ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından sağlık ve kamu sağlığı (HPH) sektörüne yönelik 25 sayfalık bir azaltma kılavuzu yayımlandı. CISA Sağlık Sektörü Kılavuzu, sağlık sektöründeki yaygın siber tehditlerle mücadeleye yardımcı olmayı amaçlamaktadır.
CISA kılavuzu, CISA tarafından 19 Temmuz 2023’te yayınlanan HPH Siber Risk Özeti’nin ek bir tamamlayıcısıdır.
CISA Sağlık Sektörü Rehberi
Kılavuz, CISA’nın Sektörler Arası Siber Güvenlik Performans Hedeflerini (CPG’ler), Sağlık ve İnsani Hizmetler Bakanlığı (HHS) ile ortaklaşa yayınlanan 405(d) Sağlık Endüstrisi Siber Güvenlik Uygulamaları (HCIP): Tehditleri Yönetmek ve Hastaları Koruma kılavuzuyla eşleştirmektedir. Sağlık Sektörü Koordinasyon Konseyi (HSCC).
CISA, Sağlık ve Kamu Sağlığı sektöründe, tehdit aktörlerinin bunlardan yararlanmadan önce üzerinde çalışılması gereken kusurlar ve güvenli olmayan kurulumlar buldu.
Web uygulaması güvenlik açıkları, şifreleme kusurları, desteklenmeyen yazılımlar ve Windows işletim sistemleri, istismar edildiği bilinen güvenlik açıkları ve güvenli olmayan hizmetler, HPH endüstrisindeki en yaygın güvenlik açıklarıdır.
Bu kusurlar sıklıkla veri ihlallerine neden olur ve sıklıkla fidye yazılımı, kimlik avı ve hizmet reddi saldırılarında kullanılır.
25 sayfalık CISA Sağlık Sektörü Kılavuzu, siber güvenlikle ilgili en iyi uygulamaları ve varlık, kimlik ve cihaz güvenliği yönetiminin yanı sıra güvenlik açığı, yama ve yapılandırma yönetimine yönelik öneriler içerir. Aynı zamanda en yaygın saldırı vektörlerine karşı savunmayı güçlendirmek için üç hafifletme stratejisinin ana hatlarını çiziyor.
Şirket ağındaki kaynakları anlamak siber güvenlik açısından önemlidir. Her varlığın; işlevleri, ilişkileri ve bağımlılıklarının yanı sıra neyi açığa çıkardığı, yazılım ve bellenim üzerinde ne çalıştırdığı vb. ile birlikte anlaşılması gerekir.
Sağlık kuruluşları, bir varlık envanteri oluşturduktan sonra tüm varlıkları korumaya, yanal hareket olasılığını azaltmak için ağları bölümlere ayırmaya ve varlıkları yasa dışı erişimden korumak için güvenlik duvarları ve askerden arındırılmış bölgeleri (DMZ’ler) kullanmaya odaklanabilir.
CISA Sağlık Sektörü Kılavuzu ayrıca varlık güvenliğinin azaltılması, ağ bölümlendirmesi ve hassas ve istismar edilebilir hizmetlerin korunmasına yönelik öneriler içerir.
Sağlık ve Halk Sağlığı sektörü şirket içi sistemlere geçiş yapmaya devam ederken, cihazların ve dijital hesapların uygun şekilde güvence altına alınmasını sağlamak için etkili kimlik yönetimi ve cihaz güvenliği politikaları hayati öneme sahiptir.
CISA Sağlık Sektörü Kılavuzu, şifre düzenlemeleri, erişim kontrolü, e-posta güvenliği ve kimlik avının önlenmesi, veri koruma ve kayıp önleme teknikleri ve yasa dışı erişimin kaydedilmesi ve izlenmesi gibi bir dizi odak alanı önermektedir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.