Bakım programlarında akıllı saatler, glikoz sensörleri ve bağlantılı ilaç izleme cihazları yaygındır. Uzaktan izleme, değişikliklerin erken tespit edilmesine yardımcı olur ve kişiselleştirilmiş tedaviyi ve uzun vadeli durum yönetimini destekler. Klinisyenlere hasta sağlığı konusunda değerli bilgiler verir, aynı zamanda yeni maruz kalma noktaları da sunar.
Bakım hastane duvarlarının dışına doğru ilerledikçe hassas bilgiler, çok az kuruluşun uçtan uca görebileceği ağlardan geçiyor.
Güvenlik liderleri ilgileniyor. Madaket Health CEO’su Eric Demers, “Kötü aktörlerin uzaktan hasta izleme cihazlarına, solunum cihazlarına veya hastaya bağlı akıllı tıbbi cihazlara saldırmasının yıkıcı sonuçlarını düşünün. Sağlık sektörü teknolojik olarak daha gelişmiş olmaya devam ettikçe, potansiyel zarar için daha fazla erişim noktası mevcut” diye uyardı.
Sağlık verilerinizin sahibi kim?
Sağlık hizmetindeki giyilebilir cihazlar, kalp atış hızı, glikoz seviyeleri ve hareket gibi sürekli hassas veri akışlarını toplar. Bu okumalar çeşitli sistemlerden geçer ve her adım, müdahale veya kötüye kullanım olasılığını beraberinde getirir.
Kullanıcıların en sık sorduğu sorulardan biri şudur: Bu veriler nereye gidiyor? Cihaz üreticisine mi, kullanıcıya mı, yoksa sağlık hizmeti sağlayıcısına mı? Giyilebilir cihazlar üreten bazı şirketler, anonimleştirilmiş sağlık verilerini reklamverenler ve araştırma grupları da dahil olmak üzere üçüncü taraflara satmaktadır. Bu genellikle yasal olsa da gizlilik ve kontrolle ilgili endişeleri artırıyor.
Çok az kullanıcı, giyilebilir cihazlarının cihazın ötesinde ne kadar veri paylaştığının veya ellerinden çıktıktan sonra ne kadar az kontrole sahip olduklarının farkında. Hastaneler için bu belirsizlik uyumluluk açısından risk oluşturmaktadır. Bir cihazın hasta verilerini kapsam dışı bir buluta aktarması durumunda sağlık hizmeti sağlayıcısı, sunucularına hiç dokunmamış olsa bile yine de sorumlulukla karşı karşıya kalabilir.
Federal Ticaret Komisyonu’nun Sağlık İhlali Bildirim Kuralına ilişkin 2024 güncellemesi artık HIPAA kapsamı dışında kalan sağlık uygulamalarını ve giyilebilir ürünleri içeriyor. Bu, giyilebilir verileri işleyen şirketlerin, geleneksel sağlık kuruluşları olmasalar bile kullanıcıları ve düzenleyicileri ihlal konusunda bilgilendirmesi gerektiği anlamına geliyor.
Bir çalışma, hassas sağlık verilerinin Android sağlık hizmetleri uygulamalarında çok az korumayla taşındığını buldu. Bazıları bilgileri şifrelemeden gönderir, dosyaları güvenli olmayan bir şekilde saklar ve üçüncü taraf bileşenler aracılığıyla paylaşır.
Cihaz arızaları hastaya zarar verdiğinde
Birisi bir cihaza yetkisiz erişim sağladığında risk altındaki tek şey veriler değildir. Siber saldırıdan ziyade sistem arızasından kaynaklanan yakın zamanda yaşanan bir vaka, teknik arızaların insan hayatını ne kadar hızlı etkileyebileceğini gösteriyor.
t:connect iOS uygulamasının sürekli olarak çökmesi ve bağlı t:slim X2 insülin pompalarının pil gücünü tüketmesi, pompaların erken kapanmasına ve insülin iletiminin durmasına neden olması nedeniyle 220’den fazla diyabet hastası yaralandı.
Başka bir örnekte, University College London’daki araştırmacılar, EKG monitörleri, oksimetreler ve kan basıncı sensörleri gibi Bluetooth Düşük Enerjili (BLE) giyilebilir tıbbi cihazlarda siber güvenlik açıkları tespit etti. Düşük maliyetli test araçlarını kullanarak, cihazlar ve mobil uygulamalar arasındaki sinyalleri yakalayan ve değiştiren Ortadaki Adam, veri manipülasyonu ve kesinti saldırıları gerçekleştirdiler.
Cihaz tedarik zincirindeki gizli riskler
Uzaktan hasta izleme ve evde bakımın yaygınlaşması, geniş bir bağlantılı tıbbi cihaz ağına bağlıdır. Her sensör, çip ve yazılım modülü, birçok satıcının yer aldığı küresel bir tedarik zincirinden gelir.
İşlemciler, kablosuz modüller ve devre kartları gibi bir dizi temel bileşen Çin’de üretilmekte veya monte edilmektedir. Üretimin tek bir bölgede yoğunlaşması güvenlik ve jeopolitik riskler yaratıyor.
Ocak 2025’te ABD kurumları, Contec’in CMS8000 hasta monitörlerinin arka kapılara ve Çin’deki sunuculara sabit kodlu bağlantılara sahip olduğunu bildirdi. Bunlar giyilebilir cihazlar değil, başucu monitörleriydi; ancak bu vaka, üretim sırasında eklenen güvenlik kusurlarının nasıl fark edilmeden hastane sistemlerine geçebileceğini gösteriyor.
BT ve güvenlik ekipleri neler yapabilir?
Sağlık hizmetlerinde giyilebilir ürünler, tıbbi IoT ortamının bir parçası olarak yönetilmelidir. Sağlık verilerini işleyen her cihazın, diğer bağlı sistemlerle aynı güvenlik kurallarına uyması gerekir. İzleme, yama uygulama ve yaptırım, bunları en başından itibaren içermelidir.
Güvenlik çalışması zaten bilineni anlamakla başlar. Verilere müdahale etme veya ürün yazılımına müdahale etme gibi saldırıların nasıl gerçekleştiğini öğrenmek, savunmaların en önemli yerlere odaklanmasına yardımcı olur. Şifreleme ve anormallik tespiti de dahil olmak üzere mevcut kontrollerin incelenmesi, korumaların nerede yetersiz kaldığını ortaya çıkarabilir.
Risk değerlendirmesi, saldırganların kablosuz bağlantıları, ürün yazılımını veya bulut hizmetlerini nasıl hedef alabileceğini belirlemeye yardımcı olur. Ekipler, riskleri ne kadar muhtemel olduklarına ve mahremiyete veya hasta güvenliğine ne kadar zarar verebileceklerine göre sıralayabilir.
Ağları bölümlere ayırmak, bir saldırının ne kadar yayılabileceğini sınırlar. Sağlık hizmetlerine yönelik giyilebilir cihazları ve ağ geçitlerini ayrı ağlarda tutun, trafiği olağandışı etkinlikler açısından izleyin ve cihazlar yayına girmeden önce satıcıları kontrol edin. Zayıf noktalar rutin incelemeler yoluyla erkenden tespit edilebilir.
Cihazlar, uygulamalar ve bulutlar arasında taşınan veriler şifrelenmelidir. Her bağlantı için kimlik doğrulamayı ve MFA’yı kullanın. Bu önlemler genellikle daha büyük olaylara yol açan küçük boşlukları azaltır.