Merhabalar
Türkiye bir afet ülkesi. Bu yüzden hekim olarak afetlere aşinayız. Hatta eğitim süreçlerinde de afet eğitimleri yapılır ve genellikle hekimlerden afetzede hastaların triyajına katılmaları istenir. Triyaj uygulaması en yaygın olarak bir doğal afetten kaynaklanan olaylarla gerçekleştirilir. Bu senaryo sırasında, bir doktordan triyaj yapmaları ve hastaları tedavi etmeleri istenir. Ve bu süreç böyle devam eder.
Peki ya afet afetzede hastaların triyajı veya tedavisi değil de herhangi bir elektronik iletişim biçiminin, hasta takibinin veya laboratuar testlerinin tamamen yokluğuysa? Ya da bir teknoloji arızası ne olursa, bir afet olur?
Hadi gelin beraber bu afeti Acil Tıp İçin Yeni Bir Kabus: Siber Afet başlığı ile inceleyelim. Sabırlı ürkütücü okumalar.
Giriş
Teknoloji sağlıkta bir devrim basamağı olmakla kalmadı, hizmetin büyük bir kısmını üstlendi, ancak aynı zamanda istenmeyen sonuçları da beraberinde getirdi.1 Elektronik sistemlerde olduğu gibi, sağlık hizmetleri teknolojisi de güvenlik açığına yol açan yazılım ve donanım kusurlarıyla dolu.2 Bu güvenlik açıklarından kötü niyetli aktörler tarafından yararlanılması maalesef sağlık sektöründe yaygın hale geldi ve teknolojiye olan bağımlılığımız artmaya devam ettikçe muhtemelen hızlanarak önümüze çıkacak.3 Siber güvenlik, savunmasız teknolojinin bu tür istismar ve saldırılara karşı korunmasını sağlamakta olup hızla büyüyen ve neredeyse her sektörde risk yönetiminin giderek daha önemli bir bileşeni haline gelmektedir. Sağlık hizmetinde de siber güvenliğinin olması ve klinik sonuçlarıyla uzmanlığın geliştirilmesi, geleceğin acil servis hekimi için önemli bir konu olacaktır.
Teknolojik Bağımlılık
Modern sağlık sistemleri birbirine bağlı ve bağımlı teknik sistemlerdir ve sayısız yazılım, donanım, tıbbi cihaz ve ağ ürününden oluşur. Bilgisayarlı sistemlere yapılan saldırılar, genellikle kötü niyetli aktörün amacına ve becerisine bağlı olarak, etki, gelişmişlik ve ölçek açısından büyük ölçüde farklılık gösterir. Geleneksel olarak, bu saldırılar “CIA üçlüsü” tarafından tanımlanmış.4 Bu model, saldırıları gizlilik, bütünlük ve kullanılabilirlik olmak üzere 3 kategoriye ayırır ( Şekil 1 ).
- Gizlilik, yetkisi olmayan kişilerden veri erişiminin korunmasını içerir. Örneğin, bilgisayar korsanları hastaların adları, adresleri ve ilaç listeleri gibi korunan sağlık bilgilerini ifşa ederse, bu bir gizlilik saldırısı olarak sınıflandırılır.
- Bütünlük, bir konumdan depolanan veya iletilen verilerin yetkisiz değişiklikten arınmış olduğunun güvencesidir. Bir veri tabanındaki laboratuvar testlerinin değerlerini anormalden normale değiştiren veya bir hastanın kritik ilaç alerjilerini elektronik tıbbi kayıttan silen bir saldırı, bütünlük saldırısı olarak sınıflandırılır.
- Bilgisayarlı sisteme sürekli erişimin sağlanması veya işlevinin korunması, kullanılabilirlik olarak adlandırılır. Bir bilgisayar korsanı, eczane sistemine, eczacılara veya doktorlara erişilemezlik ile sonuçlanan bir saldırı başlatırsa, buna erişilebilirlik saldırısı denir.
Kötü amaçlı yazılım olarak bilinen bilgisayar programları, son 20 yılda çoğaldı. Saldırgana finansal bir ödeme yapılıncaya kadar verileri erişilemez hale getiren programlar olan fidye yazılımları, yakın zamanda yüzlerce sağlık sistemine bulaştı. Bu olayların belki de en yıkıcısı, Mayıs 2017’de, WannaCry fidye yazılımının 80’den fazla Birleşik Krallık Ulusal Sağlık Hizmeti hastanesindeki sistemlere bulaştığı ve bazı acil servislerin (ED’ler) kapatılmasına, ameliyatların iptal edilmesine ve ayakta tedavi gören klinik bakımın kesintiye uğramasına neden oldu.
Birçok bağlantılı tıbbi sistem, inme, travma, kardiyak arrest ve sepsis gibi zamana bağlı durumların klinik tedavi iş akışları için hayati öneme sahiptir. Bu sistemlerden birinin bile başarısız olması hasta için olumsuz sonuçlar doğurabilir. Örneğin, bir görüntülemenin, bilgisayarlı tomografi (BT) tarayıcısının işletim sisteminin bir bilgisayar virüsü nedeniyle rapor edilememesi, inme tanısını uzatabilir, hastanın trombolitik tedavi süresini etkileyebilir veya kafa içi kanamanın beyin cerrahisi müdahalesini geciktirebilir. Bir hastanenin dijital sınırlarının dışındaki teknik sistem arızası bile hasta bakımını etkileyebilir; örneğin, Allscripts’in güvenlik ihlali nedeniyle yüzlerce virüslü hastane ve kliniği hasta kayıtlarını görüntüleyemez veya ilaç yazamaz hale getiren 2018 Allscripts fidye yazılımı saldırısı.
Hastaneler ayrıca, klinik bakımı etkileyebilecek geniş bağlantılı cihaz ve sistem ağlarını da kullanırlar. Örneğin, bir hastane çağrı sistemine veya telefon sistemine yapılan bir hizmet reddi saldırısı, hızlı iletişimin hayati önem taşıdığı miyokard enfarktüsünde uzman müdahalesini geciktirebilir.
Siber Afet Tıbbı
Doğal afetler, salgınlar ve kitlesel olaylara hazırlık ve tıbbi yönetim, acil tıp ve yan dal afet tıbbının birincil sorumlulukları arasındadır. Siber saldırılar, ilk bulaşma veya ilerleme için öngörülebilir bir model izlemez ve genellikle geniş bant internet hızında ayrım gözetmeksizin yayılır. Kasırgalar veya depremler gibi birçok doğal afetin coğrafi bir tercihi ve tarihsel bir emsali vardır ve bu da belirli bölgelerdeki hastanelerin sağlam afet müdahale planlarına hazırlanmalarına ve bunları test etmelerine olanak tanır. Ancak, kötü amaçlı yazılımlar veya diğer siber saldırılar, internet bağlantısı olan her yere yayılabilir ve her türlü felaketten izole edilmiş bölgeleri etkileyebilir. Bir hastaneden diğerine hızla yayılma riski, tüm sağlık sistemine hızla bulaşabileceği ve yüzlerce hastanenin klinik bakımını etkileyebileceği anlamına gelir.5
Olay komuta sistemi, bir afetle ilgili belirli talepleri karşılamak için standartlaştırılmış bir yönetim aracı sağlar. Operasyonlar, planlama, lojistik ve finans gibi afet müdahalesinin tüm ana bileşenleri için liderlik yapısını, işbölümünü ve buradaki sorumlulukları ana hatlarıyla belirtir. Doğal afetler veya terör eylemleri için çok uygulanabilir olmasına rağmen, bu model bir siber saldırıyı etkili bir şekilde yönetme yeteneği bakımından sınırlıdır. Hasta bakımında aksamalardan kaçınmaya çalışırken teknoloji kusurlarını ele almanın zorlukları gerçekten de farklıdır. Siber afetlere müdahale için standartlaştırılmış en iyi uygulamaların geliştirilmesi, muhtemelen hibrit bir yaklaşım gerektirecektir.
Organize bir afet müdahalesinin yaygın uygulaması, mümkün olduğunca çok sayıda eğitimli profesyoneli hızla olay yerine göndermek ve onlara belirli görevler vermektir. Ancak bir siber saldırı durumunda kaynak ihtiyaçları çok farklıdır. Artan hasta talebini karşılamak için insan gücü ve malzemeleri sağlamak yerine, ortaya çıkması en muhtemel sorunlar, hasta akışını ve tedavisini sürdürmek için alternatif, bilgisayarsız sistemleri uygulamaya hazır bilişim uzmanları ve önceden eğitilmiş bireyler gerektirecektir. Bu nedenle, acil tıp eğitimcileri, bir hastane afet proğramından farklı bir tehlike olarak dahil edilebilecek siber saldırı planları oluşturmaya çalışmalıdır.
Hastaneler, sağlık hizmetlerine yönelik siber saldırıların azaltılması, hazırlık, müdahale ve kurtarma konularında Ulusal Acil Durum Yönetim Ajansı’nın acil durum yönetimi aşamalarının ilkelerini uygulayabilir ( Şekil 2 ).
“Mitigation-Hafiletme” sürecine klinisyenlerin dahil edilmesi, sınırlı kaynakları güvence altına almak için en yüksek öncelikli klinik sistemleri ve cihazları belirlemede sağlık hizmetlerinin güvenlik durumunu iyileştirebilir.
“Preparedness-Hazırlık”, bilgi teknolojisi sistemlerinin yanı sıra acil durum yönetimini de içermelidir, bilgi teknolojisinin olay müdahalesini ve geleneksel sağlık olayı komutasını uyumlu hale getirmek için birlikte çalışmalıdır.
Siber afetlere gerçek zamanlı “Response-Müdahale”, diğer afet müdahalelerinden benzersiz prosedürler gerektirir ve genellikle 3 hedefi içerir.
- Birincisi, sürekli güvenli klinik bakımı sağlamak için dijital klinik iş akışlarını manuel süreçlerle değiştirmek.
- İkinci amaç, belirli siber tehdidi belirlemek ve yayılmasını ve ağ üzerindeki etkisini sınırlamaktır.
- Üçüncü amaç, ayrıcalıklı Sağlık Bilgi Paylaşımı ile içişleri bakanlığı ve diğer sağlık kuruluşları gibi ilgili kurum ve kuruluşlarla iletişim kurmaktır.
Tıbbi siber felaketlerden “Recovery-Kurtarmak” da bazı benzersiz hususları gerektirir. Saldırıdan etkilenen klinik sistemleri yeniden başlatırken, bilgi teknolojisi ekiplerinin saldırılara izin veren güvenlik açıklarının kapatıldığından emin olması gerekecek; aksi takdirde, sistemden yararlanan aynı virüs, kötü amaçlı yazılım veya saldırgan, sistemler yeniden başlatılır başlatılmaz geri dönebilir.
Öneriler
Her acil servis hekimi için yoğun teknik siber güvenlik afet eğitimini zorunlu kılmak mümkün değildir ancak bölüm liderliği ve afet odaklı doktorlar siber afetlere hazırlık çalışmalarına öncülük edebilir. Siber afetlere hazırlık için acil hekimlerine özel önerileri şu şekilde sunabiliriz
- İlk uygulanması gereken, tüm dijital sistemlerin teknik arızasını simüle eden düzenli acil servis ve hastane çapında siber afet tatbikatlarıdır.
- Hazırlık hedeflerinizi daha da hızlandırmak için teknik, klinik ve organizasyonel liderliği içeren bir siber afet görev gücü oluşturun ve geliştirin.
- Daha sonra en iyi uygulamaları diğer sağlık hizmeti sunan kuruluşlarla paylaşabilirsiniz. Bir siber güvenlik tehdidi hastanenizi etkiliyorsa, Sağlık Bilgi Paylaşımı ve Analiz Merkezi gibi mevcut uluslararası mekanizmaları kullanarak sağlık hizmetleri organizasyonlar arası tehdit paylaşımına katılın.
- Son olarak, bir acil servis doktorunun hastanesini siber bir tehditten koruyabilmesinin en basit yollarından biri, iyi bir siber programı uygulamaktır.
- Sözlüklerde bulunan bir parola yerine daha uzun benzersiz parola ifadeleri oluşturun.
- Parolaları paylaşmayın.
- Birden fazla hesap ve hizmet için aynı parolayı veya parolayı kullanmaktan kaçının.
- Güvenlik sorularını yanıtlamak için kullanılabilecek bilgileri sosyal medyada paylaşmaktan kaçının.
- Çok faktörlü kimlik doğrulamayı dağıtın.
- Kötü niyetli e-postaları açmaktan kaçının.
- Hileli flash sürücüleri klinik ortamlara bağlamaktan kaçının.
- Dijital veri depolamayı şifreleyin.
- Yetkili kullanıcıları taklit ediyor olabilecek doğrulanmamış kişilere gizli bilgileri ifşa etmekten kaçının.
Son söz
Sağlık teknolojisi sistemlerinin gelişmişliği arttıkça siber saldırılara karşı savunmasızlıkları da artıyor. Acil tıp, uygulamanın tıbbi güvenlik ağı doğası gereği bu tehdide karşı özellikle hassastır, çünkü acil bakım, hasarlı sistemler onarımı beklerken askıya alınamaz. Bununla birlikte, acil tıp ayrıca kapsamlı bir afet yönetimi uzmanlığı geçmişine sahip olma avantajına sahiptir ve bu nedenle hastanesinin siber afet müdahalesinde lider olarak hizmet edebilir.
Daha spesifik olarak, acil tıp asistanları ve diğer hekimler, siber tıbbi afet hazırlık çabalarının geliştirilmesine öncülük etmek için bilgisayar sistemlerine ilişkin daha gelişmiş bilgilerinden yararlanabilirler. Devlet kurumları, politikacılar ve sağlık hizmeti sunan kuruluşlar, bu olumsuz durumu resmi olarak incelemek için kaynak tahsis etmelidir.
Bu önlemler, siber tıbbi afet müdahalesinin sürekli gelişimini sağlayacak ve hastaların hayatlarını kurtaracaktır.
Kaynaklar
- 1.Clarke R, Youngstein T. Cyberattack on Britain’s National Health Service – A Wake-up Call for Modern Medicine. N Engl J Med. 2017;377(5):409-411. doi:10.1056/NEJMp1706754
- 2.Nigrin D. When “hacktivists” target your hospital. N Engl J Med. 2014;371(5):393-395. doi:10.1056/NEJMp1407326
- 3.Gordon W, Wright A, Aiyagari R, et al. Assessment of Employee Susceptibility to Phishing Attacks at US Health Care Institutions. JAMA Netw Open. 2019;2(3):e190393. doi:10.1001/jamanetworkopen.2019.0393
- 4.Schabacker D, Levy L, Evans N, Fowler J, Dickey E. Assessing Cyberbiosecurity Vulnerabilities and Infrastructure Resilience. Front Bioeng Biotechnol. 2019;7:61. doi:10.3389/fbioe.2019.00061
- 5.Collier R. NHS ransomware attack spreads worldwide. CMAJ. 2017;189(22):E786-E787. doi:10.1503/cmaj.1095434