Browse > Home /

| Subcribe RSS

Sağlık sektöründeki zafiyet, Finans sektörünü geçiyor mu?

Bilgi Güvenliği sektöründe son zamanlarda artan bir trend olarak karşımıza çıkan Identity Theft ve Data Breach, yani kimlik hırsızlığı ve veri ihlalleri ciddi bir sorun teşkil etmeye başladı. Son zamanlarda ülkemizde de sıklıkla duyduğumuz T.C. Kimlik Numaraları, Tapu Kadastro Kayıtları gibi çeşitli bilgilerinin çalınması; kurumlarda ciddi bir regulasyon eksiğinin ve sosyal mühendislik gibi kavramların tam oturmayaşından kaynaklıdır.

Identity Theft Resource Center’ın 2010 yılı için oluşturduğu veri ihlal kayıt PDF raporlarına bu adresten ulaşabilirsiniz. Rapora göre şimdiye kadar 435 farklı ihlalden etkilenen farklı kayıt sayısının 13 milyon olduğu düşünülüyor.

Sağlık sektörü de üzerinde durulması gereken vertical market’lerden bir tanesi. Her ne kadar ülkemizde herhangi bir yaptırım söz konusu olmasa da, özellikle Amerika’da uygulanan HIPAA (Health Insurance Portability and Accountability Act ) kanunları bir takım yaptırımları da beraberinde getiriyor. Bu kanunlar kabaca, hastaların ya da sağlık sigortası olan her kişi kayıtlarının gizliliğini, güvenliğini ve olası elektronik data transferlerindeki bilgi korunumunu içeriyor. Bu tarz regulasyonlar özellikle dosya, uygulama ve database gibi ortamlarda saklanan veriler için geçerli kurallar bütünlüğünü oluşturuyor. Saklanan verilerin bütününü ele aldığımızda; sosyal sigorta numaralarınızdan, geçirdiğiniz tüm hastalıklar, raporlar, tahliller, adres ve telefon bilgilerinize kadar herhangi bir veri yeralabilir. Hayatımızın yavaş yavaş Internet’e geçtiği bu dönemde, bazı hastanelerin sağlık bilgilerini internet üzerinden paylaşması, akıllara bazı soru  işaretlerini de beraberinde getiriyor.

İşte bu noktada Amerikan Hükümetinin her ne kadar ciddi yaptırımları olsa da; 2010 yılı için açıklanan zafiyet raporlarında bankacılık sektörünü (39) 3 kat fazla fraud (119) ile geride bırakmaya başaran sağlık sektörü, ciddi bir emekleme dönemine girmiş gözüküyor.

Sağlık sektöründen örneklere gelince;

  • Geçtiğimiz aylarda California eyaletinde gerçekleşen açıklıklar, 5 farklı hastanenin toplamda 675.000 dolar ceza ödemesine sebebiyet verdi
  • Louisville Üniversite hastanesinin şifrelenmemiş web-sitesinden çalınan 700 hasta kaydı
  • Yine California’da gerçekleşen Kaiser Permanente kurumunda çalışan bir kişinin arabasından çalınan depolama biriminde yer alan 15.000 hastanın kaydı, ciddi endişelere yol açtı
  • Kentucky Üniversite hastanesinin kilitli ofisinden çalınan dizüstü bilgisayarda yer alan 2.027 kişinin bilgileri yine ciddi bir güvenlik açığına sebep oldu

Örnekleri çoğaltmak mümkün. Özellikle ülkemizde bir türlü uygulanamayan sağlık sektöründeki regulasyon açıklığı, benim fikrime göre hastanelerden çok sigorta şirketlerinin gerekli önlemleri almalarını gerektiriyor. Çünkü buradaki güç ve yaptırım sigorta şirketlerinden gelmesinin yanında,  genel yapıya ve şablona baktığımızda yine sigorta şirketlerinin hastalarla olan ilişkisi ön plana çıkıyor.

Tags: , , , , , , ,

2009 yılında ATM/debit kart dolandırıcılığında artış bekleniyor

May 17th, 2009 | No Comments | Posted in Güvenlik

Dijital yaşam hayatımızı kolaylaştırmakla beraber, ne yazık ki riskleri de beraberinde getiriyor. Analog sistemlerin her zaman daha güvenli olduğunu savunan ve babamın ödediği her faturanın kaydını tutmasına tanık olan biri olarak, kesinlikle söyleyebilirim ki: evet ne yazıktır ki sistemler güvensiz. Bakın burada teknolojiler güvensiz demiyorum, sistemler güvensiz ve bu sistemleri yöneten kişiler bir o kadar daha güvensiz, çünkü birçoğu için konuşacak olursam; birçok güvenlik ve sistem uzmanı teknolojiyi yakından takip etmiyor: hepsi Analog’çu. Bunun en basit örneğini geçtiğimiz aylarda elime geçen bir kurumun, bir güvenlik cihazı şartnamesinde açıkça gördüm. Kurum sistemlerine HSM alacak. Tüm dünyanın IP’ye geçtiği bu dönemde, hala analog ve seri bağlantılara şart koşan ve belki biraz ağır olacak ama örümcek beyinlilerin yönettiği her kurum, ne yazıktır ki kaybetmeye mahkumdur.

Konuyu biraz saptırdım belki ama kafanızda ufak bir fikir oluştuğunu düşünüyorum. Evet ATM dolandırıcılığına en yakın örneğimizi geçtiğimiz aylarda yazmıştım. Şimdi de Actimize adlı bir araştırma şirketinin bu konudaki araştırma verilerine değineceğiz. Firmanın araştırmasına göre yaklaşık %80 finansal servis yöneticisinin (toplamda 113 kişi katılmış) tahminlerine göre ATM/debit kart dolandırıcılığı 2009 senesinde artış gösterecek. Notlardan bazıları şu şekilde sıralanıyor:

  • 2008 senesindeki dolandırıcılık sayısı, 2007’ye oranla 2 haneli rakamlara ulaşmış
  • Araştırmaya katılan %80 uzman, 2009 senesinde bu sayının  artacağını ve yine %35 katılımcı bu artışın %10 ile 14 arasında olacağını öngörüyor.
  • Katılanların %50sinden fazlası ilgili dolandırıcılık ve atakların dışarıdan değil, bizzat müşterilerinden olacağı görüşünde (Risk almaya değer mi? dedirtiyor)
  • Öngörülen ihmaller özellikle ilgili şirketin genel harcama, call center hacmi ve müşteri güvenilirliğinde yoğunlaşıyor

Örnekleri arttırmak mümkün. Şirketin sunduğu raporun haberine yukarıda verdiğim adresten ulaşabilirsiniz. Bir finans kurumunun özellikle ilk oturtması gerektiği departmanın IT olduğunu düşünüyorum. Özellikle mevzu para ve finansal işlemler olunca, kurumların daha hassas güvenlik önlemleri alması gerekiyor. Ancak hepsi bunun bilincinde ve gerekli yatırımı yapıyorlar mı, esas sorgulanması gereken bu sanırım.

Tags: , , , , ,
  • Site istatistik

    Bugünkü ziyaret: 46
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News