İngiltere'nin ulusal sağlık sistemi NHS, çalışanlarına hasta verilerine izinsiz erişmenin hapis cezasına kadar varabilecek ciddi sonuçlar doğurabileceği uyarısında bulundu. NHS Başkanı Jim Mackey, tıbbi kayıtlara uygunsuz erişimin 'tamamen kabul edilemez, hasta güvenine ihanet ve yasaya aykırı' olduğunu söyledi. Açıklama, NHS'nin personel için yeni bir farkındalık kampanyası başlatması ve sağlık kuruluşlarına izinsiz erişimi önleme, izleme ve raporlama konusunda rehberlik yayınlamasıyla eş zamanlı geldi.
“Merakınızın kariyerinizi bitirmesine izin vermeyin” sloganıyla başlatılan kampanya, son dönemde yaşanan bir dizi yüksek profilli olayın ardından geldi. Mayıs ayında, 11 NHS çalışanı, 2023 Nottingham bıçaklı saldırı kurbanlarının kayıtlarına yasadışı yollarla eriştikleri için işten atıldı, 14 kişi ise yazılı uyarı aldı. Bir ay sonra, bir Cambridgeshire hastanesi, ağır yaralı bir çocuğun kayıtlarına yaklaşık 40 çalışanın geçerli bir neden olmaksızın eriştiğini tespit ederek soruşturma başlattı.
NHS personeli dışında da veri koruma ihlalleri yaşanıyor. Geçtiğimiz ay, Bilgi Komiserliği Ofisi (ICO), eski bir sağlık çalışanına, Galler Prensesi Kate Middleton'ın tıbbi kayıtlarına erişmeye ve satmaya çalıştığı için resmi uyarı cezası verdi. Olay, Londra'daki özel bir hastanede meydana geldi. Bu tür vakalar, sağlık sektöründe iç tehditlerin ne kadar ciddi boyutlara ulaştığını gözler önüne seriyor.
NHS'nin yeni rehberliği, farklı yasadışı erişim türlerini tanımlıyor ve bu tür durumlarda personelin ICO ve polise bildirileceğini, potansiyel cezai kovuşturma ile karşı karşıya kalacağını açıklıyor. Ayrıca, sağlık çalışanları kariyerlerini kaybetme riskiyle de karşı karşıya. Rehberlik, NHS kuruluşlarının izinsiz erişimi nasıl izleyebileceğini ve düzenli denetimler yapabileceğini anlatıyor. Yeni elektronik hasta kayıt sistemlerinin, olayları gerçek zamanlı olarak işaretleyebildiği belirtiliyor.
BT ekiplerine, en az ayrıcalık ilkesi (least-privilege policies), çok faktörlü kimlik doğrulama (MFA) ve rol tabanlı erişim kontrolleri gibi teknik önlemler almaları çağrısı yapıldı. ICO CEO'su Paul Arnold, tıbbi verilerin bir kişinin sahip olduğu en hassas bilgilerden olduğunu vurgulayarak, “Bir kaydı görüntüleme yetkisine sahip olmak, bunu yapmak için meşru bir ihtiyacınız olduğu anlamına gelmez. Her personelin bu sınıra saygı gösterme sorumluluğu vardır ve her hasta bunu beklemeye hakkıdır” dedi.
Check Point kamu sektörü başkanı Graeme Stewart, kampanyanın tüm kuruluşların karşı karşıya olduğu iç risklerin zamanında bir hatırlatıcısı olduğunu söyledi. “NHS son birkaç yıldır ağırlıklı olarak fidye yazılımı, Synnovis'e yapılan tedarik zinciri saldırısı ve devlet destekli faaliyetler gibi dış tehditlere odaklandı. Ancak bu, sıfır güven ve en az ayrıcalık ilkelerinin hem dış hem de iç tehditlere karşı uygulanması gerektiğini gösteriyor” diye ekledi. NHS'in elektronik hasta kayıt sistemini yaygınlaştırması ve Federasyon Veri Platformu gibi girişimlerle hasta verilerini daha paylaşılabilir hale getirmesi, riski daha da artırıyor.
Kaynak: infosecurity-magazine.com