Network security vulnerabilities and personal privacy issues in healthcare information systems: A case study in a private hospital

Abstract

Sağlık sektörü, kağıt belgelerden elektronik kayıtlara geçişle birlikte, bilgi teknolojileri ve internete oldukça bağımlı hale gelmiştir. Elektronik kayıtların maruz kalabileceği güvenlik risklerine karşı tedbirler alınmadığı sürece kaliteli bir sistem elde etmek mümkün olmayacaktır. Bu çalışmada, Türkiye'de özel bir hastane ile ortak çalışılmış ve hastane bilgi sistemlerindeki güvenlik zaafiyetleri ortaya koyularak hastane sistemleri için güvenli bir ağ altyapısının önerilmesi hedeflenmiştir. Türkiye'deki düzenlemelere ait kriterler ABD ve AB'deki kriterler ile karşılaştırılmış; farklı sektörlerin uyguladığı ve sağlık sektöründe de uygulanabilecek iyi uygulamaları içeren güvenlik kontrolleri sunulmuştur. Çalışma, hastanenin HIPAA ve ISO 80001 gibi bilinen sağlık standartlarına uyumlu olmadığını göstermektedir. Hastane yönetiminin kişisel mahremiyet ve güvenlik konularına yaklaşımının destekleyici olmadığı ve sorumluluğun IT ve Biyomedikal Mühendisliği Departmanları'na bırakıldığı görülmektedir. Tehditler ve mevcut sistemdeki zaafiyetler sıralanırken hastanenin ileride siber tehditlere karşı mağdur olmaması açısından, hastanenin adı açıklanmamıştır. Hastanelerin elektronik ortama geçişiyle birlikte, vatandaşların elektronik sağlık kayıtlarının korunması, kişisel mahremiyeti sağlamak açısından zorunlu hale getirilmelidir. Bu çalışma sağlık sektöründe politikaları belirleyenlere ve düzenleyici otoritelere vatandaşlar için güvenli bir ortam oluşturma konusunda yol gösterici olabilir.

Healthcare industry has become widely dependent on information technology and internet; as it moves from paper to electronic records. Despite the benefits of electronic system, good quality may not be totally achieved unless its risks to security are mitigated. Working in collaboration with a 150 bed private hospital in Turkey; this study aims to present a secure healthcare network infrastructure while presenting the security vulnerabilities in the current hospital information systems. The regulation criteria in Turkey and counterparts in USA and EU are compared according to their privacy approach and a list of items for common security controls from different industries is proposed as a best practice. The study shows that the hospital is not compliant with known healthcare standards like HIPAA or ISO 80001. Management's attitude against privacy and security shows that the responsibility is totally to IT and Biomedical Engineering Departments. Since explaining the threats and corresponding vulnerabilities in the system may cause the hospital be prone to cyber-attacks, the name of the hospital is secluded. As hospitals are adopting electronic transactions, consideration must be given to protect public electronic health records in terms of personal privacy aspects. Healthcare industry in Turkey should benefit from best practices in other industries and applications in other countries. This study can lead the pathway for policy makers in healthcare organizations and regulation authorities to implement a more secure environment for every citizen.