HASTANE BİLGİ YÖNETİM SİSTEMİ(HBYS) VE BİLİŞSEL MAHREMİYET. Ömer ÖZTEKİN Bilgisayar Mühendisi

Transkript

1 HASTANE BİLGİ YÖNETİM SİSTEMİ(HBYS) VE BİLİŞSEL MAHREMİYET Ömer ÖZTEKİN Bilgisayar Mühendisi

2 HBYS NEDİR? HBYS içerisinde laboratuvar, radyoloji gibi tetkik birimlerinde gerçekleştirilen tüm operasyonlardan, ameliyathane, hastane eczanesi veya insan kaynakları birimlerine varıncaya kadar farklı uzmanlıklar üzerine çalışan birçok yazılımın bir araya gelerek oluşturduğu yazılım grubudur. HBYS lerde hastalara ait bir çok tıbbi veri ve kişisel bilgi bulunmaktadır. Ayrıca, sağlık tesisinin idari ve mali bir çok verisi de bu sistemlerde depolanmaktadır.

3 SAĞLIK VERİSİNİN MAHREMİYETİ NEDEN ÖNEMLİDİR? Kötü niyetli kişiler sağlık tesisinin verilerini ele geçirerek, bu verileri : I. Değiştirmek. II. Topluma açık ortamlarda yayınlamak. III. IV. Yok etmek. Para karşılığında çeşitli kişi veya kuruluşlara satmak. V. Kimlik hırsızlığı yapmak.

4 HASTA VERİLERİNİN GÜVENLİĞİ HIMMS Analytics ve Kroll tarafından Nisan 2008 yılında gerçekleştirilen Hasta Verilerinin Güvenliği araştırmasının sonuçlarında kurumlarda bilgi güvenliği ihlali olaylarında: Yetkililerin % 62 si olayın sebebinin yetkisiz erişim olduğunu, Yetkililerin %32 si olayın sebebinin kayıtlara yanlışlıkla erişim olduğunu, Yetkililer ihlal edilen verilerin çoğunlukla hasta ismi ve teşhis gibi yüksek seviyeli veri olduğunu belirttiler.

5 VERİ GÜVENLİĞİ Veri Güvenliği: I. Verinin gizliliğinin, bütünlüğünün korunması II. Veriye yalnızca yetkili kişilerin erişebilmesi ve kullanabilmesinin sağlanmasıdır. Yapılan araştırmalarda veri güvenliğinin yalnızca %20 sinin teknik önlemlerle sağlandığı, geriye kalan %80 lik kısmın ise bilgisayar kullanıcılarına bağlı olduğu tespit edilmiştir.

6 SAĞLIK VERİLERİNİN MAHREMİYETİNİN SAĞLANMASI 1. KULLANILAN HBYS YAZILIMI ÜZERİNDEN GELEBİLECEK TEHDİTLER 2. DIŞ DÜNYADAN GELEBİLECEK TEHDİTLER 3. KULLANICI HATALARI SEBEBİYLE OLUŞABİLECEK TEHDİTLER

7 1.KULLANILAN HBYS YAZILIMI ÜZERİNDEN ALINMASI GEREKEN TEDBİRLER Yazılımın yapılabilecek her türlü siber saldırılardan etkilenmeyecek şekilde yapılandırılması Yazılımı kullanan kişilerin yalnızca görmesi gereken bilgileri ekranında görebilmesi Tıbbi verilere yalnızca sürece dahil olan sağlık çalışanları tarafından ulaşılabilmesi Tetkik sonuçlarının yalnızca hasta veya hastanın izin verdiği kişiler ile paylaşılması

8 1. KULLANILAN HBYS YAZILIMI ÜZERİNDEN ALINMASI GEREKEN TEDBİRLER HBYS şifrelerinin belirli aralıklarla otomatik olarak değiştirilmesi HBYS ve kullanılan diğer tüm programların günlük olarak yedeklenmesi sağlanmalıdır.

9 2.DIŞ DÜNYADAN GELEBİLECEK TEHDİTLER 2016 Yılında Yaşanan Bir Hackleme Olayı Dünya genelinde yaptığı siber saldırılarla tanınan uluslararası bir Hacker grubu, Sağlık Bakanlığı na bağlı 33 kamu hastanesinin sağlık verilerini hackledi. Youtube ta bir video yayımlayan grup, Türkiye deki hastalara ait sağlık kayıtlarını pek çok siteden birden yayınlamaya başladığını duyurdu. Bu dosyalarda hastaların AIDS, Hepatit, Diyabet, Kürtaj gibi oldukça mahrem sağlık bilgileri yer aldı. Ayrıca hastaların adısoyadı, kimlik numaraları ve adresleri gibi veriler de yayımlandı. Siber saldırının ardından hastanelerin veri tabanında yer alan bilgiler kopyalandıktan sonra sistemden silindi.

10 ZARARLI YAZILIM İÇEREN SİTELER Bilgisayarlara virüs bulaşmasına yol açabilecek oyun, bahis vb. içerikli sitelere erişimler engellenmelidir. Dış dünyadan kurum sistemine yalnızca yetkili kişiler bağlanabilmeli ve bağlanan kişilerin yalnızca kendi alanlarıyla ilgili işlem yapabilmesi sağlanmalıdır. Uzaktan sağlık tesisine bağlanan kişilerin kendilerine özel kullanıcı adı ve şifreleri olmalı ve bağlantı yöntemi veriyi şifreleyerek taşıyan VPN olmalıdır.

11 3.KULLANICI HATALARI SEBEBİYLE OLUŞABİLECEK TEHDİTLER Kullanıcılar bilgisayarlarını ve HBYS programlarını yalnızca kendilerine özel kullanıcı adı ve şifre ile açabilmeli. Bu kullanıcı adı ve şifreler hiç kimseyle paylaşılmamalıdır. Kullanılan şifreler zor olmalı.(en az 8 karakter, rakam ve #, %, +, -, *, %" gibi özel karakterler içermelidir.)

12 Elektronik Reçete Şifresi Çalınan Doktor BURSA-Mustafakemalpaşa ilçesinde, 8 eczaneden AIDS ilaçlarını ücretsiz alıp haksız çıkar sağlayarak devleti yaklaşık 50 bin lira zarara uğrattığı ileri sürülen 2 kişi yakalandı. İddiaya göre, Diyarbakır'da görevli bir doktor, elektronik reçete şifresinin çalındığını fark ederek polise başvurdu. Söz konusu olayla ilgili bu kentte polis tarafından çalışma yürütülürken Mustafakemalpaşa'da bir eczacı da kendisinden birkaç kez AIDS ilacı alan Osman Yiğit B'den (35) şüphelenip İlçe Emniyet Müdürlüğüne ihbarda bulundu. Bunun üzerine Osman Yiğit B. ve kız arkadaşı D.G. (24) gözaltına alındı. Polis ekipleri, zanlıların, doktorun şifresiyle bazı AIDS hastaları için düzenlenen sahte reçeteleri kullanarak ilçedeki 8 eczaneden ücreti devlet tarafından karşılanan yaklaşık 50 bin liralık ilaç aldığını ve kargoyla bir adrese gönderdiğini belirledi. Bunların yurt içi ve dışında kimi hastalara satılarak haksız çıkar sağlandığı, aynı şifreyle Diyarbakır, Balıkesir, İzmir, Kayseri ve Elazığ'da bazı eczanelerden de ilaç temin edildiği bilgisine ulaşıldı. Emniyette işlemleri tamamlanan Osman Yiğit B. ve D.G, adliyeye sevk edildi.

13 YAPILMAMASI GEREKENLER Bilgisayarlara virüs içermediğine emin olunmadan USB ve CD bellekler takılmamalıdır. Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masaüstünde bulunmamalıdır. Bilgisayar başından ekran kilitlenmeden kalkılmamalıdır.(windows+l)

14 Elektronik İmza Cihazları E-reçete Uygulaması-HBYS-Hemşirelik Hizmetleri Elektronik Belge Yönetim Sistemi E-devlet Kapısı( I. Reçeteler daha hızlı ve güvenli bir şekilde yazılabiliyor, II. Resmi evraklar kargo süresi beklenmeden ilgili yerlere hızlı şekilde ulaşıyor.

15 Elektronik İmza Cihazları Elektronik İmza Cihazlarını I. Sahibi dışında hiç kimse kullanmamalı, II. Şifresi zor olmalı, III. Kayıp ve Çalıntı gibi durumlarda vakit kaybedilmeden cihazın sertifikası iptal edilmelidir.

16 Oltalama Saldırıları(Phishing) Dolandırıcıların rastgele kullanıcı hesaplarına gönderdikleri bir saldırı türüdür. Phishing, genelde bir kişinin şifresini veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır. Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahte sitelere yönlendirilir.

17 SONUÇ OLARAK; İsterseniz istediği ücreti verip yine insafına kalan şifre çözücüyü size vermesini beklersiniz, isterseniz boş ver dosyaları diyerek format atarsınız bilgisayarınıza. TTNet Fatura maili ile gelen Virüs 1- Saldırgan ttnet-fatura.com ya da ttnet-fatura.info gibi adreslerle size sözde faturasını gönderiyor. 2- Siz tıklayıp indirdikten sonra indirdiğiniz dosyaya çift tıklarsanız bilgisayarınızda ki klasörlerin içerikleri şifreleniyor. 3- Tüm klasörlerin içinde SIFRE_COZME _TALIMATI.html isimli bir dosya oluşuyor 4- Artık şifrenizi geri alabilmeniz için kötü niyetli arkadaşın talepleri ile karşı karşıya kalıyorsunuz.

18 TTNet Fatura maili ile gelen Virüs

19 TEŞEKKÜRLER