Fidye yazılımı saldırılarının ABD hastaneleri üzerindeki etkisini araştıran ve bunların daha yüksek ölüm oranlarına yol açtığı sonucuna varan Minnesota Üniversitesi sağlık politikası doçentlerinden Hannah Neprash, “Fidye yazılımı saldırılarının hastalara zarar verdiğini size tam bir güvenle söyleyebilirim” diyor. . Neprash, “Hastane fidye yazılımı saldırısına uğradığında hastaneye kaldırılma talihsizliğini yaşayan bir hastaysanız, kapıdan çıkma olasılığınız azalır” diyor. “Kesinti ne kadar uzun olursa sağlık sonuçları da o kadar kötü olur.”
Fidye yazılımı saldırılarından hemen sonraki saatler ve günlerde, hedeflenen kuruluşa yazılımı bağlı olan şirketlerin hizmetlerini geri çekmesi yaygın bir durumdur. Bu, tıbbi kayıtların bağlantısını kesmekten siber saldırı kurbanına e-posta göndermeyi reddetmeye kadar her şeyi içerebilir. Güvence mektupları denilen yer burasıdır.
Hukukta siber güvenlik ve mahremiyet küresel başkanı Chris Cwalina, “Geçtiğimiz birkaç yılda, ihlaller çok daha ihtilaflı hale geldiğinden, bu mektuplara olan talebin gerçekten arttığını gördük – toplu dava avukatlarının uzlaşma peşinde koşmasından işletmeler arasındaki davalara kadar” diyor Norton Rose Fulbright firması.
Cwalina, güvence mektubu gönderme uygulamasının nerede ve ne zaman başladığından emin olmadığını ancak bunun muhtemelen yasal gereklilikleri veya önlemeye çalıştıkları riskleri yanlış anlayan avukatlar veya güvenlik profesyonelleriyle başladığını söylüyor. Cwalina, “Sistemlerin yeniden bağlanabilmesi için onay talep etmek veya almak için yasal bir gereklilik yok” diyor.
Bu güvence ve tasdik mektupları genellikle olaylara müdahale etmek için görevlendirilen uzman siber güvenlik şirketlerinin desteğiyle derlenmektedir. Neyin yeniden bağlanabileceği ve ne zaman bağlanabileceği, her saldırının spesifik ayrıntılarına bağlı olarak değişecektir.
Ancak karar alma süreçlerinin çoğu riske ya da en azından algılanan riske bağlıdır. Google’ın sahibi olduğu siber güvenlik firması Mandiant’ın baş teknoloji sorumlusu Charles Carmakal, şirketlerin siber suçluların kurban ile sistemleri arasında “yanlamasına” hareket edebileceğinden endişe duyacağını söylüyor. Carmakal, şirketlerin sistemin temiz olduğunu ve saldırganların sistemlerden uzaklaştırıldığını bilmek istediğini söylüyor.
“Güvence sürecinin ardındaki mantığı anlıyorum. Carmakal, “İnsanların iki taraf arasındaki bağlantı düzeyiyle ilişkili riskin ne olduğunu gerçekten dikkate alması gerektiğini söyleyebilirim ve bazen insanlar varsayılan olarak en kısıtlayıcı yolu tercih etme eğiliminde oluyor” diyor. Örneğin, Mandiant’ın solucan fidye yazılımının bir kurbandan diğerine geçtiğini görmesinin nadir olduğunu söylüyor.
Scripps Heath’in CIO’su Thielman, “Satıcılar, bağımsız, dışarıdan siber güvenlik uzmanlarının Scripps teknik ekipleriyle iletişime geçtiğini ve kötü amaçlı yazılımların kontrol altına alındığını ve makul en iyi çabalarla düzeltildiğini doğruladığını bilmek istiyordu” diyor. Fitzpatrick, Ascension için şirketin satıcılarla birebir görüşmeler yaptığını ve güncellemeler sağladığı sekiz web seminerine ev sahipliği yaptığını söylüyor. Ayrıca, saldırganların sistemlerinde bıraktığı izler olan tehlike göstergelerini de sağlık kuruluşları ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile paylaştı.
Üçüncü Taraf Doktrini
Siber suçlular son yıllarda hastanelere ve tıbbi kuruluşlara yönelik saldırılarda daha da küstahlaştı; Bir vakada, Lockbit fidye yazılımı çetesi hastanelere saldırmaya karşı kuralları olduğunu iddia etti ancak 100’den fazla hastaneyi vurdu. Bu tür saldırılar genellikle kamu altyapısına veya tıbbi kuruluşlara hizmet sağlayan özel sektör şirketlerini doğrudan etkiliyor.
“Önümüzdeki yıllardaki tehdit tablosuna makul bir şekilde bakarsanız, kamu hizmetlerinde ve kamu faaliyetlerinde kesintiler yaşanabilir. [cybercrime] Oxford Üniversitesi’nde profesör ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin eski başkanı Ciaran Martin, “özel sektörü etkileyen faaliyetler muhtemelen giderek daha fazla gerçekleşecek bir şey” diyor. Martin, bu durumlarda hükümetlerin özel firmaları belirli şekillerde yanıt vermeye yönlendirme yetkisine sahip olup olmadığı veya buna ihtiyaç duyup duymadığı konusunda soruların olabileceğini öne sürüyor.