edilmişti. paste-bin’e herhangi biri tarafından anonim olarak herhangi bir metin eklenebiliyor. Dolayısıyla atılan saldırıyı sahiplenme mesajı saldırının gerçekten mesajı atan tarafından yapıldığına kanıt olabilecek nitelikte değil. Anonymous, yaygın olarak duyuru yaptığı @YourAnonNews twitter hesabından saldırı ile alakaları olmadığını belirtti.[0] Ancak Anonymous’un garip yapısı kendine “Ben Anonymous’um” diyen herkesi kendinden saymaya izin veriyor. Her iki saldırıyı da kim ne amaçla yapmış olursa olsun saldırılar bir başka önemli sorunu gözler önüne seriyor: Medikal verilerimizin güvenliği...
Yayımlanan veriler kürtaj bilgileri ve HIV test sonuçları gibi aşırı hassas sayılabilecek ve ortaya çıkması halinde ölüme varan sonuçları olabilecek bilgiler içeriyor. 24 Mart’ta kabul edilen Kişisel Verilerin Korunması Kanunu’nun [1] 12. maddesi veri sorumlusunun verilere bu şekilde erişilmesini engellemek için gerekli her türlü teknik ve idari tedbiri almasını zorunlu tutuyor. Aynı kanunun 18. maddesinin 1. fıkrasının b bendi ise şöyle:
“(Bu kanunun) 12’inci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,(idari para cezası verilir.)”
Hacklenen sistemleri incelediğimizde iki ayrı medikal kayıt yazılımı ön plana çıkıyor: Prestij Winsoft ve EES Sarus Hastane Bilgi Sistemi.
Prestij Winsoft sistemlere varsayılan yönetici kullanıcı hesabı ve şifresi kullanılarak erişilmiş. Sistem kurulumunda standart olarak gelen hesap ve şifrelerin değiştirilmesi de erişimin IP tabanlı beyaz liste usulü filtrelenmesi de böyle bir sistem için alınması gereken asgari tedbirler arasında. Yani ciddi bir ihmal söz konusu.
Sarus’a ise yazılımdaki basit sayılabilecek açıklardan yararlanarak erişilmiş. Yazılımın bu tip basit açıkları içermesi güvenliği yeterli düzeyde test edilmeden kullanıma sunulduğunu ortaya koyuyor. Yine IP tabanlı beyaz liste usulü filtreleme bu saldırıyı da engelleyebilirdi. Burada da ciddi bir ihmal söz konusu.
Diğer bazı sistemlerde 4 basamaklı nümerik şifreler ve hatta iki basamaklı nümerik şifreler bile mevcut. Üstelik bu büyük ihmal hâlâ devam ediyor. Söz konusu açıklardan yararlanılarak bazı sistemlere hâlâ erişilebiliyor.
Bu noktada aşağıdaki soruların başta Sağlık Bakanı Mehmet Müezzinoğlu olmak üzere yetkililere sorulması hayati önem taşıyor:
- EES Sarus Hastane Bilgi Sistemi ve Prestij Winsoft yazılımları kaç hastane ve laboratuvarda kullanılmaktadır?
- Bu yazılımların kullanıldığı kuruluşlarda verilerimiz güvende mi?
- Sağlık Bakanlığının kullanılan yazılımlar için bir denetim ve onay politikası var mı? Var ise bu politika yeterli mi?
- Hastanelerin ve laboratuvarın hasta bilgilerinin dijital güvenliğini sağlayıp sağlamadığı ne şekilde denetlenmektedir?
- Söz konusu ihmallerde bulunarak hasta bilgilerinin ele geçirilmesine yol açanlar hakkında adli/idari işlem yapılacak mı?

[0] https://twitter.com/YourAnonNews/status/732939048235507713
[1] http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf