Yazan: Nissim Ben-Saadon, İnovasyon Direktörü, CYREBRO
Günümüzün dijital çağında sağlık sektörü, hasta bakımını ve operasyonel verimliliği artırmak için Elektronik Sağlık Kayıtları (EHR’ler) gibi dijital sistemlere büyük ölçüde güvenerek, teknolojinin benimsenmesinde ön sıralarda yer almaktadır. Bu hızlı dijitalleşme aynı zamanda sektörün siber tehditlere karşı savunmasızlığını da artırdı; hasta mahremiyeti, veri güvenliği ve genel sağlık hizmeti sunumu açısından önemli riskler oluşturdu.
Sağlık Verilerinin Siber Suçlular Açısından Çekiciliği
Sağlık kuruluşları, hasta kayıtları, tıbbi geçmişler ve finansal bilgiler dahil olmak üzere hassas verilerin bulunduğu hazinelerdir. Bu da onları yetkisiz erişim elde etmek için güvenlik açıklarından yararlanan ve genellikle bu değerli verileri fidye için tutan siber suçlular için ideal hedefler haline getiriyor. Sağlık hizmetlerinde başarılı bir siber saldırının sonuçları, hasta bakımının tehlikeye atılmasından ve itibarın zarar görmesinden mali kayıplara ve yasal yansımalara kadar çok yönlüdür.
2023 yılında sağlık sektörü siber saldırılarda önemli bir artış yaşadı. Yılın başından bu yana ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’ne 327 veri ihlali bildirildi. Fortified Health Security’nin bir raporuna göre bu rakam, 2022 ortası itibarıyla 160 ihlalden %104 daha fazla ve “hiçbir azalma belirtisi göstermiyor”.
Fortra’nın GoAnywhere güvenli dosya aktarım yazılımının Şubat 2023’teki ihlali özellikle ciddiydi ve 5 milyondan fazla sağlık hizmeti kaydını etkiledi. Ek olarak, sağlık ekosisteminde hayati bir rol oynayan sağlık sektörü iş ortakları da giderek daha fazla hedef alınır hale geldi; rapor edilen ihlal sayısı bir önceki yıla göre %273 artışla 22’den 82’ye çıktı.
HIPAA ve GDPR: Henüz Yetersiz Bir Kalkan
Bu risklere karşı koymak için ABD sağlık sektörü, elektronik olarak korunan sağlık bilgilerinin (ePHI) güvenliğini düzenleyen 1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’na (HIPAA) uymaktadır. HIPAA’nın temel bileşenleri arasında Güvenlik Kuralı, Gizlilik Kuralı ve İhlal Bildirim Kuralı yer alır. Avrupa sağlık sektörü, kişisel sağlık verileri için koruma sağlayan GDPR tarafından korunmaktadır.
Bu sıkı düzenlemelere rağmen sağlık sektörü siber saldırılarda artışa tanık oldu. Sağlık hizmetlerinin kritik doğasının yanı sıra birbirine bağlı sistemlere ve IoT cihazlarına bağımlılık, bu kurumları özellikle savunmasız hale getiriyor. Avrupa’da Ekim 2024’te yürürlüğe girecek olan NIS2 Direktifi, bu sorunların çözümüne yardımcı olmak için sağlık kuruluşlarının hasta verilerini siber tehditlerden korumasını zorunlu kılacak. Bu, siber risk yönetimi önlemlerinin uygulanmasını, net bir olay raporlama sürecinin oluşturulmasını ve hasta verilerinin uygun depolama ve işleme uygulamalarıyla güvence altına alınmasını içerir.
Artan Fidye Yazılımı Saldırıları Tehdidi
Özellikle siber suçluların kritik verileri ve sistemleri şifrelediği fidye yazılımı saldırıları, sağlık hizmetlerinde giderek yaygınlaşıyor ve yıkıcı hale geliyor. 2022’de Ponemon Enstitüsü tarafından yapılan bir anket, sağlık hizmeti BT uzmanlarının %45’inin hasta bakımını etkileyen fidye yazılımı saldırıları bildirdiğini ortaya çıkardı. Sağlık sistemlerinin siber tehditlere karşı savunmasızlığının çarpıcı bir örneği, Connecticut, Pensilvanya, Rhode Island ve Güney Kaliforniya’da 16 hastane, 165’ten fazla klinik ve ayakta tedavi merkezi işleten bir sağlık sistemi olan Prospect Medical Holdings’in 2023 yılında bir saldırının kurbanı olmasıyla yaşandı. fidye yazılımı saldırısı. Bu siber saldırı, bazı tesislerin kapatılmasına neden olurken, diğerlerinin de kağıt kayıtlara bağımlı kalmasına neden oldu ve sağlık hizmetleri önemli ölçüde kesintiye uğradı.
Gelişmiş Siber Güvenlik için Proaktif Önlemler
Bu zorluklar göz önüne alındığında, sağlık kuruluşlarının siber güvenlik konusunda proaktif ve kapsamlı bir yaklaşım benimsemesi gerekiyor. Tıbbi teknolojideki büyük ilerlemelere rağmen sınırlı bütçeler ve yeni sistemleri öğrenme konusundaki tereddüt, sağlık sektörünün her yönünün bu gelişmeye ayak uyduramadığı anlamına geliyor. Hastanelerin tüm yazılımları en son sürümle donatmak için sistem güncellemelerini hâlâ yayınlayan teknikleri kullanması kritik öneme sahiptir. Bu önlem, sistemleri makul düzeyde güvende tutar, ancak yazılım “kullanım ömrü sonu” durumuna geçtikçe satıcılar eninde sonunda güncelleme sağlamayı bırakacaktır.
Ekstra güvenlik katmanları eklenerek siber saldırılar daha iyi bir şekilde en aza indirilebilir. Bir sistemin güvenliği ihlal edilirse, çok faktörlü kimlik doğrulama (MFA) çözümü, saldırganın diğer korunan sistemlere giriş yapamaması nedeniyle ağdaki yanal hareketini sınırlamaya yardımcı olabilir. Diğer temel stratejiler arasında eski sistemlerin internet bağlantısının kesilmesi ve Uç Nokta Algılama ve Yanıt (EDR) gibi gelişmiş güvenlik çözümlerinin uygulanması yer alıyor. Ayrıca sağlık hizmeti sağlayıcıları, sistemlerindeki ve ağlarındaki güvenlik açıklarını belirlemek ve gidermek için düzenli risk değerlendirmeleri yapmalıdır. İnsan hatası çoğu zaman güvenlik ihlallerine yol açabileceğinden çalışanların eğitimi ve bilinçlendirme programları da çok önemlidir. Personeli kimlik avı girişimlerini tanıma ve güvenli veri işleme uygulamaları konusunda eğitmek, başarılı bir siber saldırı riskini önemli ölçüde azaltabilir.
Dayanıklı Bir Siber Savunma Altyapısı Oluşturmak
Sağlık kuruluşları, sıkı erişim kontrolleri oluşturarak ve hassas verilere yalnızca yetkili personelin erişmesini sağlayarak siber savunmalarını daha da güçlendirebilir. Güçlü bir parola politikası uygulamak ve bekleyen ve aktarılan veriler için şifreleme kullanmak, hasta bilgilerinin korunmasında önemli adımlardır. Kritik verilerin düzenli olarak yedeklenmesi ve sağlam bir felaket kurtarma planına sahip olunması, bir saldırı durumunda operasyonların sürekliliğini sağlayabilir. Ayrıca siber güvenlik uzmanlarıyla işbirliği yapmak ve en son teknolojiye sahip güvenlik teknolojilerine yatırım yapmak, sağlık kuruluşlarına gelişen siber tehditlerin önünde kalmak için gereken araçları ve öngörüleri sağlayabilir.
Güçlü Siber Savunma için Harekete Geçme Çağrısı
Sağlık sektörü dijital çözümleri benimsemeye devam ettikçe güçlü siber güvenlik önlemlerinin önemi göz ardı edilemez. Sektörün, gelişen tehdit ortamına karşı koruma sağlamak için siber güvenliğe yatırım yapmaya öncelik vermesi gerekiyor. Sağlık kuruluşları kapsamlı güvenlik stratejileri uygulayarak hassas hasta verilerini koruyabilir, operasyonel esneklik sağlayabilir ve hizmet verdikleri kişilerin güvenini koruyabilir. Siber güvenliğe yönelik bu taahhüt, yalnızca mevzuata uygunluk meselesi değil, aynı zamanda dijital çağda güvenli ve güvenilir sağlık hizmeti sunmanın temel bir yönüdür.
yazar hakkında
Nissim, CISO olmak ve özel şirketler, askeri kuruluşlar ve hükümet için DFIR, kötü amaçlı yazılım analizi ve SIEM profesyonel hizmetleri sağlamak da dahil olmak üzere çeşitli siber güvenlik işlevlerinde 10 yılı aşkın deneyime sahiptir. Ayrıca zaman zaman profesyoneller için siber güvenlik kursları oluşturuyor ve öğretiyor. Halen CYREBRO’nun İnovasyon Direktörü olarak görev yapmaktadır. Nissim’e LinkedIn üzerinden https://www.linkedin.com/in/nissim-ben-saadon-0ba173bb/ adresinden ve CYREBRO’dan www.cyrebro.io adresinden ulaşılabilir.