SecurityScorecard’a göre sağlık sektörü 2024’ün ilk yarısında “B+” güvenlik notu alırken kritik bir güvenlik açığıyla karşı karşıya: Tedarik zinciri siber riski.
ABD sağlık sektörünün güvenlik derecelendirmeleri, ortalama 88 puanla beklenenden daha iyiydi. Ancak hâlâ iyileştirmeye açık alan var: B derecelendirmesine sahip kuruluşların veri ihlali mağduru olma olasılığı, A derecelendirmesine sahip kuruluşlara göre 2,9 kat daha fazla .
Sağlık sektörü üçüncü taraf ihlallerinde başı çekiyor
2023 yılında üçüncü taraf ihlallerinin %35’i sağlık kuruluşlarını etkileyerek diğer tüm sektörleri geride bıraktı. Tedarikçi ekosistemi, fidye yazılımı grupları için oldukça arzu edilen bir hedeftir. Saldırganlar tek bir güvenlik açığından fark edilmeden yüzlerce kuruluşa sızabilmektedir.
Tıbbi cihaz üreticilerine yönelik fidye yazılımları ve diğer saldırılar, hastaların kişisel bilgilerini ve korunan sağlık bilgilerini (PHI) açığa çıkarabilir. Üreticiler, implant veya protez gibi cihazları alan hastalara PHI/PII uygulayabilir. Örneğin, LockBit fidye yazılımı operatörleri, Ekim 2023’te kalp ve nöromodülasyon cihazları üreticisi Livanova’nın güvenliğini ihlal etti ve 180.000 kadar ABD’li hastaya ait verileri ele geçirdi.
İlaç şirketleri de fidye yazılımı hedefleri haline gelebilir. İlaç IP’sinin genellikle yüksek değeri, onları fidye yazılımı saldırılarının yaygın bir özelliği haline gelen veri ifşa gaspına karşı daha savunmasız hale getirebilir.
Tıbbi cihaz ve ekipman şirketleri genel sağlık hizmeti örneklemine göre 2-3 puan daha düşük puan aldı. Bu kuruluşlar ayrıca diğer sağlık sektörlerine kıyasla %16 daha yüksek oranda ihlal ve güvenliği ihlal edilmiş makine raporlarına sahipti.
Artan tehditlere rağmen ihlaller düşük kalıyor
Uygulama güvenliği sorunları, sağlık saldırı yüzeylerindeki en önemli kusurlar arasındadır – kuruluşların %48’i bu kategoride en düşük puanı almıştır. Yazılım tedarik zinciri, bir saldırgana saldırıyı tedarikçinin müşterilerine iletmek için kaynak koduna, derleme süreçlerine, boru hattı araçlarına veya yazılım güncellemelerine erişim sağlar; bu müşteriler genellikle tedarikçiye ve sistemlerine dolaylı olarak güvenir.
Sağlık kuruluşlarının %5’i geçen yıl kamuya açık olarak bildirilen ihlallerle karşılaştı ve %6’sının son 30 gün içinde ağlarında güvenliği ihlal edilmiş bir makineye dair kanıtlar vardı. Bu saldırılara ilişkin kamuya açık raporlara da yansıdığı üzere, fidye yazılımları sektör için en büyük tehdit olmaya devam ediyor.
Change Healthcare’in bazı şirketlere günde 1 milyon dolara mal olması sonucunda, kurumsal güvenlik yöneticileri tedarikçi gözetimini ve siber güvenlik önlemlerini güçlendirme çabalarını iki katına çıkarıyor. Her kuruluş veri güvenliği uygulamalarını incelemeli, hassas verilere üçüncü ve dördüncü tarafların erişimini değerlendirmeli ve gelir için önemli olan kritik satıcıları belirlemelidir.
“Tıbbi talep işlemeyi destekleyen Change Healthcare gibi tek bir başarısızlık noktası, tüm sağlık ekosistemini çökertebilir. Ve siber güvenlik topluluğu tedarik zinciri riskini aktif olarak izlemezse tarih kendini tekrarlamaya devam edecektir. Birlikte, tek başarısızlık noktalarını belirlemeli ve ele almalıyız,” dedi SecurityScorecard Tehdit Araştırmaları ve İstihbarat Kıdemli Başkan Yardımcısı Ryan Sherstobitoff.