Doktor ve Klinik Bilgisayarlarında Endpoint Güvenliği: EDR Uygulaması
Özet: Klinik ve muayenehanelerde doktor bilgisayarları için EDR seçimi, hasta verisi taşıyan istemcilerde ek önlemler ve USB politikası.
Özet: Klinik ve muayenehane bilgisayarları, sağlık verisi taşıdığı için endpoint güvenliği klasik antivirüsün ötesine geçmek zorundadır. EDR (Endpoint Detection & Response) davranış tabanlı analizle ransomware'i şifreleme başlamadan durdurur, BitLocker veya benzeri disk şifreleme laptop kayıp/çalıntı senaryosunda KVKK ihlalini önler, sıkı USB politikası ise dış ortam üzerinden veri sızıntısının önüne geçer. Bu üç katman birlikte uygulandığında klinik endpoint güvenliği KVKK denetiminde "yeterli teknik tedbir" çerçevesini karşılar.
Bir doktorun çantasından çalınan laptop, içinde 5.000 hastanın dosyasını barındırıyorsa, bu olay sıradan bir hırsızlık değil, ciddi bir KVKK veri ihlalidir. Disk şifreli olmadığı sürece veri sorumlusu sıfatınız size 72 saat içinde Kurum'a bildirim ve ilgili kişilere bilgilendirme yükümlülüğü getirir; idari para cezaları milyon TL aralığındadır.
Bu yazıda klinik sahipleri ve sağlık IT sorumluları için doktor bilgisayarları, sekreter istemcileri ve klinik laptop'larında uygulanması gereken endpoint güvenliği katmanlarını ele alıyoruz. Temel iddiamız: klasik antivirüs sağlık ortamı için yetersizdir.
Klinik Endpoint'leri Neden Daha Riskli?
Standart bir ofis bilgisayarına göre klinik bilgisayarı üç açıdan farklılaşır:
1. Veri Hassasiyeti Yüksek
Hasta dosyaları KVKK'nın 6. maddesi kapsamında özel nitelikli kişisel veridir. Sıradan kişisel verinin korunmasında uygulanan önlemler yetersiz kabul edilir; ek teknik tedbirler şarttır.
2. Cihaz Çoğunlukla Mobil
Doktor laptopları ev-klinik-konferans-misafir hastane arasında dolaşır. Sabit ofis masaüstü modeli geçerli değildir; cihaz fiziksel kayıp ve farklı ağlara bağlanma riskine açıktır.
3. Eski Tıbbi Yazılımlar
Bazı tetkik veya görüntüleme yazılımları yıllardır güncellenmiyor olabilir. Bu yazılımlar yeni güvenlik standartlarına uyumsuz; cihazlar etrafında ek koruma katmanları kurmak gerekir.
Klasik Antivirüs Neden Yetersiz?
Klasik antivirüs (AV) imza tabanlı çalışır: bilinen zararlı yazılımların parmak izini tarar. Yeni nesil ransomware ve hedefli saldırılar bu modeli aşalı yıllar oldu.
| Tehdit | Klasik AV | EDR |
|---|---|---|
| Bilinen virüs | Yakalar | Yakalar |
| Yeni varyant ransomware | Genelde geç tanır | Davranıştan tespit eder |
| Fileless saldırı | Görmez | Yakalar |
| Living-off-the-land (PowerShell vs.) | Görmez | Anormal davranış olarak alarm |
| İçeriden tehdit | Görmez | Olay loglarıyla geriye dönük analiz |
| Adli analiz desteği | Yok | Var (timeline, process tree) |
Klasik AV "var" olmasını gerekli ama yetersiz koruma olarak görmek doğru bir yaklaşımdır.
EDR Nedir ve Klinikte Nasıl Çalışır?
EDR (Endpoint Detection & Response), uç noktada çalışan bir ajan üzerinden cihazda olan biten tüm süreç, ağ ve dosya hareketlerini sürekli kayıt altına alır. Anormallik tespit edildiğinde otomatik müdahale edebilir veya analiste alarm geçer.
Klinikte EDR'in Görüp Engelleyebileceği Senaryolar
- Bir Word makrosu açılınca arka planda PowerShell komutu çalıştırılması
- Birkaç dakika içinde yüzlerce dosyanın şifrelenmeye başlaması (ransomware)
- Hasta dosyalarının USB'ye toplu kopyalanması
- Şüpheli bir IP'ye outbound bağlantı (komuta-kontrol sunucusu)
- Yeni bir admin hesabı oluşturulması
Davranış imzaya benzemediği için yeni varyantlarda da etkilidir.
KOBİ Klinik İçin Uygun EDR Seçenekleri
Pazarda onlarca EDR/XDR çözümü var. Klinik ölçeğine göre değerlendirme:
| Çözüm | Güçlü Yönü | Klinik Uygunluğu |
|---|---|---|
| Microsoft Defender for Business | M365 Business Premium içinde gelir, ek lisans yok | M365 kullanan klinikler için ideal başlangıç |
| Bitdefender GravityZone | Yerel kurulum/bulut esnek, fiyat dostu | Tek IT sorumlusu olan klinik |
| SentinelOne | Otomatik geri alma (rollback) | Ransomware riski yüksek görenler |
| CrowdStrike Falcon | En geniş telemetri, MDR opsiyonu | Daha büyük poliklinikler |
| ESET Inspect | Türkçe destek, lokal partner ağı | Türkiye'de yaygın |
| Sophos Intercept X | Kolay yönetim arayüzü | Tek konsoldan tüm endpointler |
Seçim sadece fiyatla değil, klinikte var olan ekosistemle yapılmalıdır. M365 ortamındaysanız Defender for Business doğal seçim olabilir; Google Workspace kullanıyorsanız bağımsız bir EDR daha mantıklıdır.
Disk Şifreleme: Laptop Kayıp/Çalıntı Senaryosu
Doktor laptopu unutuldu, çalındı veya kaybedildi. Sürücü şifrelenmemişse herkesin elindeki USB-stick haline gelir.
BitLocker (Windows)
- Windows 10/11 Pro ve Enterprise sürümlerinde dahili
- TPM 2.0 olan modern laptoplarda donanımsal şifreleme
- AES-256 şifreleme standardı
- Kurtarma anahtarı Active Directory veya Azure AD/Entra ID'de saklanmalı
- Aktivasyon dakika düzeyinde, kullanıcı şeffaf
macOS FileVault
- Apple cihazlar için yerleşik tam disk şifreleme
- Apple Silicon (M-serisi) çiplerinde donanım hızlandırmalı
- Kurtarma anahtarı iCloud veya organizasyon MDM'de saklanır
Linux dm-crypt / LUKS
- Sağlık yazılımı çalıştıran Linux istemcilerde standart
- Kurulum sırasında aktif edilmeli, sonradan ekleme zor
Kritik Kural: Anahtar Yönetimi
Şifreleme sadece anahtar düzgün yönetiliyorsa anlamlıdır. Anahtarın "post-it'te yazılı" olması her şeyi sıfırlar. Anahtar yönetimi şirketin Active Directory veya MDM çözümünde merkezi olmalıdır.
USB ve Çıkarılabilir Medya Politikası
Hasta dosyasının dışarı sızmasının en yaygın yolu USB bellektir. Hem kasıtsız (kayıp USB) hem kasıtlı (içeriden tehdit) senaryolar için kontrol şart.
Üç Politika Modeli
- Tam yasak: USB portları tamamen disable edilir. En sıkı, ama bazı tıbbi cihazlarda işlevselliği bozar.
- Sadece okuma: Veri kopyalanamaz ama dışarıdan dosya alınabilir. Orta düzey.
- Whitelist edilmiş cihaz: Yalnızca onaylı USB'ler çalışır (donanım ID veya seri numarası ile). En esnek+güvenli.
EDR çözümlerinin çoğu USB politikasını merkezi yönetimden uygular. Whitelist modeli en pratiktir.
USB Şifreleme
Hasta verisi dışarı taşınması gerekiyorsa (örneğin başka klinikteki konsültasyon için):
- Donanımsal şifrelemeli USB (Kingston IronKey, Apricorn) tercih edilmeli
- Yazılım şifrelemeli (BitLocker To Go) yedek seçenek
- Şifrelenmemiş USB'ye hasta verisi kopyalama tamamen yasak olmalı
MDM ve Mobil Cihaz Yönetimi
Doktorların telefonları çoğu zaman BYOD'dur (kişisel cihaz). Hasta verisine telefondan erişiliyorsa MDM şarttır.
MDM ile Sağlanan Kontroller
- Cihaz kaybı durumunda uzaktan kilitleme/silme
- Kurumsal e-posta için ayrı bir konteyner (kişisel verilerle karışmaz)
- Belirli uygulamalara erişim politikası
- İşletim sistemi güncellemesi zorlama
- Şifre/PIN politikası
- Cihaz uyumluluk durumu raporu
KOBİ klinikte Microsoft Intune (M365 Business Premium içinde gelir) en yaygın seçim; alternatif olarak Jamf (Apple ortamı), MaaS360, VMware Workspace ONE.
KVKK ve Endpoint Güvenliği Eşleşmesi
KVKK'nın 12. maddesi "yeterli teknik tedbir" alma yükümlülüğü getirir. Endpoint katmanında bu tedbirlerin pratik karşılığı:
| KVKK Yükümlülüğü | Endpoint Tedbiri |
|---|---|
| Veri güvenliğini sağlama | EDR + AV birleşimi |
| Verilere yetkisiz erişimi önleme | BitLocker + güçlü oturum açma + MFA |
| Verilerin yetkisiz alınmasını önleme | USB politikası + DLP |
| Erişim loglaması | EDR olay kayıtları, en az 6 ay saklama |
| Çalışan ayrılması | Hesap deaktivasyonu, cihaz silme (MDM) |
| Veri ihlali tespiti | EDR alarm + SIEM/SOC izleme |
| Düzenli denetim | EDR raporları, yıllık güvenlik incelemesi |
Bu tedbirler dökümante edilmeli ve VERBİS bildiriminde belirtilmelidir.
Yamanlar Bilişim Olarak Sunduğumuz Hizmetler
Klinik endpoint güvenliği için sunduğumuz uçtan uca destek:
- Mevcut endpoint envanteri ve risk değerlendirmesi
- EDR/MDR seçimi ve klinik ölçeğine göre lisanslama
- BitLocker filo dağıtımı ve anahtar yönetimi
- USB politikası tasarımı ve uygulama
- Microsoft Intune veya alternatif MDM kurulumu
- KVKK 12. madde yeterli teknik tedbir denetimi
- Yıllık güvenlik tatbikatı (red team / phishing simülasyonu)
Sıkça Sorulan Sorular
Sonuç
Klinik bilgisayarları sıradan ofis cihazları gibi korunamaz. Hasta verisinin hassasiyeti, cihazların mobilliği ve eski tıbbi yazılım gerçeği — üçü birlikte ek katmanlı güvenlik gerektirir. EDR davranışsal tehditleri yakalar, BitLocker laptop kayıp/çalıntı senaryosunu yönetir, USB politikası ve MDM ise dış ortam ile dış cihaz risklerini kontrol altına alır.
Yamanlar Bilişim olarak klinik ölçeğine uygun, KVKK uyumlu ve operasyonel olarak işlenebilir endpoint güvenliği tasarımları sunuyoruz; doktor masasını veri sorumlusunun en zayıf noktası olmaktan çıkarıp en sağlam katmanına dönüştürüyoruz.
Sıkça Sorulan Sorular
Yönetilen mi (MDR) Yoksa Kendi Kendine mi?
EDR in alarmlarını izleyecek ekibiniz var mı? Çoğu klinikte yok. Bu durumda MDR (Managed Detection Response) hizmeti tercih edilir: 7/24 bir SOC ekibi sizin alarmlarınızı izler, kritik olanlarda telefonla ulaşır. Aylık abonelikli, kişi başı 5-15 USD aralığında çözümler vardır.
M365 Business Premium aldım, ek bir EDR almama gerek var mı?
M365 Business Premium içinde Microsoft Defender for Business gelir ve KOBİ ölçeğinde tatmin edici bir EDR sağlar. Microsoft ekosisteminde çalışıyorsanız ayrıca üçüncü parti EDR almak çoğu klinik için gereksiz. Ancak yönetilen MDR hizmeti istiyorsanız Microsoft un Defender Experts hizmeti veya başka bir partner MDR ı düşünebilirsiniz.
Doktorun kişisel laptop unu işte kullanması güvenli mi?
Yönetilmediği sürece riskli. BYOD (kendi cihazını getir) politikası ile yönetilebilir: cihaza MDM kuralı uygulanır, hasta verisine sadece kurumsal konteyner üzerinden erişilir, kayıp halinde sadece kurumsal veriler uzaktan silinir. Yönetilmeyen kişisel cihazda hasta verisi tutmak KVKK riskidir.
EDR yavaşlık yaratır mı, klinik yazılımları çalışır mı?
Modern EDR ler düşük CPU/RAM kullanımıyla çalışır; standart klinik yazılımlarında belirgin yavaşlık olmaz. Ancak eski tıbbi cihaz yazılımları (özellikle XP/Win7) bazı EDR ajanlarıyla uyumsuz olabilir. Bu cihazlar zaten ayrı VLAN a izole edilmeli ve EDR yerine ağ seviyesi koruma uygulanmalıdır.
BitLocker kurtarma anahtarımı kaybedersem ne olur?
Veri kaybedersiniz — şifre çözmenin başka yolu yoktur. Bu yüzden anahtar mutlaka merkezi yönetilmelidir : Active Directory de, Azure AD de veya MDM de. Tek bir kişinin masaüstündeki Excel dosyası anahtar arşivi DEĞİLDİR. Yedek anahtarlar yazılı olarak güvenli kasada da saklanabilir.
Klinikte sadece sekreterin bilgisayarına EDR koysam yeterli mi?
Hayır. Hasta dosyasına erişen her bilgisayara EDR gerekir: doktor masaüstü, sekreter, müdür, muhasebe. Tek zayıf nokta tüm zincirin çökmesine neden olur. EDR lisansları KOBİ de kullanıcı/cihaz başına genellikle 3-10 USD aralığındadır; tam kapsama maliyeti çok yüksek değildir.
USB portunu tamamen kapasam tıbbi cihazlar etkilenir mi?
Bazı görüntüleme cihazları veri çıkışı için USB kullanır. Bu cihazlar whitelist modeline alınmalı: yalnızca o cihazların onaylı USB leri çalışır. EDR konsolundan donanım ID veya seri numarasıyla beyaz liste oluşturmak mümkündür. Tam yasak modelinden whitelist modeline geçmek esnek ve güvenli orta yoldur.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Sektörel BT Çözümleri alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Filo Kiralama Şirketleri için Sözleşme Arşivi ve KVKK Uyum Mimarisi
Filo ve araç kiralama şirketlerinde sözleşme arşivi, sürücü verisi KVKK uyumu, e-imza entegrasyonu ve site-to-site VPN ile şube bağlantısı.
Site Yönetiminde IT Altyapısı: IP Kamera, Asansör IoT ve Aidat Sistemleri
Site ve apartman yönetiminde IP kamera, asansör IoT, aidat ve sakin yönetim sistemleri için entegre IT altyapısı ve KVKK uyum rehberi.
Üretim Tesisinde OT/IT Ağ Ayrımı: KOBİ Fabrika için Pratik Mimarisi
Üretim tesislerinde OT (operasyonel teknoloji) ve IT (bilgi teknolojisi) ağlarının ayrımı, PLC/SCADA segmentasyonu ve endüstriyel firewall mimarisi.