Bir hastanenin kapısında ambulansların yön değiştirmesi (kendi tecrübem). kağıt üstünde küçük bir operasyon detayı gibi görünüyor. Ama işin aslına bakarsanız, böyle bir tablo gördüğünüzde mesele artık “bir sistem arızası” değil — doğrudan insan hayatını etkileyen, elle tutulur bir siber kriz. Massachusetts’te Signature Healthcare çevresinde yaşanan — kendi adıma konuşayım — olay da tam olarak böyle bir yere oturuyor: saldırı yüzünden bazı hizmetler aksıyor, eczaneler reçete dolduramıyor. Acil sevk zinciri bile şaşıp kalıyor.
Geçen yıl İstanbul’da bir özel sağlık grubunun bilgi işlem ekibiyle kısa bir sohbet etmiştim (evet, doğru duydunuz). “Bir gün sisteme girilemezse ne yaparız?” diye sormuşlardı bana. O an biraz teorik gelmişti kulağa. Şimdi geriye dönüp bakınca — hiç de teorik değilmiş. Hani bazı haberler vardır ya, uzaktan okursunuz, geçer gider; bu öyle değil. Bu haber direkt sağlık sektörünün en zayıf damarına basıyor.
Saldırının Hastanede Yarattığı İlk Dalga
Aslında — hayır dur, daha doğrusu, Signature Healthcare tarafında yaşanan kesinti, sadece ekranların kararması demek değil. Hastane bazı hizmetleri iptal etmek zorunda bir düşüneyim… kalmış, ambulansları başka merkezlere yönlendirmiş ve eczane tarafında reçete işlemleri kilitlenmiş. Yani zincirin birkaç halkası aynı anda kopmuş gibi düşünün — bir yerde randevu sistemi çöküyor, başka yerde laboratuvar akışı gecikiyor, derken bütün yapı ağır çekimde çalışmaya başlıyor.
Bir dakika — bununla bitmedi.
Benim dikkatimi çeken şu oldu: sağlık kurumlarında siber saldırı denince çoğu kişinin aklına ilk veri hırsızlığı geliyor. Evet, o da var tabi. Ama burada çok daha görünür olan şey operasyonel çöküş. Hastanın dosyasına erişememek, hangi ilacın verileceğini görememek, ambulansı nereye göndereceğine karar verememek — bunlar bilgisayar sorunu gibi görünür ama sonuçta tamamen fiziksel dünyaya vuruyor, elle tutulur biçimde.
Yani, 2024 yazında Ankara’daki bir teknoloji etkinliğinde konuştuğum bir BT yöneticisi “Sağlıkta downtime lüks değildir” demişti. Çok haklıydı. Bir e-ticaret sitesi — kendi adıma konuşayım — yarım saat kapalı kalsa can sıkıcı olur, tamam; bir hastane için aynı süre bambaşka sonuçlar doğurabilir. Acı olan şu: sistem geri gelene kadar herkes beklemiyor. E peki, sonuç ne oldu? Hasta bekliyor.
Sağlık sektöründe siber saldırı sadece veri kaybı yaratmaz; doğrudan bakım kalitesini düşürür, sevk zincirini bozar ve bazen dakikaların bile can alıcı olduğu anlarda karar alma sürecini felce uğratır.
Neden Sağlık Kurumları Bu Kadar Hassas?
Bak şimdi, sağlık kurumları dışarıdan bakınca modern görünüyor olabilir. İç tarafta hikaye çoğu zaman biraz eski usul ilerliyor ama. Röntgen sistemleri ayrı yerde, hasta kayıtları ayrı yerde, faturalama başka bir tarafta… Üstüne bir de eski yazılımlar eklenince ortam tam bir patchwork haline geliyor. İşte saldırganlar da tam bu karışıklığı seviyor — kafadan girip her yöne dağılabiliyorlar — valla güzel iş çıkarmışlar —
Bir de yedekleme meselesi var. Kağıt üstünde her kurumun yedeği vardır. Pratikte işin rengi değişir. Yedek var ama geri dönüş hiç test edilmemiştir, ya da ağ segmentasyonu zayıftır. Kötü amaçlı yazılım sessizce her yere yayılır, kimse fark etmez (en azından benim deneyimim böyle). Geçen sene kendi editör notlarım arasında “yedeğin olması yetmiyor, geri dönmesi lazım” diye not düşmüşüm — bu olay o cümleyi tam önüme koydu yeniden.
Peki neden?
Şunu fark ettim: E tabi regülasyon baskısı da cabası. HIPAA gibi kurallar veri gizliliğini korumaya çalışıyor ama işin teknik kısmı ihmal edilirse mevzuat tek başına yetmiyor. Bir hastane için güvenlik artık sadece antivirüs almak değil; kimlik yönetimi, ağ bölümlendirme, log takibi ve olay müdahalesi gibi katmanların hepsinin birlikte, uyumlu biçimde çalışması gerekiyor.
Acil servis neden ilk etkileniyor?
Şimdi, şunu fark ettim: Çünkü acil servis en hızlı akan yerlerden biri. Ambulans geliyor, triyaj yapılıyor, hasta ilgili bölüme aktarılıyor… Dijital akış durursa personel kağıda döner ama hız düşer (en azından benim deneyimim böyle). Hız düşünce risk artar. Basit matematik aslında, ama sonuçları hiç basit değil.
Massachusetts örneğinde ambulansların çevrilmesi tam da bunun göstergesi: sistem yükü kaldıramayınca hasta kabul akışı başka yerlere kaydırılıyor. Kimse “dur bir dakika toparlanayım” diyemiyor.
Eczane tarafında neden reçete doldurulamıyor?
İşin garibi, Reçete doğrulama çoğu zaman hastane ağına bağlı oluyor ya da sigorta. Ilaç entegrasyonlarına ihtiyaç duyuyor. Sistem erişilemez hale gelince eczacı ilaç verecek ama teyit edemeyecek durumda kalıyor. Vermese hasta mağdur, verse sorumluluk havada kalıyor. Daha fazla bilgi için Amazon Eski Kindle’ların Fișini Çekiyor: Şimdi Ne Olacak? yazımıza bakabilirsiniz.
Kısacası küçük görünen teknik arıza burada doğrudan tedavi gecikmesine dönüşüyor. Nokta.
Siber Saldırı Senaryosu Nasıl Gelişmiş Olabilir?
Resmi teknik detaylar tam açığa çıkmadan kesin konuşmak doğru olmaz. Ama tabloya bakınca tipik bir fidye yazılımı veya benzeri kesinti senaryosu akla geliyor — önce erişim alınır, sonra hayati sunuculara yayılma başlar, nihayet kurum günlük işleri sürdüremez hale gelir. Klasik saldırı şablonu aslında. Daha fazla bilgi için Insta360 Snap: Selfie Çekiminde Arka Kamera Dönemi yazımıza bakabilirsiniz. Kanser Tedavisinde Sürpriz: Tümör Yiyen Bakteriler yazımızda bu konuya da değinmiştik.
Bazen saldırganlar veriyi şifrelemekten çok sistemi bozmayı hedefler; yani amaç para istemekten önce panik yaratmaktır. Bilhassa sağlık gibi yüksek baskılı alanlarda bu taktik baya işe yarıyor çünkü kurumun hata payı yok denecek kadar az. Hiç sıfır.
2023 sonunda buna benzer bir “erişim kilidi” durumunu kendi projelerimde test etmiştim — gerçek saldırı değil tabii, simülasyondu. Küçük ölçekli lab ortamında bile ekiplerin ilk reaksiyonu şaşırtıcı biçimde aynıydı: önce suçlu aranıyor, sonra yedek bulunuyor… en son iletişim planı hatırlanıyor! Büyük kurumlarda bunun on kat karmaşık olduğunu düşünün bir de.
| Katman | Saldırı Öncesi Beklenti | Saldırı Sonrası Gerçek |
|---|---|---|
| Acil servis | Anlık kayıt girişi | Kağıt form ve manuel takip |
| Eczane | Dijital reçete doğrulama | Reçete bekletme veya ertelenmiş işlem |
| Sevk sistemi | Hızlı yatış kararı | Başka merkeze yönlendirme |
| Bilişim ekibi | Müdahale prosedürü hazır | Aynı anda onlarca can alıcı karar |
Küçük Hastane ile Büyük Kurum Arasında Fark Ne?
Küçük bir hastane için böyle bir saldırı adeta tek motorla uçmaya çalışan uçak gibi. Motorlardan biri gidince bütün denge bozuluyor. Ekip küçük, bütçe sınırlı, dış kaynak bağımlılığı yüksek — her şey birbirine girince toparlanmak bayağı sürüyor (ciddiyim)
Bakın, burayı atlarsanız yazının kalanı anlamsız kalır.
Hani, Büyük kurumsal yapılarda durum biraz farklı (ciddiyim). Orada kaynak var ama karmaşıklık da var, ve bazen fazlasıyla. Güvenlik araçları çok ama entegrasyon eksik; herkes dashboard’a bakıyor ama kimse resmin tamamını aynı anda göremez. Paradoksal bir durum bu, farkındaysanız.
Açık konuşayım: sağlıkta en pahalı yatırım yeni donanım değil çoğu zaman. İşleyen kriz planı. Onu kurmak hem zor hem de kimsenin gözüne görünmüyor ta ki gerçekten lazım olana kadar.
Küçük startup mantığıyla kıyaslayınca…
Küçük startuplar genelde hızlı hareket eder ama tek noktadan çökebilirler. Kurumsal yapılarsa daha dayanıklı görünür fakat karar mekanizması yavaşlayabiliyor. Sağlık sektörü ise — nasıl desem — ikisinin de kötü yanlarını alıp üzerine bir de risk ekliyor gibi: hem hızlı olmak zorunda hem de hata yapma lüksü yok. Sert bir oyun alanı. Gerçekten sert.
Peki Bu Olay Bize Ne Öğretiyor?
İnanın, Birinci ders net: sağlıkta siber güvenlik artık arka ofis konusu değil. İkinci ders de şu — incident response plan kağıtta güzel dursa bile tatbikat yoksa pek işe yaramaz. Ben bunu özellikle pandemi sonrasında çok net gördüm; masa başındaki plan ile gerçek kriz arasındaki fark bazen uçurum oluyor, kelimenin tam anlamıyla.
Kısa bir not düşeyim buraya. Skoda DuoBell: ANC Kulaklığı Alt Eden Bisiklet Zili yazımızda da bu konuya değinmiştik. Asus ROG Xbox Ally: Windows Cebinde Ne Kadar Rahat? yazımızda da bu konuya değinmiştik.
Ha, bu arada şunu da ekleyeyim: kurumlar yalnızca “saldırı olmasın” diye uğraşmamalı. “Olursa ne kadar hızlı ayağa kalkarım?” sorusuna cevap vermeli. Asıl oyun burada dönüyor zaten.
- Ağ segmentasyonu olmadan yayılım riski büyür.
- MFA eksikse ilk giriş kapısı kolaylaşır.
- Dönüş testi yapılmamış yedekler sahte güven hissi verir.
- Tıbbi operasyon ile IT operasyonu ayrı düşünülmemeli; ikisi tek paket gibi ele alınmalı.
Editör Masasında Düşündürdükleri
Bu haberi ilk okuduğumda aklıma hemen iki şey geldi. Biri klasik fidye yazılım haberleri… Diğeri ise çok daha tatsız olan insan faktörü. Çünkü iyi niyetle kurulmuş sistemlerde bile yanlış bir tıklama ya da gevşek erişim politikası her şeyi bozabiliyor. Her şeyi.
İkinci anekdotumu da bırakayım buraya: 2024 Mart’ında İzmir’de tanıştığım bir klinik IT sorumlusu bana “Bizde doktorun sabah raporuna ulaşamaması öğleden sonraki yoğunluğu patlatır” demişti. Basit cümle ama gerçek hayatta karşılığı büyük. Siber saldırılar işte tam oraya basıyor — görünmeyen noktaya, hani kimsenin düşünmediği o yere.
Küçük bir detay: Bir de dürüst olayım: bu tür haberlerde herkes doğal olarak “güvenlik yatırımı artırılmalı” diyor (yanlış duymadınız). Evet doğru, katılıyorum. Ama yalnızca bütçe artışı yetmiyor. Doğru mimari yoksa parayı suya atmış oluyorsunuz — biraz değil, epeyce.
Sıkça Sorulan Sorular
Massachusetts’teki hastane neden ambulansları çevirdi?
Sistemsel kesinti nedeniyle acil kabul kapasitesi bozulduğu için ambulanslar başka merkezlere yönlendirildi. Bu genelde hasta güvenliği için alınan geçici bir önlem olur.
Siber saldırı yüzünden reçeteler neden doldurulamıyor?
Çünkü reçete doğrulama ve ilaç erişim süreçleri çoğu zaman dijital altyapıya bağlıdır. Sistem kapanınca eczane işlemleri manuelleşir veya tamamen durur.
Böyle durumlarda en kilit savunma ne olur?
Dönüş testi yapılmış yedekler ve iyi hazırlanmış olay müdahale planı en kritik savunmadır. MFA ve ağ segmentasyonu da işi ciddi şekilde zorlaştırır.
Sağlık kurumları fidye yazılımına karşı ne yapmalı?
İlginç olan şu ki, Düzenli yedekleme yetmez; izole saklama ve geri yükleme testi şarttır. Ayrıca personelin oltalama eğitimleri de ihmal edilmemeli (şaşırtıcı ama gerçek)
Kaynaklar ve İleri Okuma
Garip gelecek ama, SecurityWeek — Orijinal Haber
CISA — Healthcare and Public Health Sector Security Guidance (en azından benim deneyimim böyle)
U.S (kendi tecrübem). HHS — HIPAA Resmi Bilgilendirme Sayfası
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
