Siber güvenlik mevzuatı ve sağlık bilişimi uygulamaları
Umut Oğur
Ülkemizde yürütülen sağlık uygulamaları, kullanılan sağlık bilişimi teknolojileri ve sağlık hizmeti koordinasyon, yürütme ve denetim mekanizmalarında önemli bir mesafe kaydedildi. Bu mekanizmaların, yenilikçi ve rekabetçi pozisyonda olduğu, çok sayıda ülke tarafından örnek alınmak istendiği de görülmektedir. Sağlık bilişimi alanında yapılan yenilikçi uygulamalar sayesinde tüm sağlık verileri ve hatta sağlık kurumlarının internet politikaları merkezi olarak koordine edilebilmekte ve denetlenebilmektedir.
Siber saldırıların kontrol edilemeyen şekilde arttığı günümüzde, sağlık teknolojilerinin ve sağlık için teknolojinin kullanımının artışı aynı zamanda, dünyada 6 kritik sektörden biri olarak değerlendirilen sağlık sektörünün saldırılara daha açık halde gelmesi anlamını taşımaktadır. Ülkemizde Siber Güvenlik Stratejisi ve stratejiyi destekleyici siber güvenlik mevzuatının yanı sıra Sağlık Bakanlığı da bilgi güvenliği konusunu titizlikle ele almakta ve ülkenin mevzuatına uygun sağlık bilişimi mevzuatı oluşturmaktadır.
Türkiye'nin siber güvenlik mevzuatına esas teşkil eden iki kanun 5809 sayılı Elektronik Haberleşme Kanunu ve kamuoyunda İnternet Yasası olarak bilinen 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında kanundur.
5809 ve 5651 sayılı kanunlar gereği düzenlenen mer'i mevzuat yönetmelik, genelge, tebliğlerden ve yönergelerle desteklenmektedir. Sağlık Bakanlığı da mevzuata uygun yönetmelik ve yönerge çalışmalarını bu doğrultuda yürütmektedir.
5651 sayılı yasa gereği Sağlık Bakanlığı'na bağlı tüm kurum, kuruluşlar merkezi internet hizmeti sağladığı alt kuruluşlarına ait internet erişim kayıtlarını saklamakla ve internet içerik erişime yönelik filtreleme sistemi kullanmakla yükümlüdür. Bu durumda, Sağlık Bilişim Ağı Projesi doğrultusunda merkezi internet hizmeti veren tüm Kamu Hastaneleri Birliği (KHB) Genel Sekreterlikleri hizmet verdikleri hastane, poliklinik veya sağlık merkezindeki her bir bilgisayara ait erişim kayıt detaylarının tamamını saklamakla yükümlü hale gelmektedir. Bu konuda mevzuatta muğlak kalan noktalar 11 Nisan 2017 tarihli İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik ile ortadan kaldırılmıştır.
Bu noktada göz önünde bulundurulması gereken iki ana husus ortaya çıkmaktadır:
İçerik Filtreleme Yükümlülüğü
Sağlık için teknoloji kullanımının yaygınlaşması ve sağlık teknolojileri cihaz ve yazılımlarının her geçen gün artması, tüm verilerin VPN bulut üzerinden dahi olsa kurumlar arası aktarılması, her kurumun internete çıkan yüzlerce bilgisayarının olması ülkenin en büyük ağlarından birisi olan Sağlık Bakanlığı ağını tehdit ve saldırılara açık hale getirmektedir.
Ülkemiz ulusal siber güvenlik uygulamalarının koordinasyonu ile yükümlü olan BTK'nın temiz ve güvenli interneti sağlamaya yönelik Ulusal Kara Listesi bulunmaktadır.
İnternet erişim kayıtlarının 5651 sayılı yasa ve ilgili mevzuatına uygun tutulması ve kamu güvenliği kaygısıyla, ilgili kamu otoritesi olan BTK tarafından sağlanan Ulusal Kara Liste'nin kullanılması ülkemiz ulusal güvenlik stratejisi kapsamında, kritik bilişim altyapılarının korunması, siber güvenlik risklerinin yönetilebilir ve kabul edilebilir düzeyde tutulması hedefini sağlamak yolunda itibar edilebilecek yegane liste olarak karşımıza çıkmaktadır.
Sadece BTK tarafından 5651 yasa çerçevesinde onaylı içerik filtreleme ürünleri tarafından kullanılabilen bu liste doğrudan BTK tarafından her gün güncellenmektedir.
BTK onaylı olmayan çözümler Ulusal Kara Liste'yi kullanamamakta, farklı ülkelerde üretilen ticari kara listeler ile içerik filtreleme yapmaktadırlar.
Sağlık kuruluşlarının kamu bilgi güvenliğini sağlamak ve yasal siber güvenlik mevzuatının gereklerini yerine getirdiklerinden emin olmalarının yegane yolu doğrudan yasa uygulayıcısı kurum olan BTK'nın onayladığı ürünleri kullanmaları olarak görülmektedir.
Erişim Kayıtlarının Merkezi Sistemde Kaydedilmesi Yükümlülüğü
5651 sayılı yasa ve yönetmeliklerine göre erişim kayıtları, Kendi iç ağlarında dağıtılan IP adres bilgilerini, kullanıma başlama ve bitiş zamanını ve bu IP adreslerini kullanan bilgisayarların tekil ağ cihaz numarasını (MAC adresi) gösteren bilgileri, hedef IP adresi, bir veya birden fazla IP adresinin portlar aracılığı ile kullanıcılara paylaştırılması yöntemi ile sunulan internet erişim hizmetinde kullanıcıya tahsis edilen gerçek IP ve port bilgilerini içermeli ve kayıtlar internet kullanımını sağlayan merkez tarafından iki yıl süre ile saklanmalıdır.
Sağlık Bakanlığı tarafından yürütülen Sağlık Bilişim Ağı kapsamında kurulan VPN altyapısı Layer 3 seviyesinde yapılandırıldığından KHB Genel Sekreterliklere bağlı hastane, poliklinik ve sağlık merkezlerinden 5651 sayılı yasa gereği KHB Genel Sekreterliğine alınması gereken ve Layer 2 seviyesi bilgi olan MAC adresi bilgisi alınamamakta, söz konusu yasal sorunun çözümü için ağ güvenliği ürününü destekleyici çözüm ihtiyacı doğmaktadır.
Piyasadaki siber güvenlik çözümlerinin 5651 sayılı yasaya uygun olduklarına ilişkin ifadeleri tamamen kendi iddiaları olup uluslararası test ve belgelendirme kuruluşlarından aldıkları herhangi bir belge 5651 sayılı yasaya uygunluğu garanti altına almamaktadır. Nitekim, 6551 sayılı yasanın gereklerini yerine getirebilmek için KHB Genel Sekreterliği'ne bağlı her noktaya güvenlik duvarı yapılandırmak zorunda kalmaktadırlar. ePati Bilişim Teknolojileri ülkenin siber güvenlik mevzuatının yanı sıra Sağlık Bilişimi alanına özelleşen BTK onaylı ağ güvenliği çözümü ile sağlık sektörünün ihtiyaçlarını yasal mevzuata uygun ve etkin bir şekilde gidermektedir. Antikor Tümleşik Siber Güvenlik Sistemi, hem ulusal kara liste hem de yurt dışındaki kara listeleri entegre ettiği geniş veri tabanı ile etkin içerik filtreleme çözümü sunan BTK onaylı bir çözümdür. Antikor Tünel çözümü, 5651 sayılı yasa gereği KHB Genel Sekreterlik bünyesinde kayıt altına alınması zorunlu MAC adresi bilgilerini ve yanı sıra güvenli iletişim için oldukça kritik olan çoklu VLAN taşıma özellikleri ile ön plana çıkmakta ve sağlık için teknolojinin aynı zamanda güvenli teknoloji olmasını sağlamaktadır.
umut@epati.com.tr
