Claroty’ye göre sağlık kuruluşları, siber güvenliğe ve uyumluluğa giderek daha fazla öncelik vermelerini gerektiren birçok siber güvenlik sorunuyla karşı karşıya.
Tehdit aktörleri yalnızca BT sistemlerini hedeflemekle kalmıyor, aynı zamanda gözlerini hasta bakımı için güvenli bir ortam sağlamak açısından kritik kabul edilen IoMT cihazlarından asansörler ve HVAC sistemleri gibi bina yönetim sistemlerine kadar siber-fiziksel sistemlere de dikmiş durumda.
Etkilenen siber-fiziksel sistemler
Diğer birçok kritik altyapı kuruluşu gibi sağlık hizmeti kuruluşları da dijital dönüşümün gerçekliğine uyum sağladıkça giderek daha fazla birbirine bağlanıyor. Bununla birlikte, internete ve birbirine bağlanan geniş yelpazedeki siber-fiziksel sistemlerin yanı sıra, bu sistemlerden veya cihazlardan herhangi birine yapılacak başarılı bir saldırının, hizmet sunumu veya bakımı üzerinde yaratabileceği potansiyel olarak yıkıcı etki bu sektöre özgüdür. Daha da kötüsü hasta güvenliği.
- Ankete katılanların %78’i geçen yıl en az bir siber güvenlik olayı yaşadı
- %47’si tıbbi cihazlar ve bina yönetim sistemleri gibi siber-fiziksel sistemleri etkileyen en az bir olaydan bahsetti
- %30’u, korunan sağlık bilgileri (PHI) gibi hassas verilerin etkilendiğini belirtti
- %60’tan fazlası, olayların bakım sunumu üzerinde orta veya önemli bir etkiye neden olduğunu bildirdi ve diğer %15’i ise hasta sağlığını ve/veya güvenliğini tehlikeye atacak ciddi bir etki bildirdi
Şaşırtıcı bir şekilde, fidye yazılımı saldırılarının kurbanı olan katılımcıların dörtte birinden fazlası fidye ödemesi yaptı. Dikkate değer bir diğer mali sonuç ise, geçen yıl yaşanan olayların üçte birinden fazlasının saldırı nedeniyle 1 milyon dolardan fazla maliyete yol açmasıydı.
Claroty CEO’su Yaniv Vardi, “Sağlık sektörünün siber güvenlik cephesinde buna karşı birçok çalışması var; hızla genişleyen bir saldırı yüzeyi, güncelliğini kaybetmiş eski teknolojiler, bütçe kısıtlamaları ve küresel siber yetenek açığı” dedi.
Vardi, “Araştırmamız, tıbbi cihazları artan tehditlere karşı korumak ve hasta güvenliğini korumak için sağlık kuruluşlarının siber endüstrinin ve düzenleyici kurumların tam desteğine ihtiyaç duyduğunu gösteriyor” diye ekledi.
Sağlık kuruluşları dijital dönüşüm geçirirken ve teknolojik yenilikler sektörde devrim yarattıkça, düzenleme gereklilikleri giderek daha karmaşık hale geliyor ve sıklıkla gelişiyor. Standartlara uymak ve yönergeleri anlamak zor olabilir ancak anket, kuruluşların bu düzenlemelere büyük önem verdiğini ve rehberliğe değer verdiğini gösteriyor.
Artan standartlar ve düzenlemeler daha güçlü siber güvenliği besliyor ancak yapılması gereken daha çok iş var:
- %30’u mevcut hükümet politika ve düzenlemelerinin iyileştirme gerektirdiğini veya tehditleri önlemek için hiçbir şey yapmadığını söylüyor
- NIST (%38) ve HITRUST Siber Güvenlik Çerçeveleri (%38) çoğu katılımcı tarafından kuruluşları için önemli olarak seçildi
- %44’ü, zorunlu olay raporlama gibi düzenleyici gelişmelerin bir kuruluşun genel güvenlik stratejisi üzerinde en etkili dış faktör olduğunu belirtiyor
Düzenlemelerin iyileştirilebileceğine inanan kuruluşların çoğunluğu, kapsamlı bir siber güvenlik stratejisinin geliştirilmesi konusunda yardım arıyor. Bu muhtemelen sağlık hizmetleri ortamlarının artan karmaşıklığını, büyüyen saldırı yüzeyini ve risk oluşturan boşlukları kapatmak için kapsamlı bir yaklaşıma yönelik kabul edilen ihtiyacı yansıtıyor.
Siber beceri eksikliği hala sorun teşkil ediyor
- Sağlık kuruluşlarının %70’inden fazlası siber güvenlik rollerinde işe alım arıyor
- İşe alınanların %80’i gerekli becerilere sahip nitelikli aday bulmanın zor olduğunu söylüyor