Computer Security

1. Medikal Bilgi Sistemlerinde
Güvenlik, Mahremiyet ve Kimlik
Doğrulama
Hazırlayan: ŞÜHEDA ACAR

2. Medikal kayıt nedir?
 Bir hastanın medikal geçmişinin, muayenelerinin ve tedavilerinin kayıtlardır.
 Hizmet, bakım devamlılığı
 Hasta güvenliği
 Sağlayıcılar arasında iletişim
 Adli tıp
 Hak talepleri ve geri ödemeler
 Hastanın faydalanması
 Klinik araştırmalar
Neden ihtiyaç duyulur?

3. Medikal Bilgi Sistemleri
 Tanı, tedavi, sağlık verilerinin toplanması ve yönetilmesi
 Sağlık hizmetlerinin yönetilmesi ve geliştirilmesi için sunulan sistemlerdir.
 Bu sistemler, bilgiyi değişik formlarda kullanırlar.
• Elektronik sağlık kayıtları (EHR - Electronic Health Records)
• Kişisel sağlık kayıtları (PHR - Personal Health Records)

4. Medikal Bilgi Sistemleri

5. Elektronik Sağlık Kayıtları
(EHR - Electronic Health Records)
 Bilgi iletişim teknolojilerini (ICT)
kullanarak hasta bilgilerinin bir
arada elektronik ortamda
saklanmasından oluşur.
 Hastanelerde, kliniklerde,
doktor ofislerinde sağlık çalışanları
tarafından kullanılır.

6. EHR avantajları:
 Gelişmiş hasta emniyeti
 El yazısından kaynaklanan hatalardan kurtulma
 Olumsuz ilaç etkisini minimuma indirme
 Hasta bilgilendirilmesinin daha iyi yapılması
 Güncel ve doğru sağlık verisi
 Mevcut bilginin hızlı sunulması
 Uzun vadede oluşan maliyeti düşürmesi

7. Kişisel Sağlık Kayıtları
(PHR - Personal Health Records)
 Bireylerin internet tabanlı
uygulamalarla kullandıkları
kişisel tıbbi verilerdir.
 Hastalar tarafından kullanılır.

8.  Rutin medikal testlerin tekrarlanmasından kurtarır.
 Kişinin sağlığı hakkındaki bilgilere ulaşmasını sağlar.
 Kişinin sağlığının yönetebilmesine olanak verir.
 Hasta ile doktor arasındaki iletişimi güçlendirir.
 Yönetim maliyetini azaltır.
PHR avantajları

9.  Veri güvenlik ihlali.
Dezavantaj:

10. Güvenlik Açıkları
 Hırsızlık
• Yedekleme teybi ya da bilgisayar çalınabilir.
 Teknolojinin zayıflığı yüzünden verinin
yayılması
• FTP siteleri gibi zayıf kontrollü teknolojiler
kullanılabilir.
 Çalışan dikkatsizliği
 Bulut bilişim kullanılması

11. Mahremiyet (Privacy)
 Mahremiyet, hasta ile doktor arasında önemli bir husustur.
 Hastaya ait tüm kişisel bilgiler sağlık kayıtlarında mevcuttur.
 Her ne kadar sağlık kayıtlarının amacı tedavilerin kontrolü olsa da farklı
amaçlar için de kullanılabilir.

12. Hastaların kişisel sağlık verilerinin paylaşımı
konusundaki bakış açıları
Kişisel bilgiler,
• Kendi tedavileriyle ilişkili kişiler arasında
paylaşılmalı
• Doktorlar arasında paylaşılmalı
• İşverenleri, aileleri gibi üçüncü kişilerle
paylaşılmalı

13. MAHREMİYET TEHDİTLERi
Organizasyonel Sistematik
• İçeriden veya dışarıdan hasta
kayıtlarına uygunsuz olarak
erişmeye çalışmak
• Sisteme yasal olarak giriş yetkisi olan
kişilerin verileri sistematik olarak
başka amaçlar için kullanması

14. Organizasyonel Tehditler
 Beş farklı bölümde sınıflandırılabilir:
1. Accidental disclosure: Sağlık personeli, kişisel sağlık verilerini dikkatsizlik ve
kaza sonucu istenmeyen kişilerle paylaşabilir.
2. Insider curiosity: Sağlık personeli verilere erişim yetkisini kişisel amacı ya da
merak nedeniyle kullanabilir.
3. Data breach by insider: Sağlık personeli kişisel çıkar ya da intikam için
sağlık verilerine erişip, verileri sistem dışındaki kişilerle paylaşabilir.
4. Data breach by outsider with physical intrusion: Saldırganlar fiziksel
güç kullanabilirler.
5. Unauthorized intrusion of network system: Sisteme ağ üzerinden
yetkisiz erişim sağlanabilir.

15. Sistematik Tehditler
 Örneğin;
• Sigorta şirketlerinin sağlık verilerini hastaların tedavi masraflarını karşılamak için
kullanmasının yanı sıra, bu verileri analiz ederek kişilere ait sağlık risklerini
hesaplamak için kullanmaları
• İşverenlerin, adayları sağlık verilerine göre seçmesi

18. Mahremiyet Gereklilikleri
 Hastalar kendi mahremiyet endişeleri hakkında geri bildirimlerde bulunabilmeli
 Geri bildirimler sistemin düzenlenmesinde etkili rol oynamalı
 Her bir hasta kendi bilgi akışını kontrol edebilmeli ve istenmeyen bilgi paylaşımları
düzenlenip, iptal edilebilmelidir.
 Sistemin hastaları bilgi paylaşımı konusunda hiç kimseye güvenmesine gerek
kalmayacak şekilde inşa edilmeli
 Medikal bilgi, hastaların genel profilini ve davranışlarını ortaya çıkarabilecek kadar
geniş kapsamlı olmamalı

19. Mahremiyet Koruma Katmanları
1. Mahremiyetin devlet tarafından kanun ve yasalarla güvence altına alınması
(HIPAA)
2. Organizasyonel seviyede koruma
3. Hastaların bilinçlendirilmesi
4. Kayıtların veri madenciliği yöntemleri ile toplanması sırasında
anonimleştirilmesi

20. HIPAA
 Health Insurance Portability and Accountability Act
 1996’da hayata geçirildi.
 Hastaların medikal kayıtlarının güvenliğini, gizliliğini korumak üzere tasarlanmıştır.

21. HIPAA standartları
1. İdari Tedbirler
• Konu ile ilgili idari sorumlunun tanımlanması,
• Organizasyonun uyması gereken prosedürlerin tanımlanması,
• Elektronik ortamdaki bilgileri seviyelendirerek kimlerin, nelere ulaşabileceğinin
tanımlanması,
• Organizasyon dışı yüklenici firmaların bu standartlar çerçevesinde rolünün
tanımlanarak, sözleşme yapılması,
• Acil durumların tanımlanarak, yapılacakların tanımlanması ve
• Veri bütünlük kontrollerinin yapılandırılmasın

22. 2. Fiziksel Tedbirler:
• Sağlık bilgilerini içeren ortamlara olan fiziksel erişimlerin, dikkatlice kontrol
edilmesi ve izlenmesinin sağlanmasını içermektedir.
3. Teknik Tedbirler:
• Sağlık Sistemi içerisindeki bilgi kaynaklarına yapılacak siber saldırılara karşı
korunması, izlenmesi ve kayıt altına alınması.
• Veri iletimlerinde gelişmiş şifreleme metotlarının kullanılması,
• Verinin bütünlüğünün garanti edilmesi,
• Düzenli risk analizlerinin gerçekleştirilerek, organizasyon risk yönetiminin
belgelenmesi

25. ‘Community Health System’ İhlali
 5.4M hasta verisi (Sosyal Güvenlik Numaraları, Telefon No, Adresler vs.)
 Maliyet: $75 milyon ve $150 milyon arasında
 Hacker lar (advanced persistent threat (APT) group) VPN kimliklerine ulaşabilmek
için Heartbleed hatasını kullandılar.
 Hata Nisan ayında bildirildi, Haziran’da da veriler çalınmaya devam edildi.

26. Güvenliği yükseltmek için
 Sisteme ulaşım konusunda HIPAA hakkında bilgilendirilmeler
• Hasta verileri sadece sağlık hizmeti amacıyla kullanılmalı
• Kötü niyetli hedeflerden uzak tutulmalı
 Antivirüs, firewall, şifreler kullanılmalı
 Kimlik doğrulama

27. Kimlik Doğrulama
Kimlik Doğrulama Yöntemleri
Parola ile Kimlik
Doğrulama
Biyometrik Kimlik
Doğrulama

28. Parola ile Kimlik Doğrulama
 Tek fazlı kimlik doğrulama yöntemi
• Kullanıcı numarası ve parolası kullanılmaktadır.
• Kullanıcı numaraları şifrelenmemesine rağmen, PIN ya da parolalar veri
tabanında şifrelenirler.
 İki fazlı kimlik doğrulama yöntemi
• Bir diğer faz eklenir.
o Örneğin, ilk faz olarak parola ile kimlik doğrulama yöntemi, ikinci faz olarak
biyometrik kimlik doğruma yöntemleri
o Ya da ikinci faz olarak tek kullanımlık şifre üreten akıllı cihazlar

29. Biyometrik Kimlik Doğrulama
 Yüz şekli, parmak izi, avuç izi, ses ve
iris gibi anatomik özellikler ve yürüyüş biçimi,
hal ve hareketler, imza gibi
davranış biçimleri kullanılır.
 Güvenlidir ve yapay değildir.
 İnkâr edilemez bir kimlik doğrulama
yöntemidir.
 Kimlik doğrulama süresini kısaltır.

30. TEŞEKKÜRLER 

31. Referanslar
 C.E. Aladağ, E. Kurtarangil, Ş. Bahtiyar. Medikal Bilgi Sistemlerinde Güvenlik,
Mahremiyet ve Kimlik Doğrulama
 F. Ay. Elektronik Hasta Kayıtları: Güvenlik, Etik Ve Yasal Sorunlar, Anadolu
Üniversitesi Bilim Ve Teknoloji Dergisi, Cilt:9-Sayı:2, 2008
 N. Turğut, E. Karaarslan, A. M. Ergin, Ö. Kılıç. Elektronik Sağlık Kayıtlarının Gizlilik ve
Mahremiyeti
 Security threats categories in healthcare information systems, Health Informatics
Journal, Eylül 2010
 http://www.healthcareitnews.com/news/5-security-vulnerabilities-could-mean-
trouble
 https://securityintelligence.com/4-5-million-patient-records-stolen-in-chs-data-
breach-whats-next/