Genetik araştırma ekipmanı üreticisi Illumina tarafından üretilen gen dizileyiciler tarafından kullanılan yazılımdaki büyük bir güvenlik açığı, tıbbi cihazlardaki yazılım güvenlik açıklarının tehlikelerine dikkat çekiyor, ancak aynı zamanda mevzuatın tıp alanında siber güvenliği güçlendirmedeki olumlu etkisini de gösteriyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan bir danışma belgesine göre, başlangıçta dahili bir Illumina değerlendirmesi sırasında keşfedilen güvenlik açığı, kimliği doğrulanmamış bir saldırganın sistemden yararlanmasına ve işletim sistemi düzeyinde kod yürütmesine olanak tanıyor. Güvenlik açığı – ve daha az ciddi ikinci bir kusur – saldırganların özellikle tıbbi araştırma tesislerini ve adli tıp laboratuvarlarını hedef alma olasılığını artırıyor.
Bir siber-fiziksel güvenlik sağlayıcısı ve CISA’nın eski bir baş stratejisti olan Claroty’de siber güvenlik stratejisinden sorumlu başkan yardımcısı Josh Corman, tıbbi cihazların siber güvenliği kritik olmakla birlikte, DNA dizileme ve sentez ekipmanlarındaki güvenlik sorunlarının belirli riskler oluşturduğunu söylüyor.
“DNA’ya dokunan her şey – evet, bu bir mahremiyet endişesi – ama aynı zamanda dijital adli tıp veya özel kanser tedavilerini de düşünün, değil mi?” diyor. “Bir suç için kanıtları lekeleyebiliyorsanız, birinin tedavisini bozabiliyorsanız, belirli bir cihaz üreticisi hakkında şüphe uyandırıyorsanız – bu benim için bir bütünlük saldırısıdır, sadece cihazın kullanılabilirliğine saldırmak veya onu kullanmak gibi değil. fidye yazılımı için bir sıçrama noktası.”
Yine de güvenlik açıkları, bağlantılı cihaz üreticilerini genel siber güvenlik duruşlarını iyileştirmeye zorlamak için mevcut yasal ve düzenleyici baskının etkisini de gösteriyor. Aralık ayında, çok amaçlı federal bütçe tasarısı, 29 Mart 2023 itibarıyla tıbbi cihaz üreticilerinin gereksinimlerini değiştirerek bir yazılım malzeme listesi (SBOM) sağlamalarını, pazar sonrası güvenlik açıklarını ve istismarları ele alacak bir planları olmasını ve güvenli bir geliştirme yaşam döngüsü. Biden yönetiminin Ulusal Siber Güvenlik Stratejisi ayrıca daha sıkı siber güvenlik gereksinimleri ve harekete geçmeyenler için potansiyel sorumluluk çağrısında bulunurken, iki partili bir yasa tasarısı – Siber Sağlığı Koruma ve Dönüştürme (PATCH) Yasası – tıbbi cihaz üreticilerinin siber güvenliğe daha fazla odaklanmasını gerektirecek. .
Hem Gıda ve İlaç İdaresi (FDA) hem de CISA, tıbbi cihaz üreticilerini siber güvenliğe odaklamak için daha fazlasını yapıyor. FDA, 27 Nisan’da sağlık hizmeti sağlayıcılarına güvenlik açıkları ve Illumina’nın ürünleri için bir yama yayınladığını ve kullanıcılarına bilgi iletmek için FDA ve CISA ile birlikte çalıştığını bildiren bir mektup yayınladı.
FDA mektubunda “5 Nisan 2023’te Illumina, etkilenen müşterilere aletlerini ve tıbbi cihazlarını güvenlik açığından yararlanma olasılığı olup olmadığını kontrol etmeleri talimatını veren bildirimler gönderdi.” bu siber güvenlik risklerini azaltmak için gerekli eylemlerin farkında olmak.”
Bir Twist ile Siber Güvenlik
Illumina Evrensel Kopya Hizmeti güvenlik açığı, güvenlik açıklarının sağlık hizmetleri üzerindeki etkisinin tıbbi sistemler ve cihazlar üzerinde ne kadar yaygın olabileceğini vurgulamaktadır. CISA’nın 27 Nisan tarihli danışma belgesine göre, bir saldırgan güvenlik açığını (CVE-2023-1966) kullanarak yapılandırmaları ve ayarları değiştirebilir, ek yazılım yükleyebilir ve güvenlik açığı bulunan ürünlerdeki hassas verilere erişebilir. Daha az ciddi ikinci bir güvenlik açığı (CVE-2023-1968), saldırganların sıralayıcıyı bir ağ izleme cihazına dönüştürmesine de olanak tanır.
Bu cihazlara sahip bir kuruluş için bariz tehdit, cihazların bir ağa geçiş noktası olarak kullanılabilmesi ve aynı ağdaki laboratuvar ekipmanlarının ve bilgisayarların ele geçirilmesine izin vermesidir. Bu ekipman genellikle kuruluşların BT güvenlik grupları tarafından yönetilmediğinden, bir saldırganın daha büyük bir etkisi olabilir.
Genişletilmiş saldırı yüzeyi için bir siber güvenlik sağlayıcısı olan Armis’te sağlık hizmetleri için baş çözüm mimarı olan Mohammad Waqas, Ek olarak, bu cihazların hassas DNA verilerini de işlemesi gerçeğine bir farklılık katıyor.
“BT güvenliğine yapılan tarihsel olarak düşük yatırımlar ve veri ve sistemlerin görev açısından kritik doğası nedeniyle sağlık hizmetleri siber saldırılar için kolay bir hedef olarak görülüyor” diyor. “Özellikle genom dizileme cihazları, bilgisayar korsanları için yüksek değerli veriler olan korunan sağlık bilgilerini işler.”
Hem CISA hem de Illumina, kuruluşların herhangi bir istismar kanıtı görmediğini belirtti ve bir Illumina sözcüsü, şirketin güvenlik açığını dahili olarak keşfetmekten bir yama yayınlamaya ve FDA’yı bilgilendirmeye kadar tüm uygun adımları attığını vurguladı.
Bir Illumina sözcüsü Dark Reading’e “Aletlerin internete veya yerel bir ağa bağlı olup olmadığına bakılmaksızın, eylemlerin etkilenen tüm sistemlerde gerçekleştirilmesi tavsiyesiyle birlikte her müşteriye özel talimatlar sağladık” dedi. “Yamanın çok az veya hiç kesinti yaratmamasını sağladık ve tüm süreç boyunca Teknik Destek ekibimize erişim sağladık.”
İnsan “Kodunu” Manipüle Eden Cihaz Riskler Oluşturuyor
Tıbbi cihazlara ve hizmetlere yönelik saldırılar, çoğu fidye yazılımı nedeniyle olmak üzere genel saldırılarda %35’lik bir artışla arttı. Tıbbi cihazların birbirine bağlı olması genellikle saldırıların etkilerini tahmin etmeyi zorlaştırır. Örneğin, radyasyon sağlayıcısı Electa’nın bulut depolama sistemine yapılan bir saldırı, 2021’de en az dört büyük sağlık kuruluşunda görüntüleme ve kanser tedavilerinin kesintiye uğramasına neden oldu.
Claroty’den Corman, herhangi bir tıbbi cihazın siber güvenliği kritik olsa da, insan DNA’sıyla ilgilenen sıralayıcılar ve sentezleyiciler gibi cihazların tehdit modellerine birkaç yeni kırışıklık ekleyebileceğini söylüyor.
“Tıbbi cihaz üreticileri, tehdit modelinin yalnızca Amerika’dan DNA bilgilerini kimin çalabileceği ile ilgili olmadığını, aynı zamanda … sonuçlara ilişkin bütünlük riskleri olduğunu ve kurcalama potansiyeli olduğunu anlamaya başlıyor” diyor. “CRISPR veya DNA dizileme veya mahremiyet hakkında duyduğunuz herhangi bir etik konuşmayı bir düşünün, … ve sonra düşün [if you could] manipule etmek bu cihazlardan çıkan sonuçların bireysel veya geniş alanları.”
Sağlık kuruluşları ve tıbbi cihaz üreticileri, cihazların sağlık sistemini nasıl etkileyebileceğini belirlemek için tehdit modelleme çalışmaları yapmalıdır. CISA tarafından yürütülen bir analize göre, siber saldırılar halihazırda sağlık hizmetleri altyapısı üzerinde aşırı ölümlere yol açan önemli doğrudan strese yol açmıştır.
Ek olarak, Armis’in Gözyaşları diyor ki sağlık kuruluşlarının risklere, varlık görünürlüğüne, ekipler arası işbirliğine ve risk iyileştirmeye odaklanması gerekir.