Teletıp gerçekten güvenli mi?

Birçok kişi telesağlığı bilimsel ilerlemenin en önemli başarılarından biri olarak görüyor; temelde koltuğunuzdan hiç kalkmadan beş dakika içinde bir doktordan muayene alabiliyorsunuz. Ama bir sorun var…

Tıbbi veriler, karaborsa veya gri pazarda kredi kartı bilgileri ya da sosyal medya giriş bilgilerinin onlarca katı fiyata satılıyor. Bir kredi kartını kolayca bloke edip yenisini edinebilirsiniz, ancak tıbbi geçmişinizi öylece silip yeniden başlatamazsınız. Adınız, doğum tarihiniz, adresiniz, telefon numaranız, sigorta numaranız, teşhisleriniz, test sonuçlarınız, reçeteleriniz ve tedavi planlarınız yıllarca geçerliliğini korur. Bu, hedefli pazarlamadan şantaj, dolandırıcılık veya kimlik hırsızlığına kadar her şey için adeta bir altın madenidir.

Yapay zekanın yaygınlaşmasıyla birlikte, internet artık tıbbi hizmet sunduğunu iddia eden, ancak aslında hiçbir şeyden haberi olmayan kurbanların gizli bilgilerini ele geçirmek için tasarlanmış sahte web siteleriyle dolup taşıyor. Bugün, hangi tıbbi ayrıntıların risk altında olduğunu, hackerların bu ayrıntıları neden istediğini ve onları nasıl durdurabileceğinizi ele alacağız.

Kredi kartlarından daha değerli

Dolandırıcılar, çaldıkları tıbbi verileri hem toplu olarak hem de tek tek satarak para kazanıyor. Genellikle ilk adımları, saldırılarını başarıyla gerçekleştirdikleri şirketlerden zorla fidye almak. (Aslında, 2024 yılında ABD’de kötü amaçlı yazılım kaynaklı sağlık veri sızıntılarının %91’i fidye yazılımı saldırılarının sonucuydu.) Ancak daha sonra sızan veriler, hedefli ve kişisel saldırılar için kullanıldı. Bu, bilgisayar korsanlarının kurbanın tıbbi profilini oluşturmasına olanak sağlıyor. Kurbanın hangi ilaçları satın aldığı, ne sıklıkla aldığı ve uzun vadede hangi ilaçları kullandığı gibi bilgileri toplayıp, bu bilgileri büyük ilaç şirketlerine veya pazarlamacılara satabiliyor ya da sahte bir yenilikçi tedavi önerisi gibi hedefli kimlik avı dolandırıcılıklarında kullanabiliyorlar. Hatta hassas bir teşhis nedeniyle bir hastaya şantaj yapabiliyor veya bu bilgileri kullanarak kontrollü ilaçlar için sahte reçeteler alabiliyorlar. Bununla birlikte, sigorta şirketleri de bu tür verilere büyük ilgi gösteriyor. Bu ayrıntıları inceleyerek hastaların sigorta primlerini artırıyorlar ya da bazı durumlarda sigorta kapsamını tamamen reddediyorlar. Kısacası, bunu size karşı kullanabilecekleri pek çok yol var.

Durum gerçekten ne kadar kötü?

Tarihin en büyük tıbbi veri sızıntısı, Şubat 2024’te BlackCat hacker grubunun Change Healthcare’in sistemlerine sızmasıyla meydana geldi. Bu, yılda yaklaşık 15 milyar sigorta işlemini gerçekleştiren ve hastalar, sağlık hizmeti sağlayıcıları ile sigorta şirketleri arasında finansal aracı olarak görev yapan UnitedHealth Group’un bir birimidir.

Saldırganlar dokuz gün boyunca Change Healthcare’in iç sistemlerinde serbestçe dolaşarak altı terabaytlık gizli veriyi ele geçirdikten sonra nihayet fidye yazılımını devreye soktular. UnitedHealth, şifreleme yazılımının yayılmasını önlemek için Change Healthcare veri merkezlerini tamamen çevrimdışı hale getirmek zorunda kaldı ve sonunda fidye talep edenlere 22 milyon dolarlık fidye ödemeyi kabul etti. Saldırı, ABD sağlık sistemini fiilen felç etti. Kurban sayısı üç kez revize edildi: İlk olarak 100 milyon, ardından 190 milyon olarak açıklandı ve nihai rakam 192,7 milyon kişiye ulaştı; toplam hasar ise 2,9 milyar dolar olarak tahmin edildi. Bu büyük olayın (Change Healthcare tarafındaki) nedeni ki bunu ayrı bir yazımızda ayrıntılarıyla ele almıştık… basitçe söylemek gerekirse bir uzaktan masaüstü erişim portalında iki faktörlü kimlik doğrulamanın bulunmamasıydı.

Bundan önce, ruh sağlığı alanında faaliyet gösteren teletıp girişimi Cerebral, üçüncü taraf izleme araçlarını doğrudan web sitesine ve uygulamalarına yerleşik olarak entegre etmişti. Sonuç olarak, 3,2 milyon hastanın verileri (isimler, tıbbi geçmişler, reçete kayıtları ve sigorta bilgileri dahil) LinkedIn, Snapchat ve TikTok’a sızdı. ABD Federal Ticaret Komisyonu, şirkete 7,1 milyon dolarlık para cezası verdi ve tıbbi verilerin reklam amaçlı kullanımına ilişkin benzeri görülmemiş bir yasak getirdi. Bu arada, söz konusu girişim, müşterilerine zarfsız tanıtım kartpostalları göndererek manşetlere çıkmıştı; bu kartpostallarda hastaların isimleri ve herkesin teşhislerini kolayca anlayabileceği ifadeler yer alıyordu.

Teletıp neden bu kadar savunmasız?

Teletıp hizmetlerindeki başlıca zayıf noktalara bir göz atalım.

• Tıp uygulamalarındaki reklam izleyicileri: Facebook, TikTok, Snapchat ve diğer teknoloji devlerine ait izleme araçları genellikle telesağlık platformlarına entegre edilmiş durumdadır ve kullanıcıların haberi bile olmadan hasta verilerini reklamcılara sızdırır.
• Güvenli olmayan iletişim kanalları: Bazen doktorlar, onaylı tıbbi platformlar yerine sıradan mesajlaşma uygulamaları aracılığıyla hastalarla sohbet ederler. Elbette bu pratiktir, ama klinik açısından yasa dışı ve hasta açısından tamamen güvensizdir.
• Platformdaki güvenlik açıkları: Teletıp platformları, bağlantı şifrelemesi zayıf ya da hiç yoksa, bilgisayar korsanlarının hasta veri tabanlarının tamamını ele geçirmesine olanak tanıyan SQL enjeksiyonları, oturum ele geçirme ve veri ele geçirme gibi klasik web saldırılarına karşı savunmasızdır.
• Personel eğitiminin yetersizliği: Araştırmamız, doktorların %30’unun özellikle teletıp seansları sırasında hasta verilerinin güvenliğinin ihlal edildiği durumlarla karşılaştığını ve sağlık personelinin %42’sinin hastalarının verilerinin nasıl korunduğunu tam olarak anlamadığını ortaya koydu.
• Eski tıbbi cihazlar: Birçok giyilebilir tıbbi cihaz (kalp monitörleri veya tansiyon aletleri gibi) MQTT adlı eski bir veri aktarım iletişim kuralını kullanır. Bu cihaz, bilgisayar korsanlarının hassas bilgileri çalmasına ya da cihazın işleyişini bozmasına yol açabilecek birçok güvenlik açığı barındırır.

Teletıp alanında spam ve kimlik avı

Tıp alanıyla ilgilenenler sadece bilgisayar korsanları değil; spam gönderenler ve dolandırıcılar da bu alana yoğun ilgi gösteriyor. “Tıbbi hizmetleri”, gerçek olamayacak kadar cazip tekliflerle pazarlıyorlar, sağlık sigortanızda sözde yapılan değişikliklerle ilgili e-postalar gönderiyorlar ya da “eski Himalaya şifa geleneklerinden” övgüyle bahsediyorlar. Elbette, gönderdikleri tüm bağlantılar, şüpheli ürün veya hizmetler sunan şüpheli web sitelerine yönlendiriyor.

Böyle bir kimlik avı sitesine girerseniz, dolandırıcılar sizden alabilecekleri her türlü kişisel bilgiyi elde etmeye çalışacaktır: Kimlik belgenizin fotoğrafları, sigorta poliçeniz, reçeteleriniz ve bazen hatta… tıbbi müdahaleye ihtiyaç duyduğu iddia edilen vücut bölgelerinizin fotoğrafları. Bu veriler daha sonra karanlık ağda yayınlanıp satılabilir ya da şantaj, gasp ve sonraki kimlik avı saldırıları için kullanılabilir. Yeraltı veri üretim hattının nasıl işlediğini daha ayrıntılı olarak öğrenmek için Kimlik avı kullanılarak çalınan verilere ne olur? başlıklı yazımıza göz atın.

Genel bir kural olarak, sahte klinik siteleri genellikle gizlilik politikası bölümünü atlar ve gerçek olamayacak kadar cazip görünen “sadece bugün” fırsatlarıyla sizi bombardımana tutar. Bununla birlikte, yapay zekanın yardımıyla, gerçek siteden ayırt edilemeyecek kadar profesyonel görünümlü bir site oluşturmak artık çocuk oyuncağı: Tasarım becerilerine ya da kurbanın dilini akıcı bir şekilde konuşabilmeye bile gerek yok. İşte tam da bu nedenle kapsamlı güvenlik paketimizi kullanmanızı öneriyoruz. Bu paket, spam, dolandırıcılık ve kimlik avını tespit etmek ve sahte web sitelerine girmeden önce sizi uyarmak üzere tasarlanmıştır.

Teletıp hastaları için güvenlik ipuçları

• Tıbbi hizmetler için özel bir e-posta adresi oluşturun. Bir klinik siber saldırıya uğradığı için bu adresin sızması durumunda, dolandırıcıların dijital hayatınızın geri kalanını takip etmesi çok daha zor hale gelir.
• Teletıp sitelerinde Google, Apple veya sosyal medya hesaplarıyla giriş yapmaktan kaçının. Verileri ayrı tutmak, tıbbi verilerinizi kişisel hesaplarınızla ilişkilendirmeyi çok daha zor hale getirir.
• Danışmanlık hizmetiniz için hangi platformun kullanıldığını lütfen tekrar kontrol edin. Klinik, standart bir mesajlaşma uygulaması üzerinden görüşmeyi veya sohbet etmeyi öneriyorsa, bu bir tehlike işaretidir. Klinik tarafından sunulan güvenli ve şifreli hasta portalı, çok daha güvenlidir.
• Tıbbi belgeleri asla sohbet uygulamaları veya sosyal medya üzerinden göndermeyin. Laboratuvar sonuçlarını, tarama görüntülerini ve kayıtları her zaman kliniğin resmi hasta portalı üzerinden yükleyin.
• Her hesap için benzersiz ve karmaşık bir parola kullanın. Devlet portalı, muayenehane girişi ve doktor randevu uygulaması için her birinin ayrı bir parolası olmalıdır. Kaspersky Password Manager tüm bu parolaları sizin için oluşturabilir ve saklayabilir; ayrıca sızıntı veri tabanlarını düzenli olarak tarar ve hesaplarınızdan herhangi birinin ele geçirilmesi durumunda sizi uyarır.
• İki faktörlü kimlik doğrulamayı etkinleştirin. Öncelikle kamu hizmetleri ve sağlık kurumları için bunu yapın. SMS kodları yerine bir kimlik doğrulama uygulamasını kullanmanızı öneririz; bu yöntem daha güvenli ve tamamen anonimdir. Kaspersky Password Manager bu konuda da size yardımcı olabilir.
• Sadece gerekli olan bilgileri paylaşın. Tıbbi uygulamalarda veya web sitelerinde isteğe bağlı alanların hepsini doldurmak zorunda hissetmeyin. Bir hizmet ne kadar az veri depolarsa, sızabilecek veri de o kadar az olur.
• Sosyal medyada veya mesajlaşma uygulamalarında sağlık bilgilerinizi paylaşırken dikkatli olun. Dolandırıcılar, insanların savunmasız oldukları anlarda onları istismar etmeyi çok severler. Örneğin, 2024 yılında bilgisayar korsanları, tükenmişlik ve depresyonla ilgili paylaşımlarda bulunan XZ Utils geliştiricisinin güvenini kazandılar. Onu, kendi aracının kontrolünü kendilerine devretmesi için ikna ettiler ve ardından bu araca kötü amaçlı kod yüklediler. XZ Utils, pek çok Linux sisteminde kullanıldığı ve OpenSSH‘yi (uzak sunucu bağlantıları için bir iletişim kuralı) etkilediği için, bu saldırı zamanında fark edilemeseydi internetin büyük bir kısmını felç edebilirdi.
• Bilinmeyen geliştiricilerin teletıp uygulamalarını yüklemeyin. Yorumları inceleyin ve bir dakikanızı ayırıp gizlilik ilkesine göz atın; büyük platformlar bile verilerinizi üçüncü taraflarla paylaşıyor olabilir.
• Tıbbi kayıtlarınızı takip edin. Garip reçeteler, hiç gitmediğiniz doktor ziyaretleri veya hiç duymadığınız ilaçlar, hesabınızın ele geçirildiğinin işaretleri olabilir.
• Sağlık cihazlarınızı yapılandırın ve düzenli olarak güncelleyin. Fitness takip cihazları, tansiyon ölçüm cihazları, akıllı tartılar ve aktivite takip cihazlarının tümü verileri internete gönderir. Yanlış ayarlar veya yamalanmamış güvenlik açıkları, veri sızıntılarına kapı aralar.

İnternette sağlığınızı korumakla ilgili bilmeniz gereken diğer hususlar:

• Beyin göçü: Ruh sağlığı uygulamalarındaki güvenlik açıkları
• Veri simsarları neden sizin hakkınızda dosya oluşturur ve bunu nasıl engelleyebilirsiniz?
• Bir botla sohbet etmek nasıl trajediye yol açabilir?
• Üreme sağlığı uygulamalarında gizlilik
• Uzaktan sağlık hizmetleriyle ilgili beş problem