Bu Help Net Security röportajında, Ro CIO/CISO’su Scott Bachand, telesağlığın hasta verileri akışını nasıl yeniden şekillendirdiğini ve bunun güvenlik açısından ne anlama geldiğini tartışıyor. Sistemler ve satıcılar çoğaldıkça kuruluşların veri sınıflandırmasını ve görünürlüğünü neden güçlendirmesi gerektiğini açıklıyor. Ayrıca düzenlemelerin ve yeni teknolojilerin hasta bilgilerinin korunmasında nasıl daha uyarlanabilir bir yaklaşıma yol açtığını da özetliyor.
Telesağlık, bulut, mobil ve üçüncü taraf platformlar arasında sürekli bir hassas veri akışı oluşturur. Bu veri zincirinde kuruluşların hâlâ hafife aldığı zayıf halkalar neler?
En büyük sorun, evrensel ve kesin veri sınıflandırmasının eksikliğine odaklanıyor. Bu olmadan bilgiler bulut, mobil ve iş ortağı sistemlerinde tutarlı bir koruma sağlanmadan taşınır. Sonuçta tespit edemediğiniz şeyi koruyamazsınız. Tüm veriler aynı değildir ve sınırlı kaynaklar nedeniyle liderler, kaynakları en önemli verilere göre önceliklendirdiğinden emin olmalıdır.
Ayrıca veri ortamımızın tamamını koruyan tek bir veri kaybı önleme (DLP) çözümüne sahip olabileceğimiz fikrini de ortadan kaldırmalıyız. Hiçbir zaman tüm platformlarda çalışan tek boyutlu bir DLP çözümü olmayacak; bu nedenle, her bir birinci taraf uygulaması ve SaaS ortağı için kontrollerin etkili olduğunun doğru şekilde sınıflandırılmasına ve doğrulanmasına odaklanılmalıdır.
Olgun kuruluşlar bile veri ekosisteminin ne kadar karmaşık hale geldiğini hafife alabilir. Ekosistemlerindeki verileri aktif ve sürekli olarak avlamalı ve bulmalılar. Her uygulama, iş ortağı, depo ve bağlantı noktası, özellikle veri sınıflandırması tutarsız olduğunda risk oluşturur. Modern bir yaklaşım, veri zincirinin her adımında görünürlük ve doğrulama gerektirir. Amaç sadece uyumluluk değil, aynı zamanda nereye giderse gitsin hasta verilerinin güvende olduğuna dair sürekli güvence sağlamaktır.
HIPAA temel taşı olmayı sürdürüyor ancak telesağlık genellikle geleneksel olmayan iletişim kanallarını içeriyor. Düzenleyici çerçevelerin teknolojik gerçeklerin gerisinde kaldığını nerede görüyorsunuz?
Telesağlık, HIPAA’nın asla beklemediği mobil uygulamalar, bulut hizmetleri ve yapay zeka gibi modern araçlara bağlıdır. Bu, verilerin geleneksel olarak anlaşılan korunan sağlık bilgileri (PHI) tanımını karşılamayabileceği ancak yine de hassas olduğu, giderek büyüyen bir gri alan yaratıyor.
Amaç her zaman hasta erişimini ve sonuçlarını iyileştirirken gizliliği korumak olmalıdır. Telesağlık daha yaygın olmaya devam ettikçe, güveni korurken yeniliği teşvik eden daha esnek, ilke odaklı bir düzenleme modeli araştırılmalıdır.
Kuruluşlar, özellikle uzaktan sağlık hizmeti sunumunu ele alabilecek potansiyel yeni ABD veya küresel gizlilik talimatlarına nasıl hazırlanıyor?
İleriye dönük kuruluşlar, verileri hakkında derinlemesine bir anlayış kazanmak için çalışıyor. Gizliliğin ön plana çıktığı bir dünyada faaliyet göstermek için kuruluşların hangi verilere sahip olduklarını, bu verilerin nerede bulunduğunu, nereye taşındığını ve onlara kimin dokunduğunu bilmeleri gerekir. Buradan, yeni talimatlar ortaya çıktıkça iş akışlarını ayarlayabilirler. Hazırlık görünürlük ve titiz veri sınıflandırmasıyla başlar. Önde gelen telesağlık kuruluşları, hasta bilgilerine dokunan her sistemi, satıcıyı ve uç noktayı tanımlayarak veri akışlarını ayrıntılı bir şekilde haritalandırır. Bu, reaktif uyumluluk yerine proaktif yönetişime olanak tanır.
Aynı derecede önemli olan işlevler arası işbirliğidir; gizlilik beklentilerinin günlük iş akışlarına dahil edilmesini sağlamak için ekiplerin birlikte çalışması gerekir. Bu yaklaşımı benimseyen kuruluşlar yeni görevleri güvenle ve çeviklikle karşılayabilir.
Tele-sağlık tedarikçileri arasında güvenlik beklentilerini standartlaştırmanın gerçekçi bir yolu olduğunu mu düşünüyorsunuz, yoksa parçalanma kaçınılmaz mı?
Yenilik daha iyi hasta bakımını teşvik eder, ancak doğal olarak teknolojinin düzenlemelerden daha hızlı hareket ettiği parçalı bir ortam yaratır. Neyse ki, HL7 ve FHIR gibi protokoller halihazırda sağlık verilerinin yapısını standartlaştırıyor ve hassas varlıkların tanımlanması ve izlenmesi için gerekli temeli sağlıyor. Satıcılar, tehdit telemetrisini birleştirmek için Açık Siber Güvenlik Şeması Çerçevesini (OCSF) ve sıkı kontrol temellerini ve üstün hijyeni uygulamak için NIST 800-53’ü benimseyerek bunu tamamlamalıdır.
Bu kombinasyon, veriler farklı platformlar arasında taşınırken Güvenlik ekibinin verileri korumak için gereken görünürlük ve yönetişim yeteneklerini korumasını sağlar. Standartlara dayalı bir yaklaşım, güvenliği bir dizi izole yamadan, gerçekten doğrulanabilen, uyumlu, birlikte çalışabilen bir savunmaya dönüştürür.
CISO perspektifinden bakıldığında, 2026’ya girecek bir telesağlık güvenlik yığınında “sahip olunması gereken” yetenekler nelerdir?
Sıfır güven erişimi standart olmalıdır. Her kullanıcı ve cihazın sürekli olarak doğrulanması gerekir. Bu, sistemler genelinde sağlık bilgilerini etiketleyen ve takip eden, hassasiyet ve konuma dayalı bağlama duyarlı politikaları tetikleyen akıllı veri sınıflandırıcılarla eşleştirilmelidir. İleriye dönük olarak güvenlik veri merkezli olmalıdır. Telesağlık güvenlik yığınının temeli uyarlanabilirliktir. Hasta deneyimini korumak için sürekli doğrulama ve bağlama duyarlı erişim kararları arka planda sorunsuz bir şekilde çalışmalıdır.
Bir diğer olmazsa olmaz ise gölge yapay zeka kontrolleridir. Mevcut ve yeni yazılımların ve SaaS’ın gelişen özellik setlerini agresif bir şekilde denetlemek için AI web sitelerini tematik olarak engellemenin ötesine geçmeleri gerekiyor. Büyük bir gizli risk, eski satıcıların rekabetçi kalabilmek için üretken yapay zeka yeteneklerine yönelmesi ve genellikle bu özellikleri varsayılan olarak etkinleştirmesidir. Bu, daha önce incelenen araçların hassas verileri güvenlik incelemesi olmadan aniden işlemesine neden olan bir kör nokta yaratır. Sonuç olarak yönetişim, yetkili yazılımın yanlışlıkla bir veri sızıntısı vektörü haline gelmemesini sağlamak için bu AI özelliklerini tespit etmek ve uygun şekilde devre dışı bırakmak için sürekli izlemeyi gerektirir.
Son olarak CISO’lar e-posta gibi mevcut teknolojilere bağlı kalmamalı. Yeni tehditler, özellikle de Verizon DBIR’nin gelen kutusunu sağlık hizmeti ihlallerinin ana nedeni olarak tanımlamaya devam etmesi nedeniyle yeni kontroller gerektiriyor.
2026 yığını, eski ağ geçitlerinin opak doğasını reddetmeli ve yapay zekanın, kuruluşun benzersiz iletişim modellerini öğrenen bir algılama mühendisi olarak işlev gördüğü bir mimariyi tercih etmelidir. Bu sistem, duyarlılığı ve ilişki gücünü analiz ederek, teknik olarak güvenli görünen ancak davranışsal olarak anormal olan yeni saldırıları ortaya çıkarmak için özel tespit mantığı oluşturabilir. Bu özel zekanın daha sonra karantina, engelleme, kimlik doğrulama vb. yoluyla sorunu çözmek için mevcut Kimlik Erişimi Yönetimi ve yanıt taktik kitaplarıyla doğrudan entegre olması gerekir. Bu, eski teknoloji için bile yeni bir dünya.