Tablet kullanan tıp uzmanı. Tıbbi teknoloji konsepti.

Sağlık Verileri için Uygun Güvenlikle İlgili Zor Gerçek

Haz 2023
Ana Sayfa

Sağlık kuruluşlarının, genellikle her zaman Korumalı Sağlık Bilgileri (Protected Health Information - PHI) olarak adlandırılan kişisel sağlık verilerini saklamaları ve aktarmaları gerekecektir. PHI'yi güvende tutmak amacıyla siber saldırılara ve veri kaybına karşı korunmak için veri güvenliğine öncelik vermek çok önemli olmaya devam edecektir. Aslında, Amerikan Tıp Birliği tarafından yapılan bir araştırma, hastaların %92'sinin sağlık verilerinin gizliliğinin bir hak olduğuna ve korunması gerektiğine inandığını ortaya koymuştur. Taşınabilir ve her an paylaşılabilir olması gereken veriler söz konusu olduğunda bu söylendiği kadar kolay olmayabilir.

PHI'yi korumak önemsiz görünse de bir ihlalin gerçek sonuçları olabilir. Örneğin Scripps Health, 2021'deki bir fidye yazılımı saldırısının sonrasında 3,5 milyon dolarlık bir uzlaşmaya varmıştır.

Korku tellallığı yapmadan açık olalım ve sağlık kuruluşlarının taraf olduğu ihlallerin hacminin arttığını kabul edelim. Kötü niyetli aktörler sağlık verilerini tehlikeye atmanın değerini anlıyor ve fidye yazılımı saldırıları hızla artıyor. Bu da sağlık hizmetlerini dünya çapında stratejik bir hedef haline getiriyor.

Peki, güçlü veri güvenliği sağlamak için neler yapılabilir?

Güvenlik simgeleri ve tıbbi simgeler. Sağlık kuruluşları için veri güvenliği endişeleri konsepti.

Let’s address these unique challenges and the need to comply with ever-changing regulations by simplifying things, with the simple requirement that data encryption needs to be a key part of any healthcare organization's security strategy.

Sonuçta, görülebilen şey ya saldırıya uğrayabilir ya da koruma altına alınabilir! Veri güvenliği planınızı değerlendirirken bunu bilmek önemlidir.

Kingston olarak sağlık verilerinin uygun şekilde korunmasının ciddi bir iş olduğunu biliyoruz. Sağlık verileri için şifreleme güvenliğini uygulamaya alırken akılda tutulması gereken birkaç husus vardır. Öncelikle, yasal uyumluluk için veri şifrelemenin değerini anlamak önemlidir. HIPAA ile GDPR ve CCPA gibi diğer uluslararası düzenlemeler kişisel verilerin şifrelenmesine yönelik gerekliliklere sahiptir. Sağlık kuruluşları şifreleme kullanarak kendilerini bir veri ihlalinin sonuçlarından koruyabilir ve bu düzenlemelerle uyumluluğu sürdürebilir.

Ancak temelde iki tür olduğu için şifreleme bile biraz karmaşıktır: Donanım ve yazılım tabanlı şifreleme.

Yazılım ve donanım tabanlı şifreleme arasındaki farkın anlaşılması, hastaların sağlık verilerinin güvenliği açısından önemli sonuçlar doğurmaktadır. Yazılım şifrelemesinin uygulamaya alınması genellikle daha ucuzdur, ancak güvenliği ana sisteme bağlıdır. Sonuç olarak, şifreler veya kurtarma anahtarları ana sistem belleğinde, disk belleği ve hazırda bekletme dosyalarında bulunabildiğinde saldırıya karşı çok daha savunmasızdır. Ayrıca birçok şifrelenmiş dosya formatına, internette ücretsiz veya çok düşük maliyetle bulunan yazılım araçları kullanılarak saldırılabilir ve bu tür dosyalarda kimlik doğrulama işlemini kırmak için Kaba Kuvvet (Brute Force) şifre saldırıları gerçekleştirebilir. Günümüz bilgisayarları saniyede 1 milyarı aşkın şifre tahmini yapabilmektedir. Yazılımla şifrelenmiş dosyalar ayrıca bir bilgisayar ağı tarafından paralel olarak kopyalanabilir ve saldırıya uğrayabilir. Bu da Kaba Kuvvet (Brute Force) parola saldırılarını gerçekleştirme süresini daha da kısaltabilir.

Donanım şifrelemesi, ister USB sürücü ister harici SSD olsun, tamamen veri saklama cihazının içinde bulunan özel bir güvenlik ekosistemidir. Donanım tabanlı şifreleme her zaman devrededir ve verileri her zaman korur. Oysa bir sürücü yeniden formatlanarak üzerindeki yazılım şifrelemesi kaldırılabilir. Sağlık hizmeti sağlayıcıları için bu, kötü niyetli bir çalışanın korumayı devre dışı bırakabileceği ve yazılımla şifrelenmiş bir sürücüyü ihlal edilebilir bir veri saklama cihazına dönüştürebileceği anlamına gelir.

Sonuç olarak, donanım şifrelemesi genel olarak şifreleri ve şifreleme anahtarlarını ana sisteme açmadığı için kat kat daha güvenlidir. Ancak bu ek güvenlik, şifrelenmemiş veri saklama sürücülerine kıyasla daha pahalıya mal olmaktadır. Amerika Birleşik Devletleri'nde 2022 yılında ortalama ihlal maliyetinin 4,35{{Footnote.A68763}} milyon doların üzerinde olduğu düşünüldüğünde, mobil veriler için daha iyi bir seçenek olan Kaba Kuvvet (Brute Force) ve BadUSB saldırı korumalarını içeren XTS-AES 256-bit şifrelemeli donanım tabanlı şifreli USB ve harici SSD sürücüler varken yazılım şifrelemenin sağladığı tasarruf aldatıcı olabilir. Donanım şifrelemeli bir sürücü kaybolduğunda, güvenli kalacağı ve güçlü güvenliği ile PHI verilerini korumaya devam edeceği makul bir şekilde varsayılabilir.

Kingston IronKey XTS-AES 256-bit donanım tabanlı şifrelemeli sürücü serisi, kullanıcıların güvenlik konusundaki sıkıntılarını gideren kullanıcı dostu sürücüler içermektedir. Bir parolanın unutulması durumunda kullanıcıların veya sağlayıcıların sürücülere erişimi yeniden elde etmek için çoklu parola desteği mevcuttur. Artık kimsenin hatırlayamadığı karmaşık parolalara bir alternatif var: 64 karaktere kadar olan ve doktorların ve diğer sağlık çalışanlarının hatırlaması kolay, ancak bir saldırganın sınırlı Kaba Kuvvet (Brute Force) parola saldırısı kilitleme ve şifreleyerek silme yeniden denemeleri içinde tahmin etmesi neredeyse imkansız olan, favori bir kitabın veya şarkının adı, bir kelime listesi, şiirden veya şarkıdan bir dize veya başka ifadeler olabilen parola ifadesi.

Para ifadeleri Vault Privacy 50, 50C ve Vault Privacy 80 Harici SSD sürücülerde bulunmaktadır. Vault Privacy 80ES ve Keypad 200 gibi tuş takımlı sürücüler, PIN tabanlıdır ve insanların PIN tercih ettiği kullanım durumları için cep telefonu kullanımına benzer. VP80ES sürücüsü ayrıca dokunmatik ekranda kullanıcı dostu bir alfasayısal klavye kullanarak parola ifadesini de destekler.

Çeşitli Kingston IronKey donanım şifrelemeli sürücülerin düzeni. Donanım şifrelemeli USB sürücüler ve SSD'ler.

Tüm IronKey sürücülerinde güçlü Kaba Kuvvet (Brute Force) parola saldırısı koruması bulunmaktadır. Bir saldırgan parolaları tahmin etmeye çalışırken, sürücü geçersiz denemeleri sayar ve Kullanıcı parolalarını kilitler; Yönetici parolası deneme sayısı sınırı da dolduğunda, sürücü otomatik olarak şifreli silinir ve tüm veriler sonsuza kadar kaybolur. Yazılım şifrelemesi bu tür saldırılara karşı güçlü bir koruma sağlama yeteneğine sahip değildir.

Vault Privacy 80ES ve Keypad 200 gibi işletim sisteminden bağımsız sürücüler, sağlık hizmetlerinde kullanılan birçok cihaz için yaygın olarak gerekli olan tıbbi makineler ve bilgisayarlar arasında aktarılan verilerin korunması için idealdir. Örneğin, birçok laboratuvar makinesi, verilerin teknisyenler tarafından sağlayıcının bilgisayar sistemine manuel olarak aktarılmasını gerektirir.

Aydınlık bir ofiste dizüstü bilgisayarlarıyla toplantı yapan beş sağlık çalışanı. Arkada beyaz tahta var. Çalışanlar masanın etrafında. Biri ayakta, diğerleri oturuyor. Biri kameraya gülümsüyor.

Sağlık kuruluşları, donanım şifrelemeli cihazlara ek olarak, çalışanları en iyi uygulamalar konusunda eğitmek, çok faktörlü kimlik doğrulama uygulamak ve yazılım ve sistemleri düzenli olarak güncellemek gibi ek siber güvenlik veri hijyeni önlemlerini de dikkate almalıdır. Küçük sağlık hizmeti sağlayıcıları için bile donanım şifrelemeli harici SSD'lere yapılacak düzenli yedeklemeler, fidye yazılımı saldırılarının kurbanı olmak ile sistemleri hızlı bir şekilde kurtarabilmek arasındaki farkı yaratabilir.

Sağlık kuruluşları, güvenlik konusunda katmanlı bir yaklaşım benimseyerek ve veri korumayı çalışanların günlük alışkanlıklarına yerleştirerek hasta verilerini etkili bir şekilde koruyabilir. Kingston IronKey donanım şifrelemeli sürücülerin veri güvenliği stratejisinin bir parçası olarak entegre edilmesi, HIPAA ve diğer sağlık verilerinin korunması yönetmelikleriyle uyumluluğu sağlamanın etkili bir yoludur.

Sağlık hizmetleri veri güvenliği ihtiyaçlarını karşılamak için daha fazla Kingston IronKey ürünü bulabilir ya da hastalarınızın verilerini güvende tutmanıza yardımcı olabilecek Kingston IronKey için Bir Uzmana Sorun hizmetinden yararlanabilirsiniz.

#KingstonIsWithYou #KingstonIronKey

Bir devre kartı yonga seti üzerinde Kingston bir uzmana sorun sembolü

Bir Uzmana Sorun

Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.

Bir Uzmana Sorun

İlgili Videolar

Trisha, kilit ve Windows simgesi taşıyan M.2 SSD'lerin yanında dev bir 2,5" SSD tutuyor 5:02

Yazılım-Donanım Tabanlı Şifreleme

Donanım ve yazılım tabanlı şifreleme arasındaki farklar nelerdir?

İlgili Yazılar

Ana Sayfa