Birleşik Krallık'ın ulusal sağlık hizmeti NHS, çalışanlarına hasta verilerine yetkisiz erişimin hapis cezasıyla sonuçlanabileceği konusunda sert bir uyarı yayınladı. NHS Başkanı Jim Mackey, tıbbi kayıtlara uygunsuz erişimi 'tamamen kabul edilemez, hasta güvenine ihanet ve yasa dışı' olarak nitelendirdi. Bu açıklamalar, NHS'in sağlık kuruluşlarına yetkisiz erişimi önleme, izleme ve raporlama konusunda yeni rehberlik yayınlaması ve bir farkındalık kampanyası başlatmasıyla eş zamanlı geldi.
'Merakınızın kariyerinizi mahvetmesine izin vermeyin' sloganıyla yola çıkan kampanya, son dönemde yaşanan ve çalışanların hasta kayıtlarına yetkisiz eriştiği yüksek profilli vakaların ardından hayata geçirildi. Mayıs ayında 11 personel, 2023 Nottingham bıçaklı saldırılarının kurbanlarının kayıtlarına yasadışı yollardan eriştikleri için işten çıkarıldı, 14 personele ise yazılı uyarı verildi. Bir ay sonra Cambridgeshire'daki bir hastanede, ağır yaralı bir çocuğun kayıtlarına yaklaşık 40 personelin geçerli bir neden olmaksızın eriştiği tespit edilince soruşturma başlatıldı.
NHS personeli yalnız değil; geçen ay Bilgi Komiserliği Ofisi (ICO), özel bir Londra hastanesinde çalışan eski bir sağlık çalışanına, Galler Prensesi'nin tıbbi kayıtlarına erişmeye çalışıp bunları satmaya kalkıştığı için resmi uyarı cezası verdi. ICO CEO'su Paul Arnold, tıbbi verilerin kişilerin sahip olduğu en hassas bilgiler arasında olduğunu vurguladı: 'Bir kaydı görüntüleme yetkisine sahip olmak, bunu yapmak için meşru bir ihtiyacınız olduğu anlamına gelmez. Her personel bu sınıra saygı göstermekle kişisel olarak sorumludur ve her hasta bu saygının gösterileceğini beklemeye hakkıdır.'
NHS'in yayınladığı rehberlik, farklı yasadışı erişim türlerini tanımlıyor ve bu tür ihlallerin ICO ve polise bildirileceğini, personelin potansiyel cezai kovuşturmayla karşı karşıya kalacağını netleştiriyor. Ayrıca sağlık kuruluşlarına yetkisiz erişimi izleme ve düzenli denetim yapma konusunda talimatlar veriliyor. Yeni nesil elektronik hasta kayıt sistemlerinin bu tür olayları gerçek zamanlı olarak işaretleyebildiği belirtiliyor.
Teknik Analiz
BT ekiplerine, en az ayrıcalık politikaları, çok faktörlü kimlik doğrulama (MFA) ve role dayalı erişim kontrolleri uygulayarak bu tür olayları önlemek için teknik kontrolleri devreye sokmaları çağrısı yapılıyor. Check Point Kamu Sektörü Başkanı Graeme Stewart, kampanyanın tüm kuruluşların karşı karşıya olduğu içeriden gelen tehditler konusunda zamanında bir hatırlatma olduğunu söyledi: 'NHS son birkaç yılını büyük ölçüde fidye yazılımları, Synnovis'e yapılan tedarik zinciri saldırıları gibi dış tehditlere odaklanarak geçirdi ve bu doğruydu. Ancak bu, sıfır güven ve en az ayrıcalık ilkelerinin hem dışarıya hem de içeriye uygulanması gerektiğini gösteriyor.'
Stewart, riskin NHS'in elektronik hasta kaydı uygulamalarını ve Federasyon Veri Platformu gibi girişimleri yaygınlaştırmasıyla daha da arttığını belirtti. Bu platformlar, hasta verilerini tröstler arasında daha paylaşılabilir hale getirmeyi amaçlıyor. NHS'in kampanyası, sağlık sektöründe veri güvenliğinin sadece dış tehditlere karşı değil, aynı zamanda iç tehditlere karşı da korunması gerektiğinin altını çiziyor. Personelin merakı veya kötü niyetli eylemleri, hastaların mahremiyetini ihlal edebilir ve kurumların itibarına zarar verebilir. Bu nedenle NHS, çalışanlarını eğitmek ve teknik önlemleri güçlendirmek için adımlar atmaya devam ediyor.
Kaynak: infosecurity-magazine.com