Endişe verici bir ifşaatta, Kaiser Foundation Health Plan 13 milyondan fazla kişiyi etkileyen bir veri ihlali bildirdi. Yıllardır, sağlık sektörünün dijital teknolojiler ve kişisel verilerin yönetiminde dile getirilmeyen ancak kritik bir güvenlik açığı vardı. İhlal, birçok kişinin bilmediği, üyeler ve hastalar tarafından erişildiğinde Kaiser’in web sitelerinden ve mobil uygulamalarından üçüncü taraf satıcılara kişisel bilgi ileten çevrimiçi teknolojileri içeriyordu.
Bu ihlal, HIPAA Journal’a göre 2023’te rekor kıran 725 büyük güvenlik ihlalinin görüldüğü sağlık sektöründe büyüyen ve endişe verici bir eğilimin parçasıdır. Bu ihlallerin büyüklüğü, sistemsel bir sorunu vurgulamaktadır: sağlık kuruluşları içindeki siber güvenlik bilgisi ve uygulamalarında önemli bir boşluk.
İhlali Anlamak
Kaiser veri ihlalinin merkezinde, hassas verilerin istenmeyen paylaşımını kolaylaştıran web teknolojilerinin uygunsuz kullanımı vardı. Genellikle izleme çerezleri ve diğer veri toplama araçlarını içeren bu teknolojiler, kullanıcı deneyimini geliştirmek ve analiz toplamak için web sitelerinde yaygın olarak kullanılır. Ancak, uygun denetim ve siber güvenlik önlemleri olmadan, verileri üçüncü taraflara ileterek kullanıcı gizliliği için de risk oluşturabilirler.
Bu olay, sağlık yöneticileri arasında dijital temeller konusunda daha geniş bir yanlış anlaşılmayı yansıtıyor. Sağlık hizmetlerinde, siber güvenliğe öncelik verilmemesi talihsiz ve zararlı bir eksikliktir. Bu tür bir ihlalin tek bir nedeni vardır: sağlık yöneticileri ve çalışanları, web çerezlerinin site ziyaretçisi verilerini toplamak için nasıl çalıştığı gibi temel dijital kavramları anlamamaktadır. Sağlık kuruluşlarının acilen harekete geçmesi gerekir, çünkü çok sayıda kuruluş son derece hassas kişisel bilgilere sahip olmalarına rağmen saldırılara ve ihlallere karşı savunmasızdır.
Rehavetin Maliyeti
Bu tür ihlallerin sonuçları yalnızca bir rapordaki rakamlardan ibaret değildir; kişisel bilgileri tehlikeye atılan milyonlarca kişiyi temsil eder. Etkileri kimlik hırsızlığından mali dolandırıcılığa kadar uzanır ve bunların hepsi etkilenen bireyler üzerinde yıkıcı etkilere sahip olabilir. Bu güvenlik ihlalleri, özellikle hassas kişisel sağlık bilgileriyle ilgilenen bir sektörde, bu kurumların göze alamayacağı bir şey olan sağlık kuruluşlarına olan kamu güvenini aşındırır.
Finansal sonuçlar da önemlidir, sektör para cezaları, davalar ve iyileştirme maliyetleri nedeniyle milyarlarca dolarlık potansiyel kayıplarla karşı karşıyadır. Hastane yöneticileri ve yönetim kurulu üyeleri, dijital teknolojilerin mevcut süreçlerini ve verilerini bulut tabanlı bir ortama koymadığını ve diğer her şeyin ‘her zamanki gibi iş’ olarak kaldığını anlamalıdır. Bu değişim, operasyonel stratejilerde veri merkezli bir odaklanma ve kullanılan teknolojiler hakkında sağlam bir anlayış gerektirir.
Eğitim ve Uygulama İleriye Doğru Hareket Ediyor
Gelecekteki ihlal riskini azaltmak ve hasta verilerini korumak için sağlık kuruluşlarının siber güvenlik eğitimi ve öğretimine yatırım yapması zorunludur. Bu girişim en üstten başlamalı ve yöneticiler örnek olarak liderlik etmelidir. Dijital okuryazarlıkta uzmanlaşmaları, kuruluşlarının kullandığı teknolojileri ve bunlarla ilişkili potansiyel riskleri anlamaları gerekir.
Ayrıca, tüm çalışanlar için rollerine ve kullandıkları belirli teknolojilere göre uyarlanmış kapsamlı siber güvenlik eğitimi zorunluluğu olmalıdır. Bu eğitim tek seferlik bir etkinlik değil, siber tehditlerin ve teknolojilerin hızla gelişen doğasını yansıtan devam eden bir süreç olmalıdır.
Düzenleyici kurumların, sağlık kuruluşlarının hasta verilerini korumak için gerekli önlemleri almasını sağlayarak, ihlaller için daha sıkı uyumluluk önlemleri ve cezaları uygulaması gerekir. Sıkı standartların ve uygulamaların uygulanması, siber güvenlik konularında rehavete ve ihmalkarlığa karşı bir caydırıcı görevi görebilir.
Kaiser veri ihlali, sağlık sektörünün dijital altyapısında var olan güvenlik açıklarının gerekli bir hatırlatıcısıdır. Sağlık kuruluşlarının kişisel verileri nasıl yönettiği ve koruduğu konusunda derhal yeniden değerlendirme yapılmasını gerektirir. Sektör operasyonlarına daha fazla dijital teknoloji entegre etmeye devam ettikçe, odak noktası eğitim, uyumluluk ve proaktif tehdit azaltmayı içeren sağlam bir siber güvenlik çerçevesi oluşturmaya doğru kaymalıdır. Yalnızca bu tür kapsamlı önlemlerle hasta verilerinin bütünlüğünü korumayı ve sağlık sistemlerimize olan güveni sürdürmeyi umabiliriz.
yazar hakkında
Sarah M. Worthy, sağlık sektöründeki kritik ciro sorunlarını çözerken sağlık kuruluşlarının yetenekleri elde tutma ve geliştirme biçimini dönüştüren bir şirket olan DoorSpace’in CEO’su ve Kurucusudur. Sarah, B2B teknolojisi ve sağlık sektörlerinde 15 yılı aşkın deneyime sahiptir. Doorspace’in yenilikçi teknolojisi, “İnsanları terk etmeye iten nedir?” ile “İnsanları kalmaya iten şey nedir?”
DoorSpace’in neler yaptığı hakkında daha fazla bilgiyi https://doorspaceinc.com/ adresinden edinebilirsiniz.