Sağlık hizmetlerinde siber güvenlik hiç bu kadar acil olmamıştı. Siber suçlular için en savunmasız sektör ve en büyük hedef olarak sağlık hizmetleri giderek artan bir siber saldırı dalgasıyla karşı karşıya. Bir hastanenin sistemleri fidye yazılımları tarafından rehin tutulduğunda, risk altında olan yalnızca veriler değil, hayat kurtarıcı tedavilere bağımlı hastaların bakımıdır. Acil bakımın durdurulmasına, ameliyatların ertelenmesine veya bir kanser hastasının özel sağlık bilgilerinin gasp için kullanılmasına neden olan bir saldırıyı hayal edin. Siber suçlular bakıma ihtiyaç duyan insanları sömürdükçe sağlık hizmetlerinin karşı karşıya kaldığı gerçeklik budur. Sağlık hizmetleri, 2012’den bu yana tüm ihlal olaylarının %17,8’ini ve yıkıcı fidye yazılımı olaylarının %18,2’sini oluşturdu1Finans, hükümet ve eğitim gibi diğer sektörleri geride bırakarak.
Saldırılardaki bu endişe verici artış bir şeyi açıkça ortaya koyuyor: zayıf siber güvenlik hijyeni temel nedendir ve bu güvenlik açıklarını gidermemenin sonuçları yıkıcıdır. Yazılım yamalama ve ağ güvenliğini sağlama gibi temel siber güvenlik uygulamalarını ihmal eden kuruluşlar, sistemlerini kötü niyetli aktörlere açık bırakıyor. Daha da önemlisi, riskler yalnızca teorik değil; gerçek dünyada zarara yol açan sık ihlallerde kendini gösteriyor.
Sağlık sektörünün zayıf noktaları
Birçok sektör siber saldırılardan mali ve itibarsal zarar görürken, sağlık sektörü çok daha büyük bir riskle karşı karşıyadır. Bilgisayar korsanları yalnızca verileri veya sistemleri hedef almadıklarını biliyorlar; ellerinde çok daha değerli bir şey tutuyorlar: hayatın kendisi. Sağlık sektörü, siber suçlular için birkaç nedenden ötürü benzersiz bir şekilde savunmasız bir hedeftir. İlk olarak, sektörün hasta kayıtlarından hayat kurtarıcı cihazlara kadar her şeyi destekleyen birbirine bağlı sistemlere olan bağımlılığı geniş bir saldırı yüzeyi yaratır. Ek olarak, sağlık sistemleri genellikle hassas kişisel bilgiler içerir ve bu da onları gasp ve veri hırsızlığı için çekici hedefler haline getirir.
Bir örnek olarak, Ekim 2024’teki CommonSpirit Health fidye yazılımı saldırısı1 hastanelerin tıbbi prosedürleri geciktirmek ve acil bakımı yeniden yönlendirmek zorunda kalmasıyla sonuçlandı ve bu da hasta güvenliğini önemli ölçüde etkiledi. Bir diğer endişe verici vaka ise Kasım 2024’te Fred Hutchinson Kanser Merkezi’nin ihlaliydi; suçlular, hastaları özel sağlık bilgilerini ifşa etmekle tehdit ederek gasp ettiler.
Sağlık sistemlerindeki zafiyetler, siber güvenlik hijyeninin yetersiz olması nedeniyle daha da kötüleşiyor.
Hijyen ve ihlal olayları arasındaki ilişkiyi anlamak
2016 ile 2023 yılları arasında gerçekleşen 1.454 yıkıcı fidye yazılımı olayının kapsamlı analizi2 zayıf siber güvenlik hijyeni ile saldırı sıklığı arasındaki bağlantıya dair önemli içgörüler sunar. Bulgular, D veya F olarak derecelendirilen kuruluşların A derecesine sahip olanlara kıyasla 35 kat daha fazla yıkıcı fidye yazılımı olayına sahip olduğunu göstermektedir. Bu çarpıcı karşıtlık, güçlü siber güvenlik uygulamalarını sürdürmenin önemini vurgular.
Suçlular, yama uygulanmamış yazılım, güvenli olmayan ağ hizmetleri ve şifrelenmemiş web iletişimleri gibi temel alanlardaki güvenlik açıklarına sahip sistemleri hedef alır. Bu zayıflıklar, saldırganlar için kolay giriş noktaları sağlayarak kritik sistemleri tehlikeye atmalarına ve nihayetinde fidye yazılımlarıyla kuruluşları rehin tutmalarına olanak tanır.
İyi siber güvenlik hijyenine sahip kuruluşların (düzenli olarak güvenlik açıklarını kapatan, ağlarını güvence altına alan ve hassas iletişimleri şifreleyen kuruluşların) ihlallerle karşılaşma olasılığı çok daha düşüktür. Ancak birçok sağlık kuruluşu bu standartları korumada başarısız oluyor ve bu da onları saldırganlar için birincil hedef haline getiriyor.
Zayıf siber güvenlik hijyeninin sonuçları
Hasta güvenliğinin sağlık sistemlerinin kullanılabilirliğine bağlı olduğu bir ortamda, zayıf siber güvenliğin sonuçları yaşamı tehdit edici olabilir. Sistemleri şifreleyen ve işlemleri devre dışı bırakan yıkıcı fidye yazılımı olayları önemli riskler oluşturur. Hastaneler için, kesinti süresi kritik bakım hizmetlerine güvenen hastalar için yaşam ile ölüm arasındaki fark anlamına gelebilir.
Veriler, temel siber güvenlik uygulamalarını ihmal etmenin sonuçlarını vurgulamaktadır. Mastercard’a göre, D veya F derecelendirmesine sahip sağlık kuruluşları, A derecesine sahip kuruluşlara göre 16,6 kat daha fazla ihlal olayına maruz kalmaktadır1Bu kuruluşlar yalnızca kendilerini daha sık saldırılara maruz bırakmakla kalmıyor, aynı zamanda kritik zamanlarda bakım sağlayamama gibi daha ciddi sonuçlarla da karşı karşıya kalıyorlar.
Sağlık sektörü siber güvenlik hijyenini nasıl iyileştirebilir?
Sağlık hizmetlerinde siber güvenlik hijyenini iyileştirmek yalnızca saldırılara yanıt vermekle ilgili değildir; istismar edilmeden önce güvenlik açıklarını proaktif bir şekilde ele almakla ilgilidir. Sağlık hizmetleri kuruluşlarının benimseyebileceği temel stratejiler şunlardır:
1. Sürekli izleme
Siber güvenlik hijyeni sürekli olarak izlenmelidir. Kuruluşlar, güvenlik açıklarını belirlemek ve düzeltmeleri derhal uygulamak için sistemlerinde düzenli denetimler yapmalıdır. Bu, sağlık sistemleri genellikle güvenlik hijyeni gerekli standartları karşılamayabilecek harici tedarikçilerle entegre olduğundan üçüncü taraf risklerini izlemeyi içerir. Dijital/internet bağlantısı aracılığıyla bir sağlık sistemine bağlı olan herhangi bir üçüncü taraf tedarikçi risk oluşturur ve değerlendirilmelidir.
2. 7/24 güvenlik operasyonları
Fidye yazılımlarının hafta sonları ve tatiller de dahil olmak üzere her an patlak vermesi nedeniyle, sağlık kuruluşlarının 7/24 güvenlik operasyonlarını sürdürmesi kritik önem taşıyor2Aslında, fidye yazılımı saldırılarının %46’sı Cuma’dan Pazar’a kadar gerçekleşiyor2birçok kuruluşun siber güvenlik personelini azalttığı bir dönem. Ulusal bayramlar da bilgisayar korsanları için bir diğer favoridir ve personel sayısını azaltmak yerine, personel sayısını artırmak daha ihtiyatlıdır.
3. Üçüncü taraf risk yönetimi
Sağlık hizmetlerinin birbirine bağlı yapısı göz önüne alındığında, üçüncü taraf tedarikçiler genellikle bir güvenlik açığı noktasıdır. Siber suçlular, daha zayıf siber güvenlik savunmalarına sahip olabilecek tedarikçileri, ortakları ve diğer üçüncü taraf kuruluşları hedef alır. Sağlık kuruluşları, tedarikçilerinin siber güvenlik hijyenini incelemeli, yüksek koruma standartlarını karşıladıklarından emin olmalı ve potansiyel güvenlik açıkları açısından sürekli olarak izlemelidir.
Üçüncü taraf sağlayıcılara bağlı tedarikçiler de değerlendirilmelidir. Bu çok fazla iş gibi görünse de, doğru çözüm tüm tehditleri bir araya toplamak yerine kritik sorunları belirleyerek riskleri önceliklendirebilir. Raporlamanın doğruluğu önemlidir ve risk değerlendirmelerini ve eylem planlarını tedarikçilerle kolayca paylaşarak riskler üzerinde etkili bir şekilde hareket etmek esastır.
4. Düzenli yama ve şifreleme
Yazılımları güncel tutmak siber güvenlikte temel ancak kritik bir uygulamadır. Sağlık kuruluşları yazılım açıklarını yamalamayı ve saldırganlar tarafından sıklıkla istismar edilen Uzak Masaüstü Protokolü (RDP) gibi ağ hizmetlerini güvence altına almayı önceliklendirmelidir. Dahası, hassas verilerin güvenli, şifreli kanallar üzerinden iletilmesini sağlamak yetkisiz erişimi önlemek için hayati önem taşır.
5. Olay müdahalesi ve kurtarma planlaması
Hazırlık anahtardır. Sağlık kuruluşlarının düzenli olarak uygulanan ve güncellenen iyi geliştirilmiş olay müdahale planlarına sahip olması gerekir. Bu, bir fidye yazılımı saldırısı durumunda kritik verilerin ve sistemlerin hızla geri yüklenebilmesini sağlamak için yedekleme stratejilerini içerir. Bu sistemlerin yerinde olması operasyonel kesinti süresini en aza indirir ve bir siber saldırının potansiyel etkisini azaltır.
Vaka çalışması: Mastercard Cybersecurity’nin RiskRecon TPRM çözümü nasıl fark yaratıyor?
Mastercard’ın RiskRecon TPRM çözümü, sağlık sektörü de dahil olmak üzere sektörler genelinde siber güvenlik hijyenini iyileştirmede önemli bir rol oynuyor. Üçüncü taraf risklerinin sürekli izlenmesi ve ayrıntılı değerlendirmeleri yoluyla RiskRecon, sağlık kuruluşlarına güvenlik duruşlarını iyileştirmek ve riskleri azaltmak için ihtiyaç duydukları içgörüleri sağlıyor.
RiskRecon, yazılım düzeltme, ağ filtreleme ve web şifrelemesi dahil olmak üzere birden fazla alanda A’dan F’ye kadar siber güvenlik hijyen derecelendirmeleri atayarak kuruluşların güvenlik açıklarını belirlemelerine ve iyileştirme alanlarına öncelik vermelerine yardımcı olur. Bu proaktif yaklaşım, bir ihlal veya yıkıcı fidye yazılımı olayı yaşama olasılığını önemli ölçüde azaltır.
Ayrıca RiskRecon platformu, sağlık kuruluşlarının güvenlik performanslarını sektördeki benzerleriyle kıyaslamalarına, sürekli iyileştirme ve hesap verebilirliği teşvik etmelerine olanak tanır.
Mastercard’ın dijital ekosisteme ilişkin benzersiz anlayışı sayesinde her yıl 143 milyar işlem gerçekleştiriliyor ve şirket, dijital ortamların değerlendirilmesi ve korunmasında olağanüstü bir doğruluk sunuyor.
Önümüzdeki yol: Sağlık hizmetlerinde siber güvenliğin güçlendirilmesi
Sağlık sektörüne yönelik artan siber saldırı tehdidi acil, koordineli bir yanıt gerektiriyor. Kuruluşlar harekete geçmeden önce bir saldırıyı bekleyemezler; siber güvenlik hijyeni konusunda proaktif bir duruş benimsemelidirler.
Görev göz korkutucu görünse de, Mastercard’ın araştırmasından elde edilen veriler, iyi siber güvenlik hijyeninin başarılı bir saldırı olasılığını önemli ölçüde azalttığını açıkça ortaya koyuyor. Sağlık kuruluşlarının sistemlerini güvence altına almak ve kesintisiz bir şekilde temel bakımı sağlamaya devam edebilmelerini sağlamak için doğru araçlara, uygulamalara ve ortaklıklara yatırım yapmaları gerekiyor.
Mastercard’ın RiskRecon’u, sağlık kuruluşlarının siber güvenlik duruşlarını iyileştirmek ve hastalarını korumak için ihtiyaç duydukları çözümleri sunar. Gerçek zamanlı değerlendirmelerden ve ayrıntılı siber güvenlik hijyen derecelendirmelerinden yararlanarak RiskRecon, sağlık kuruluşlarının ve tedarikçilerinin riskleri azaltmalarına ve fidye yazılımı saldırılarını önlemelerine yardımcı olur.
Kuruluşunuzun kendini fidye yazılımlarından nasıl koruyabileceği hakkında daha fazla bilgi edinmek için tam fidye yazılımı raporunu indirin veya Mastercard Cybersecurity hizmetleri hakkında daha fazla bilgi edinmek için bir demo talep edin.
-
“Sağlık Sektörünün Siber Güvenlik Hijyeni – Performans iyileştirme için zorunlu kıyaslama için bir örnek” 16 Ocak 2024
- “Fidye yazılımının 2024 durumu” Nisan 2024