12-14 ekim 2017 de Antalya'da düzenlenen Uluslararası Katılımlı X. Tıp Bilişimi Kongresinde yaptığım konuşmanın sunumudur.

1. X. Uluslararası Katılımlı Tıp Bilişimi Kongresi
Sağlıkta Siber Güvenlik ve Veri Güvenliği
Çağrı POLAT | 14.10.2017 |14:00

2. Firma:
Era Sistem Bilişim ve Danışmanlık Hizmetleri, İzmir
Eğitim:
Doktora: Bilgisayar Mühendisliği (DEU, Devam Ediyor..)
Yüksek Lisans: Bilgisayar Mühendisliği (DEU)
Lisans: Elektrik-Elektronik Mühendisliği (Anadolu Üni.)
Lisans: İşletme Fakültesi (Anadolu Üni.)
Sertifikalar:
MCSE+S & CEH (Eğitmen)
ISO 27001 Baş Denetçi
Bilirkişi
Mail / Telefon:
cagripolat@erasistem.net , 0 505 640 69 49
Web Sitesi:
http://www.cagripolat.com
Çağrı POLAT
Siber Güvenlik Uzmanı / Danışmanı
/ Eğitmeni
ISO 27001 Baş Denetçi & Danışman
Facebook.com/cagripolatmsc
Twitter.com/cagripolatmsc
Instagram.com/cagripolatmsc

3. Çağrı Polat | www.cagripolat.com
• Sağlıkta Siber Güvenlik
• Olası Tehditler
• Alınması Gereken Önlemler
• Sağlık Sektöründe Yaşanmış Siber Güvenlik Vakaları
• Sorular
0 İçerik

4. 1 Sağlıkta Siber Güvenlik
• Tek bir sağlık kaydının değerinin çalıntı bir kredi kartı numarasına göre neredeyse 10 kat
daha fazla olması önemlidir.
• Sağlık alanındaki fikri hakların (ilaç ve cihaz geliştirme, faturalama süreci, bakım
süreçleri vs.) ticari rekabet anlamında önemi göz önüne alındığında sağlık sektörünün
hedefte olması muhtemeldir.
• Sağlık hizmet sunucularında hasta verilerinin güvenliğini sağlamada ciddi engeller söz
konusu.
• Sağlık kurumlarında merkezi güvenlik politikalarının yürürlüğe konulmasında ciddi
zorluklarla ve yetersizlikler karşı karşıya kalınabiliniyor.
• Institute for Critical Infrastructure Technology‘nin hazırladığı bir rapora göre sağlık
sektörü, ABD’de en fazla siber saldırı tehdidinde olan ama en az hazırlıklı olan alan, keza
ülkemizde de durum çok da farklı sayılmaz. [1]
Çağrı Polat | www.cagripolat.com

5. Genel Bilgiler
Çağrı Polat | www.cagripolat.com
• 2016-2019 Ulusal Siber Güvenlik Stratejisi ile de Sağlık Sektörü kritik sektör olarak yer almış,
ayrıca Sağlık Bakanlığı, kritik kamu hizmetleri sektöründe sektörel Some listesinde yer almıştır.
[2]
• Sağlık sektörü nesnelerin interneti cihazlarının güvenliği önemli bir hal almıştır. Özellikle kritik
cihazlara kötü niyetli dış tarafların müdahalesi hayati tehlikeler doğurabilir.
• Yapılan bir araştırmada [3] Sağlık Yöneticilerinin %56’sı en büyük kaygılarının çalışanlara yönelik
“oltalama” (phishing) saldırıları ve kurum içindeki kötü niyetliler olduğu raporlanmıştır.
• Bu raporda ayrıca sağlık kurumlarının web ve mobil uygulamalardan kaynaklı güvenlik riskleri ile
karşı karşıya olduğunu, siber saldırıların karşı karşıya bırakacağı bu riskleri anlamak için para ve
zaman yatırımı gerektiğini ifade edilmiştir.
• KVKK özelinde Kişisel Sağlık Verilerinin hassasiyeti ve korunması noktasında güvenlik mutlaka
önemli konumdadır.
• Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında çıkan yönetmelik ile
de özellikle SOME ekibi içinde yetkinliğin artırılması ve gerçekleşebilecek siber olaylara karşı
müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve
kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlü
olduğu belirtilmiştir. [3]

6. 2 Olası Tehditler
Çağrı Polat | www.cagripolat.com
• İçerden tehditler (taşeron vb. çalışanlar)
• Donanım, yapılandırma ve Ağ Mimarisi tehditleri
• Oltalama ve veri şifreleme saldırıları
• Veri ve veritabanı sızıntıları
• Nesnelerin İnterneti cihaz güvenliği
• Dağıtık servis reddi saldırıları (DDoS) ile kritik hastane servis kesintileri
• Sağlık sektörüne özel uygulama tabanlı tehditler
• Bulut bilişim tehditleri

7. 3 Alınması Gereken Önlemler
Çağrı Polat | www.cagripolat.com
• Çok katmanlı güvenlik mimarisine geçiş
• Yetkin personel eksiğinin giderilmesi
• ISO27001 standartının sağlık kurumların da zorunlu hale gelmesi ve her yönüyle eksiksiz
çalıştırılması
• Dışardan uzman kişilere belirli aralıklar ile GAP analizi/zafiyet/sızma testi ve aksiyon
• Yedekleme, iş sürekliliği ve olay müdahalesi için kapsamlı hazırlık, tatbikatlar
• Nesnelerin İnterneti cihazlarının belirli aralıklar ve detaylı kapsamda sızma testi
• Yönetici haklarıyla çalışan IT ve uygulama destek personellerini izleyecek yapının kurulması
• Logların anlamlandırılması ve aksiyon alınması
• Bulut bilişim güvenliği

8. 4 Sağlık Sektöründe Yaşanmış Siber Güvenlik Vakaları
Çağrı Polat | www.cagripolat.com
• Hastane Verisinin Sızması:
16 Mayıs 2016'da başlayan siber saldırılarda Bakanlığımıza bağlı Diyarbakır, Siirt, Tekirdağ
ve Kocaeli illerinde bulunan bazı hastanelerimize yönelik bir siber saldırı girişiminde
bulunulmuştur. Söz konusu saldırıdan sadece Diyarbakır ilimizdeki hastanelerimizin kısmen
etkilendiği tespit edilmiş olup, bilgi sistem altyapımızdaki yedekleme mekanizması
sayesinde olası veri kayıplarının önüne geçilmiştir. [5]
• Buluta Yapılan EHR Saldırıları:
2015 yılında Bizmatics’in ürettiği PrognoCIS isimli bulut tabanlı bir elektronik sağlık
kayıtları (ESK) yazılımına yapılan saldırıda 300 bin kullanıcının sağlık verisi sızdırıldı. Bu
saldırı programın ana sunucusuna bulaştırılan bir zararlı yazılım aracılığıyla gerçekleştirildi.
Ayrıca 2015 yılında NomoreClipboard isimli web tabanlı bir EHR yazılımı da hacklenerek
3,9 milyon kullanıcının verisinin sızdırılmasına neden oldu. [6]

9. Diğer Vakalar
Çağrı Polat | www.cagripolat.com
• İnsülin Pompalarına Sızıldı:
Johnson & Johnson insilün pompalarının zafiyetli olduğu ve uzaktan saldırgan tarafından
verilen dozun manipüle edildiği firma tarafından kabul edildi. [7] Ayrıca Siber güvenlik
uzmanı Billy Rios, Symbiq isimli insülin pompasını hack’ledi.
• Şırınga İnfüzyon Pompasına Sızıldı:
Medifusion 4000 serisi şırınga enjeksiyon pompası kablosuz bağlantı için oldukça zayıf bir
yapı barındırdığı ve uzaktan varsayılan hesaplar ile kolaylıkla sızıldığı tespit edildi. [8]
• Kalp Pilleri Geri Çağrıldı:
465.000 kişiye takılmış Kalp Pilleri bir cihaz sayesinde uzaktan yeniden programlanabilmesi
ve kalp atış hızı değiştirilebilmesi gerekçesi ile FDA tarafından geri çağırıldı. Üretici kalp pili
için bir firmware yayınlamış durumda ve sağlık personeli bu yamayı pile uygulayabiliyor. [9]
• Hollywood Hastanesi Fidye Saldırısı:
5 şubat 2016 da Hollywood hastanesi sistemleri fidye zararlısı (ransomware) ile kullanılmaz
hale getirilerek sağlık tarafında ciddi sonuçlar ortaya çıkacağı doğrulanmış idi. [10]

10. Kaynaklar
[1] https://saglikvebilisim.wordpress.com/2016/01/25/saglik-sektorunde-siber-guvenlik-tehditler-ve-
algilar/
[2] www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf
[3] https://info.veracode.co.uk/whitepaper-state-of-web-and-mobile-application-security-in-
healthcare.html
[4] http://www.kvkkanunu.com/2017/09/kisisel-saglik-verilerinin-islenmesi-yonetmelik.html
[5] http://www.haberturk.com/saglik/haber/1241415-anonymous-turkiyedeki-saglik-kayitlarini-caldi-mi
[6] https://tr.linkedin.com/pulse/sa%C4%9Fl%C4%B1k-sekt%C3%B6r%C3%BCnde-siber-g%C3%BCvenlik-
kavram%C4%B1-ve-trend-yakup-borekcioglu
[7] http://www.reuters.com/article/us-johnson-johnson-cyber-insulin-pumps-e-idUSKCN12411L
[8] https://thehackernews.com/2017/09/hacking-infusion-pumps.html
[9] https://thehackernews.com/2017/08/pacemakers-hacking.html
[10] https://www.theguardian.com/technology/2016/feb/17/los-angeles-hospital-hacked-ransom-
bitcoin-hollywood-presbyterian-medical-center
Çağrı Polat | www.cagripolat.com

11. SORULAR
TEŞEKKÜRLER
cagripolat@erasistem.net , 0 505 640 69 49
http://www.cagripolat.com