Bu Help Net Security röportajında QuidelOrtho Kıdemli Direktörü ve CISO’su Patty Ryan, tıbbi cihazların uzun yaşam döngülerinin sağlık hizmetleri ortamlarında siber güvenliği nasıl etkilediğini tartışıyor. Kuruluşların eski sistemleri nasıl koruyabileceğini, satıcılarla nasıl işbirliği yapabileceğini ve proaktif, risk tabanlı stratejileri nasıl benimseyebileceğini açıklıyor.
Ryan ayrıca yapay zeka destekli ve bağlantılı tıbbi cihazların sağlık hizmetlerinde yaygınlaşmasıyla birlikte siber dayanıklılığın güçlendirilmesine ilişkin öngörülerini de paylaşıyor.
Tıbbi cihazların uzun yaşam döngüleri göz önüne alındığında, hastaneler artık yama almayan eski sistemlerle nasıl başa çıkmalı?
Hastanelerin artık yama almayan eski sistemleri nasıl yönetebileceğine dair iki ana yaklaşım olduğuna inanıyorum. İlk olarak, hastanelerin bir tıbbi cihazı anında çıkarmanın nadiren mümkün olduğunu kabul etmesi gerekir; ancak yapabileceğiniz şey, cihaza yalnızca güvenilir, doğrulanmış ağ trafiğinin erişebilmesi için cihazın etrafına bir duvar inşa etmektir.
İkinci olarak, satıcılarla yakın işbirliği, mevcut yükseltme yollarını anlamak açısından kritik öneme sahiptir. Çoğu satıcı, müşterilerinin güvenlik riskini artıran eski teknolojileri kullanmasını istemez. Benim bakış açıma göre, bir cihazın güvenliği sağlanamayacak kadar eski olması ciddi bir endişe kaynağıdır. Sağlayıcılarınızla erkenden işbirliği yapın ve bütçe ve zaman çizelgesi kısıtlamaları konusunda şeffaf olun. Bu, satıcıların eski sistemleri değiştirmek için aşamalı bir yol haritası tasarlamasına olanak tanır ve zaman içinde güvenlik riskini istikrarlı bir şekilde azaltır.
Sağlık kuruluşları uyumluluk odaklı güvenlik ile proaktif, risk bazlı yaklaşım ihtiyacını nasıl dengelemelidir?
Proaktif, risk tabanlı bir yaklaşım, uyumluluk odaklı güvenliği destekleyebilir. Uyumluluk çerçeveleri, yama uygulama, erişim yönetimi ve bir şey olduğunda ne zaman yanıt verileceğini bilmek için görünürlük gibi temel güvenlik kontrollerine yönelik kanıtlardır.
Sağlık kuruluşlarının hedefi, proaktif önlemler benimseyerek, kendi ortamlarında eğitime öncelik vererek ve riskin nasıl azaltılacağı veya kabul edileceği konusunda bilinçli kararlar alarak uyumluluğu kontrol etmenin ötesine geçmek olmalıdır.
Sağlık hizmetlerinin tıbbi cihaz güvenliğine uyarlayabileceği diğer sektörlerden (kritik altyapı veya IoT güvenliği gibi) dersler var mı?
Her sektör kendine özgü risklerle karşı karşıyadır ancak temeldeki güvenlik ilkeleri tutarlıdır. IoT, Bluetooth veya bağlantılı tıbbi cihazlar olsun, temel temeller tüm sektörlerde aynıdır. Ortamınızı anlayın, gereksiz bağlantıları sınırlandırın ve dayanıklılığa yönelik tasarım yapın.
Hastaneler, çeşitli risk ve bağlantı düzeylerine sahip on binlerce birbirine bağlı cihazı yönetmektedir. Odak noktası basitleştirme, teknolojileri standartlaştırma, cihaz ayak izlerini birleştirmek için satıcılarla işbirliği yapma ve tutarlı kontroller uygulama üzerinde olmalıdır.
Üretim hattına ve daha geniş ekosisteme yönelik saldırıların etkisini sınırlamak için siber dayanıklılığın hayati önem taşıdığı üretimden bir ipucu alabiliriz. Hiçbir ihlal tek başına tüm operasyonu çökertemez. Ancak birçok kuruluş hâlâ unutulmuş, güncelliğini kaybetmiş sistemler kullanıyor. Eski varlıkları kullanımdan kaldırmak, ortamı düzene koymak ve riskleri sürekli olarak belirleyip yönetmek kritik öneme sahiptir.
Sistemik riskleri ele almak için düzenleyiciler, satıcılar ve sağlayıcılar arasında gelişen işbirliğini nasıl görüyorsunuz?
Düzinelerce teknoloji satıcısının en başından itibaren ürünlerinde kendi kendini düzenleme ve siber dayanıklılık oluşturma sözü vermesiyle anlamlı bir ilerleme gördük. Ne yazık ki bu ivme yavaşladı. Ancak deneyimlerime göre en güçlü kazanımlar genellikle kuruluşların gönüllü olarak güvenliğe öncelik vermeyi seçtiği, yasama organı olmayan, sektör liderliğindeki girişimlerden geliyor.
Siber risk hiçbir zaman ortadan kalkmıyor ancak rutin olarak yeterince fark edilmiyor ve yeterince azaltılmıyor. Güvenliği, müşterilerin bir teknoloji çözümü seçerken aktif olarak değer verdiği, rekabette fark yaratan bir unsur haline getirebilirsek, satıcılar için bir teşvik yaratabiliriz. Siber saldırıları azaltmak, kaynakları fidye yazılımı müdahalesinden kurtarmak ve hasta bakımını ve sonuçlarını iyileştirmeye yeniden odaklamak için gösterilen kolektif çabadan herkes faydalanıyor.
Yapay zeka destekli ve bağlantılı cihazlar daha yaygın hale geldikçe, şimdi hangi yeni güvenlik risklerini öngörmeliyiz?
Yapay zeka güçlüdür, insan gibi düşünür ancak insani muhakeme gücüne sahip değildir. Yalnızca üzerinde eğitim aldığı veriler kadar iyidir. Her yapay zeka sisteminin arka ucu insanların sıklıkla unuttuğu bir şeydir. Risk, yapay zekanın nasıl çalıştığı değil, onu besleyen verilerin kalitesidir; bu veriler yanlış, yanıltıcı veya zararlı olabilir.
Verilerin nasıl toplanıp korunduğundan modellerin nasıl eğitilip doğrulandığına kadar uçtan uca güvenliği düşündüğümüzde, yeni güvenlik risklerinin azaltılmasında iyi, temiz veriler her zamankinden daha önemli. Bu teknolojiler sağlık hizmetleriyle daha bütünleşik hale geldikçe, veri bütünlüğünü korumak ve yapay zekayla karar vermede şeffaflığı sağlamak hasta güvenliği açısından hayati önem taşıyacak.