Sağlık Bakanlığı’na bağlı Diyarbakır, Siirt, Tekirdağ ve Kocaeli’nde bulunan hastanelere yönelik olarak önceki gün gerçekleştirilen siber saldırının [1][2] arkasından yazılım firmalarının rekabeti çıktığı iddia edildi. Saldırıda özellikle Diyarbakır’daki hastanelerin bilişim hizmetleri etkilendiği, hasta işlemleri ve laboratuvar hizmetlerinin bir süre aksadığı bildiriliyor. Bakanlık ise elinde bulunan yedekleme mekanizması sayesinde saldırının kısa sürede atlatıldığını ve olası bir felaketin önlendiğini söyledi.
Yedekleme Zaten Olması Gerekir ama Asıl Sorun; Verilerin Ortaya Dökülmesidir
Ama sağlık bakanlığının üzerinde durmadan ve hiç değinmeden geçtiği asıl felaket “kişisel sağlık verilerinin çalınması” ve de “ortaya dökülmesi”dir. Bunu söylemek ve kabahatlerini ortaya koymak yerine, olayı başka yöne saptırmaya ve “hiç veri kaybolmadı” demeye çalışıyorlar. Hatta üzerine günümüzde heryerde olması zorunlu yedekleme sistemini sanki bir artıymış gibi sunuyorlar [2].
Tübitak Uyarı Yapmış ama Sistem Açık Kalmış
Yine aynı habere göre, olaydan önce TÜBİTAK’a bağlı Siber Güvenlik Enstitüsü, kamu kurumlarına yönelik siber saldırı yapılacağına ilişkin bir uyarı yapmış. Bunun üzerine de Sağlık Bakanlığı, 5 Mayıs 2016 tarihinde sisteminde açıklık gözüken illeri uyarmış.
Tübitak’ın yaptığı önceden uyarıyı “genel” olarak değerlendiriyoruz. Çünkü bu tür bilgileri öğrenmek için, hackerlar içine muhbir yerleştirmek gibi ya da internet üzerinde bu tür bilgiler tartışılan yeraltı forumları gibi yerlere bakmak lazım. Ama Tübitak’ın uyarısının belli bir konuda mı, yoksa genel mi olduğuna dair bir bilgi yok. Daha çok genel bir uyarı olduğunu düşünüyoruz.
Kabahatli Yazılım Firması ise, Yazılım İhalelerinde Koşullar Zayıf mı?
Diğer yandan bir yazılım firmasının iş yaptığı Diyarbakır, Siirt, Tekirdağ ve Kocaeli illerinde söz konusu basit açıkların giderilmemesi üzerine sağlık hizmetlerinde bazı sıkıntılar yaşandığı kaydediliyor. Yani suç yazılım şirketinde gözüküyor. Bu, Sağlık Bakanlığı’nın kabahati üstlenmemesi olarak yorumlanabilir ama yine de yeterli olmaz. Çünkü;
- Bu yazılım firması, hangi koşullarda ve kim tarafından seçildi?
- Bu yazılım firmasının açıkları olan sistemi daha önce nasıl onay aldı?
- Ya da bu saldırı ve bu firmanın açıkları önceden biliniyorsa, neden aradan geçen 13 günde bu açıkları kapatmadığı ikaz edilmedi?
gibi sorular ortaya çıkar. Şimdi iş işten geçtikten ve kişisel sağlık verileri ortaya saçıldıktan sonra, Sağlık Bakanlığının, hem önlem almayan idari yetkililer, hem de yazılım firması hakkında soruşturma açtığı kaydediliyor.
Sağlık Bakanlığı yetkileri, bu tür olayların yaşanmaması için, sağlık hizmeti veren kurumların çoğunluğunun özel VPN ağının içine alınması işlemini tamamlayacaklarını söyledi.
6698 Çerçevesinde İşlem Yapılacak mı?
Biz ise, yeni yürürlüğe giren 6698 sayılı kanun çerçevesinde Sağlık Bakanlığı aleyhine işlem yapılıp yapılmayacağını ve Bakanlığın kendi sorumluluğunu üstlenip, üstlenmeyeceğini merak ediyoruz. Eğer bahsedilen yazılım firması kabahatliyse, onlara ihaleyi vermesi ile ilgili olarak bir sorun olduğu görülüyor. Bu sorun çerçevesinde;
- Bakanlık kendi kabahatini kabul edecek mi?
- Bundan sonrasındaki ihaleler açısından bir değişiklik gelecek mi?
- 6698 çerçevesinde ortaya saçılan kişisel sağlık verileri konusunda Bakanlık aleyhine işlem yapılacak mı?
Abdullah Gül’ün Cumhurbaşkanlığı döneminde Devlet Denetleme Kurulu, sadece sağlık verileri değil, tüm kişisel veriler konusunda, devlet kurumlarını uyarmış ve yazılım firmalarının yetkisiz elemanları kullandıklarını ya da bu verilerin kopyalanmasının engellenmesine yönelik önlemlerin alınmadığı şeklinde uyarılar yapılmıştı[3].
Siber Saldırı İntikam İçin mi?
Ortaya çıkan bir bilgi de, bu olayın 2 firma arasında mahkemeye uzanan patent mücadelesinden kaynaklanmış olabileceği şeklinde ama bunun detayı ya da açıklaması yok. Mesela ilk akla gelen şu; firmanın bir tanesinde çalışan birisi üzerinden yazılım kopyalandığı için, diğeri acaba intikam alma yolunda saldırı mı yapmış?
Anonymous Saldırıyı Reddetti
Bu arada “hacking” olayının duyulması üzerine Anonymous’a “Bu saldırı yetkililere değil, doğrudan vatandaşların gizliliğine, verilerine” şeklinde mesaj atan kişiler oldu. Anonymous bunun üzerine, bu saldırının kendileri tarafından gerçekleştirilmediği ve gösterilen amacın da komik olduğu şeklinde cevap verdi.
Nor we as @YourAnonNews nor @crymora nor anyone we know and trust has anything to do with this. This leak is bullshit. @heavie
— Anonymous (@YourAnonNews) May 18, 2016
[1] Seçmen Verilerinden Sonra Sağlık Verileri Sızdı; HIV Sonuçları ya da Kürtaj Kayıtları Var
Kaynak : 