İsviçre hastanelerinde gerçekleştirilen bir siber güvenlik testi, sağlık sisteminin ne denli kırılgan olduğunu gözler önüne serdi. Ulusal Siber Güvenlik Test Merkezi (NTC) tarafından yapılan araştırmada, güvenlik uzmanlarının yalnızca birkaç saat içinde hastane bilgi sistemlerine erişebildiği ve hasta verilerini görüntüleyebildiği ortaya çıktı. Uzmanlar, bulunan güvenlik açıklarının “basit ve kolayca istismar edilebilir” olduğunu belirtti.
Hastanelerdeki dijital altyapı, hastaların kişisel sağlık bilgilerini korumanın yanı sıra, hayati tıbbi cihazların işleyişini de sağlıyor. Bu yüzden sistemlerin güvenliği, hastaların doğrudan yaşamlarını etkileyen kritik bir konu. Ancak yapılan testler, İsviçre hastanelerinin kullandığı üç büyük IT sağlayıcısının sistemlerinde ciddi güvenlik açıkları bulunduğunu ortaya koydu.
NTC uzmanları, hastanelerde bizzat bulunarak güvenlik testleri gerçekleştirdi. Toplamda 40 orta ve yüksek seviyede güvenlik açığı tespit edilirken, bu açıkların bazıları temel bilgiye sahip bir hacker tarafından bile kolayca kullanılabilecek düzeyde olduğu belirtildi. NTC yöneticisi Tobias Castagna, test edilen tüm sistemlerde güvenlik açıkları bulunduğunu ve bunların çoğunun karmaşık saldırılar gerektirmeden istismar edilebileceğini ifade etti.
Bu bulgular, İsviçre sağlık sektörünün siber güvenlik açısından büyük riskler taşıdığını ve hastanelerin dijital altyapısının yeterince korunmadığını ortaya koyuyor.
Testler sonucunda hastanelerde kullanılan üç büyük IT sisteminde kritik güvenlik açıkları tespit edildi. İsviçreli yazılım şirketi Cistec, sistemlerindeki bir kritik güvenlik açığını doğrulayarak bu sorunun giderildiğini açıkladı. Ancak Alman şirketi Ines ve ABD’li Epic, genel bir güvenlik yaklaşımına sahip olduklarını belirtmekle yetindi.
NTC’nin raporuna göre, bazı üreticiler güvenlik açıklarının duyurulmaması için hastanelere gizlilik anlaşmaları imzalatmaya çalıştı. Ancak NTC, bu talepleri reddetti. “Bu anlaşmalar hastaların verilerini korumak için değil, yalnızca üreticilerin ticari çıkarlarını korumak için yapılıyor” denilerek bu tür uygulamaların şeffaflık ilkesine aykırı olduğu vurgulandı.
Siber güvenlik testleri, yalnızca yazılım üreticilerinin değil, hastanelerin de siber güvenliği aktif olarak talep etmeleri gerektiğini gösterdi. Berner Inselspital, yapılan testlerin hastane yönetimleri için büyük bir fırsat sunduğunu belirterek, sürekli siber güvenlik tatbikatları yaptıklarını açıkladı. Hastane yönetimi, güvenlik açıklarını önceden tespit edip düzeltmenin hastane sistemlerinin ve hasta güvenliğinin korunmasında kilit bir rol oynadığını vurguladı.
NTC, İsviçre’de test edilmemiş alanları analiz etmeyi ve kamuya açık raporlarla farkındalık yaratmayı amaçlayan bağımsız bir kuruluş olarak öne çıkıyor. Zug kantonu tarafından finanse edilen organizasyon, test edilen hastanelerdeki en kritik güvenlik açıklarının kapatıldığını ancak hala ciddi iyileştirmelere ihtiyaç duyulduğunu belirtti.
İsviçre hastanelerinde siber güvenlik risklerinin giderilmesi için alınan önlemler artırılsa da, sağlık sektörünün tamamen korunmaya alındığını söylemek zor. NTC uzmanlarına göre, hastanelerdeki dijital sistemlerin modernize edilmesi ve düzenli güvenlik testlerinin yapılması hayati bir zorunluluk. Aksi takdirde, hasta bilgileri ve tıbbi cihazlar siber saldırganların eline geçebilir, hatta hastaların hayatını riske atabilir.