Anasayfa
Kurumsal
TUGAY Kimdir? Sertifikalar Partnerler İnsan Kaynakları
Servisler
Sızma Testi Kaynak Kod Analizi Eğitimler Referanslar İletişim
Talep Oluştur
Ana Sayfa /Bilgi Bankası /Sağlık MDR Sızma Testi
Sağlık

Sağlık Uygulamaları (MDR) için Sızma Testi ve Siber Güvenlik Faaliyetleri

AB Tıbbi Cihaz Yönetmeliği (EU MDR 2017/745) kapsamında tıbbi yazılım ve uygulama güvenliği testleri.

MDR Kapsamında Siber Güvenlik Gereklilikleri

Avrupa Birliği Tıbbi Cihaz Yönetmeliği (EU MDR 2017/745), tıbbi yazılımları ve bağlantılı cihazları kapsayan kapsamlı bir düzenleyici çerçeve sunmaktadır. Bu yönetmelik, hasta güvenliğini doğrudan etkileyen yazılımların (Software as a Medical Device — SaMD) siber güvenlik risklerini sistematik biçimde yönetmesini zorunlu kılmaktadır.

MDR kapsamındaki ürünlerin CE işareti alabilmesi için üreticilerin Klinik Değerlendirme sürecine ek olarak siber güvenlik risk analizini ve teknik güvenlik testlerini belgelemesi gerekmektedir. MDCG (Medical Device Coordination Group) yayımladığı kılavuzlarda sızma testini temel bir doğrulama yöntemi olarak öngörmektedir.

SaMD Tanımı

Tıbbi amaçlı olarak kullanılan yazılımlar (görüntü analizi, tanı yardım sistemleri, hasta izleme uygulamaları) MDR kapsamında tıbbi cihaz sayılmakta; siber güvenlik gereklilikleri bu yazılımlar için de geçerli olmaktadır.

Tıbbi Yazılım Güvenlik Testi Kapsamı

TUGAY'ın sağlık sektörüne yönelik sızma testi hizmetleri, MDR ve ilgili MDCG kılavuzlarının teknik gerekliliklerini karşılayacak biçimde yapılandırılmıştır:

  • Tıbbi yazılım ve web portalı güvenlik testleri (OWASP Top 10)
  • Hasta verisi erişim kontrolü ve yetki yönetimi testleri
  • Tıbbi cihaz-yazılım iletişim protokolü güvenliği (HL7, DICOM, FHIR)
  • Bulut tabanlı sağlık platformları güvenlik değerlendirmesi
  • Kimlik doğrulama ve oturum yönetimi açıklıkları
  • Veri şifreleme ve aktarım güvenliği kontrolleri
  • Üçüncü taraf kütüphane ve API güvenlik analizi

Test Metodolojisi

  1. Risk Modeli Oluşturma: MDR Ek I güvenlik gereklilikleri doğrultusunda tehdit modeli ve saldırı yüzeyi analizi yapılır.
  2. Statik Kod Analizi (SAST): Kaynak kod düzeyinde güvenlik açıkları tespit edilir; tıbbi veri işleme mantığı gözden geçirilir.
  3. Dinamik Uygulama Testi (DAST): Çalışan uygulama üzerinde gerçek zamanlı saldırı simülasyonları uygulanır.
  4. API Güvenlik Testi: RESTful ve FHIR API uç noktaları kimlik doğrulama, yetkilendirme ve veri sızıntısı açısından test edilir.
  5. Altyapı ve Ağ Testi: Sunucu yapılandırmaları, ağ segmentasyonu ve erişim kontrolü doğrulanır.

Raporlama ve CE İşareti Desteği

Test raporları, MDR teknik dosya (Technical Documentation) gerekliliklerine uygun formatta hazırlanmaktadır. Onaylanmış kuruluş (Notified Body) denetimleri için gereken kanıtlar sistematik biçimde sunulmaktadır.

  • MDR Ek I madde 17 gerekliliklerine haritalanmış bulgular
  • Siber güvenlik risk değerlendirme raporu
  • Residual risk (artık risk) analizi ve kabul edilebilirlik değerlendirmesi
  • Yazılım geliştirme sürecine entegre güvenlik önerileri
Startup Programı

Ürününüzü pazara çıkmadan
güvende tutun.

Güvenlik büyük şirketlere özgü değil. Her startup ilk günden sağlam bir temele ihtiyaç duyar. Saldırganlar açığı bulmadan önce biz bulalım. Ücretsiz.

Startup Başvurusu Yap

Başvuru ücretsizdir. Herhangi bir taahhüt gerektirmez.

Değerlendirme kapsamı

  • Uzman gözüyle ilk güvenlik değerlendirmesi
  • Kritik açık ve zayıf nokta tespiti
  • Önceliklendirilmiş bulgular özet raporu
  • KVKK / GDPR ön uyum değerlendirmesi
  • 48 saat içinde uzman geri dönüşü
Tamamen ücretsiz & bağlayıcı değil
Ücretsiz Analiz Pentest Talep Et Startup Başvurusu