Medicare Güvenlik İhlalinin Ardından Sağlık Kayıtlarımızı İnternete Taşıma Konusunda Dikkatli Olmalıyız

0
239

 

Avustralya Hükümeti ülkenin sağlık sistemini dijitalleştiriyor, fakat bu durum ciddi bir Medicare güvenlik ihlaline hazır olmayabileceğimizi akıllara getiriyor.

Avustralya Federal Polisi, Guardian’ın Avustralyalıların Medicare kartı bilgilerinin “dark web” de satışa sunulduğunu keşfetmesinin ardından soruşturma yürütüyor.

Dark web-Tor gibi sadece dijital kimliği anonimleştiren sistemler üzerinden ulaşılabilen internet siteleri koleksiyonu- satıcıların kanun koruyuculardan büyük oranda saklı kalmalarını sağlıyor. Uzun süredir yasaklı ürünlerin ve hizmetlerin dark web’de eBay benzeri satış siteleri üzerinden ticareti sürüyor.

Tıpkı gazeteci Paul Farrell’in işaret ettiği gibi, suç örgütleri Medicare numaralarını gerçek kişilerin bilgileriyle sahte Medicare kartları oluşturmak için kullanabilir. Diğer kişisel bilgilerle birleştirildiği takdirde, bu kartlar ya da tek başına Medicare numaraları, geniş yelpazede dolandırıcılık suçu işlemek için kullanılabilir.

Medicare sisteminin güvenlik sorunları bulunuyor, fakat aynı zamanda gelecekte tıbbi kayıtlarımıza ulaşacak hata yapmaya meyilli kişilerin ve sistemlerin sayısı da kaygı verici bir durum.

Güvenlik Açıkları

Medicare bilgilerinin nasıl elde edildiği henüz net değil. İnsani Hizmetler Bakanı Alan Tudge, Salı günü bir basın toplantısında kendisine “sistemlerimize bir siber güvenlik ihlali yapılmamıştır, bunun daha ziyade geleneksel bir suç faaliyeti olması olasılığı bulunmaktadır” şeklinde bilgi verildiğini söyledi.

Bakan, “geleneksel suç faaliyeti”nin neyi kapsadığını açıklamadı, fakat ulaşılabilen Medicare bilgilerinin kişisel sağlık kayıtlarına erişmek için yetersiz olduğunda ısrar etti.

Robert Merkel Lecturer in Software Engineering, Monash University

Benim görüşüme göre, İnsani Hizmetler Bakanlığı’nın (DHS) Sağlık Uzmanı İnternet Hizmetleri’nin (HPOS)-sağlık uzmanlarının Medicare bilgilerine erişimini sağlayan- güvenlik açıkları bulunuyor.

HPOS, tıbbi kurumlar gibi sağlık ve engellilik hizmeti sağlayıcılarının, Medicare faturalarını elektronik olarak iletmek dâhil Bakanlıkla etkileşim içinde olmasını sağlayan bir çevrimiçi sistem. Aynı zamanda hastanın ismi ve doğum tarihiyle Medicare kart numarasını bulmada da kullanılabilir.

Bir sağlık hizmeti sağlayıcısında HPOS girişi yapabilen herhangi bir personel, bir kişinin adı ve doğum tarihini biliyorsa, Avustralya’daki herkesin Medicare numarasına bakabilir. Bu, dark web satıcısının Farrell’dan istediği bilgilerle örtüşüyor.

Daha da önemlisi, HPOS’u yetkisiz girişlerden koruma mekanizması, modern güvenlik uygulamalarını takip etmiyor. HPOS’a girişler, Sunucu Dijital Erişimi (PRODA) adlı başka bir çevrimiçi sistem tarafından yönetilmekte. Bu yakın zamanda, çevrimiçi hizmetlere erişim veren diğer bir İnsani Servisler Toplumsal Anahtar Altyapısı sertifikalarına (PKI) alternatif olarak sunuldu.

PRODA teoride, bir kullanıcı adının ve şifrenin çalınmasıyla basit bir şekilde yasadışı erişim sağlanmasını yetersiz kılmak amacıyla “iki faktörlü doğrulama” kullanıyor.

Birçok kişi bugün internet bankacılığı kullanırken SMS ile gönderilen ya da giriş için kullanılmak üzere akıllı telefonlardaki doğrulama uygulamaları tarafından üretilen gizli bir kod şeklindeki iki faktörlü doğrulamaya aşinadır. PRODA, her iki seçeneği de sunmaktadır. Fakat aynı zamanda kodun e-postayla gönderimini de desteklemekte.

SMS tabanlı iki faktörlü doğrulama bile, ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün yeni sistemler için onu artık tavsiye etmemesine yol açacak seviyede güvenlik problemleri içermekte. Fakat yine de e-posta tabanlı iki faktörlü doğrulamadan çok daha iyi. Güvenlik tedbiri olarak e-posta ile “gizli bir sembol” yollamak neredeyse tamamen kullanışsız bir yöntem.

HPOS erişimi için kullanılan ve aynı zamanda PRODA kullanıcı adı ve şifresine yasadışı erişim de sağlayan herhangi bir aracı bilgisayarın, PRODA doğrulama kodlarının yollandığı e-posta hesabına da erişim vermesi olasıdır. HPOS’a suçlu tarafından art arda erişim, sadece çalınmış kullanıcı adını ve şifreyi kullanmasını ve aracı e-posta hesabını takip etmesini gerektirecektir.

Bir DHS sözcüsü, yorum yapması için sorulan bir soruya karşılık olarak HPOS’un “ön cephede güvenlik için” tasarlandığını söyledi.

Sözcü bir e-postada, “Sağlık hizmeti sağlayıcıları HPOS’a erişim için sıkı bir kayıt sürecinden geçmek zorundadır. Erişim, bilgilerini doğruladıkları zaman kişilere (tümüyle tıbbi kurumlara değil) verilir. Bakanlık kişisel verilerin güvenliğini son derece ciddiye alır ve her kötüye kullanım iddiasına kapsamlı soruşturma yapar” demişti.

Medicare numaraları ve görevin amacından sapması

HPOS ve PRODA’daki teknik hatalar muhtemelen zaman içinde giderilebilir. Fakat bu, Medicare numaralarını korumak için yeterli olmayabilir.

HPOS temelinde, ülkenin her yerinden farklı şekilde işletilen IT sistemleriyle çalışan binlerce potansiyel kandırılabilir ve yanılabilir insanın Medicare numaralarına erişimini sağlamakta.

Bakanlığın sistemleri güvenli olsa bile, Medicare numaraları binlerce kurumun, kurumsal işletim sistemlerinde de depolanmakta.

Bu yüzden, bunları Bitcoin’in kokusunu almış suçlulardan tamamen güvenle korumak, muhtemelen boşuna bir çaba.

Güvenli olmayan bir numarayı mükemmel şekilde korumada ısrar etmektense, bunun kötüye kullanımını sınırlamak daha faydalı olabilir. Örneğin, Medicare kartları 100 puanlık bir kimlik kontrolü uygulamasının bir parçası olarak kullanılabilir. Belki de bu tür bir genişletilmiş kullanımın uygun olup olmadığını düşünmenin zamanı gelmiştir.

Sağlık Kaydım: Bir güvenlik sorunu

Gelecek birkaç yıl içinde, federal hükümet tarafından tutulan tıbbi bilginin kapsamı çok büyük bir oranda genişleyecek.

Sağlık Kaydım, merkezileştirilmiş elektronik bir tıbbi kayıt programı. Şu anda çoğu Avustralyalı için dâhil olunabilen bir sistemken, 2018’de ayrılabilinecek bir modele geçecek.

Tıp uzmanları, acil bir durumda hastanın yetkilendirmesi olmadan Sağlık Kaydım’dan hastanın bilgilerine ulaşabilecek ve sistem tıpkı HPOS’un karşı karşıya olduğu aynı personel ve kurumsal risklerin çoğuyla karşılaşacak.

Erişim yetkisi olan insan ve sistem sayısı, alınan kapsamlı koruyucu teknik tedbirlere rağmen, bu kadar çok hassas bilginin tamamen güvende tutulmasını neredeyse imkânsız kılıyor.

Medicare veri ihlali, ciddi olduğu kadar aynı zamanda karşı karşıya olduğumuz çok daha büyük risklerin bir ön uyarısı.

Bedeli ne olursa olsun, kızımın doğumundan sonra onun için Sağlık Kaydımdan çıkmayı seçtim ve ulusal çapta sunulduğu zaman kendim için de aynısını yapacağım.

Robert Merkel tarafından yazılan makalenin orijinali www.theconversation.com.au sitesinde yayınlanmıştır.

Not: Yukarıda link bağlantısı verilen renkli kısma tıklayarak makalenin yazarı hakkında bilgiye ve makalenin İngilizce haline ulaşabilirsiniz.

 



The Conversation

CEVAP VER

Please enter your comment!
Please enter your name here