Kamu ve sağlık sektörlerindeki siber güvenlik, siber saldırılar giderek daha sofistike ve sık hale geldikçe artan bir endişe kaynağıdır. Bununla birlikte, daha sağlam ve esnek sistemler sunmak için mevcut birçok güvenlik açıklaması kolayca ele alınabilir. Tamamen desteklenen ve yamalı bir uygulama çalışma süresinin seçilmesi, kullanılabilecek olası güvenlik açıklarını ortadan kaldırır. Bu, sağlık ve kamu altyapıları için güvenlik korumalarını güçlendirir. Kuruluşlar böylece itibarlarını ve maliyet etkinliklerini artırırken işlerini, hastalarını ve vatandaşlarını koruyabilir.
Payara platformunun arkasındaki mühendislik ekibi, küresel olarak kamu ve sağlık sistemleri üzerindeki siber saldırılar olaylarını, özellikle son kullanıcıları sağlam bir çözümle desteklemek için kritik uygulama altyapısının nasıl korunacağına odaklanıyor. Mevcut eğilimler, sağlık ve kamu kurumlarının sistemlerine yönelik veri ihlali ve siber güvenlik saldırılarının sayısının arttığını göstermektedir. Özellikle, İnternet Güvenliği Merkezi, 023’te kötü amaçlı yazılım saldırılarının bir önceki yıla göre% 148 arttığını buldu. Rapora göre, 2023 ayrıca veri ihlalleri, yetkisiz erişim ve içeriden gelen tehditler gibi uç nokta güvenlik hizmetleri olaylarında% 313’lük bir artış gördü.[1]
Bu sorunlar ne zaman meydana geldiğinde, bir dizi sorun gerçekleşir. Sağlık hizmeti sağlayıcıları için, hastaların yaşamlarından ödün vererek bakım teslimi ertelenebilir. Eyalet ve yerel kamu ofisleri söz konusu olduğunda, bu tür konular vatandaş gizliliğini tehdit edebilir, hükümet işlevlerini bozabilir, yönetişime olan güveni zayıflatabilir.
Her iki durumda da veri güvenliği etkilenir ve kuruluşlar öngörülemeyen giderlere maruz kalır. Veri ihlalleri için kamu sektörü masrafları nispeten düşük olmakla birlikte, olay başına 2,60 milyon ABD Doları olarak sağlık hizmetleri tüm endüstrilerin en yüksek maliyetlerini bildirmiştir. Bir sağlık hizmeti veri ihlalini ele almak için ortalama harcamaların 10,93 milyon ABD Doları olduğu tahmin edilmektedir ve bu rakam son üç yılda% 53,3’lük artmaktadır. [3]
ABD hükümetinin Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA), sağlık hizmetlerindeki güvenlik ihlallerinin nedenlerini ve maliyetlerini bildirmiştir. Ayrıca, sağlık sistemlerinin neden özellikle siber tehditlere maruz kaldığına dair bir fikir sundu.
Şöyle diyor: “Sağlık endüstrisi, giderek daha sofistike siber saldırılarla başa çıkmak için mücadele ediyor, ancak birçok olayda siber tehdit aktörleri, bilgisayar korsanları tarafından bulunmadan ve sömürülmeden çok önce tanımlanması ve ele alınması gereken güvenlik açıklarından yararlandı. Birçok sağlık kuruluşu temel güvenlik önlemlerinde başarısız olmaktadır ve bütçe baskıları, yetenekli BT güvenlik profesyonellerinin işe alınması ve elde edilmesi zorlukları ve siber tehditlere dayanıklılığı artırmak için atılması gereken en etkili adımlar hakkında karışıklıktan dolayı siber güvenlik en iyi uygulamalarına sürekli olarak bağlı değildir. ” [2]
Benzer şekilde, Amerika Birleşik Devletleri’nin ülkesi, yerel, kabile ve bölgesel (SLTT) hükümetleri söz konusu olduğunda, “SLTT kuruluşları bir dizi siber güvenlik faaliyeti gerçekleştirmediğini veya sadece gayri resmi veya kısmi bir şekilde yaptığını bildirdi”, Ülke çapında Siber Güvenlik İncelemesi: 2022 Özet Rapor. [1]
Siber esnekliği sağlamak için son teknoloji teknoloji
Kamu ve sağlık sistemleri üzerindeki siber saldırılar, sadece eyalet ve yerel yönetimler, kamu ofisleri, tıbbi güvenler, hastaneler, klinik ve hasta verilerinin değerli hedefler sağladığı ve fidye talepleri karşılanması durumunda kazançlı olabileceği için gerçekleşir. Ayrıca, sağlık hizmeti sağlayıcıları ve hükümet organları genellikle bilgisayar korsanları tarafından siber saldırılar için kolay bir hedef olarak görülür, çünkü sistem altyapılarındaki bir dizi güvenlik açıkından yararlanabilirler. Örneğin, uygulama çalışma zamanlarına bakarken, bu sektörlerdeki bir dizi üretim sistemi genellikle miras, desteklenmeyen veya modası geçmiş çözümlere güvenir. Tipik bir örnek, Glassfish Projesi’nde üretim sistemleri veya ticari destek eksikliği olan ve kritik iş uygulamaları ve üretim ortamları için tasarlanmayan açık kaynak teknolojileri olan şirketlerdir.
Aslında, hiçbiri güvenlik açıklarını azaltabilecek yüksek düzeyde koruma sunmaz. Bu, geniş bir saldırı yüzeyi ve bu tür güvenlik açıklarının kötü niyetli aktörler tarafından kullanılması için fırsat bırakır.
Mevcut durum korkunç görünse de, sağlık kuruluşlarının ve kamu kurumlarının uygulama sunucularının ve dijital sistemlerinin güvenliğini ve düzenleyici uyumunu artırmak için zaten yararlanabileceği bir dizi mevcut çözüm vardır. İlk olarak, şirketler ticari olarak desteklenen ve güncel bir uygulama çalışma zamanına geçmelidir.
İdeal çözüm, gelişmiş şifreleme, kimlik doğrulama, yetkilendirme, doğrulama, segmentasyon ve bölümlendirmeyi destekleyen çeşitli araçlar sunmalıdır. Buna ek olarak, kullanıcılara ve kamu güvenlik veritabanlarına ortak güvenlik açıkları ve maruziyetleri (CVE) olarak kritik güvenlik açıklarına sahip güvenlik raporları hızlı bir şekilde vermeli ve ilgili kamu açıklamalarını yapmalıdır. Bu faaliyetler, istismarları hızlı bir şekilde tanımlamaya ve ele almaya yardımcı olur.
Güvenlik odaklı bir uzmanla ortaklık
Bir uygulama sunucusu sağlayıcısı ve destek ekibi ile sağlam bir ilişki kurarak, sağlık kuruluşları ve hükümet organları, sistemlerini, verilerini, vatandaşlarını ve hastalarını gelişen tehdit manzarasına karşı daha iyi koruyabilir. Dahası, böyle bir ortaklık, uygulama sunucusu taşıma işlemini kolaylaştırmaya yardımcı olabilir, yazılım uygulamalarının performansını ve etkinliğini sağlarken ilişkili süreyi, maliyeti ve kaynakları azaltır.
Uygun bir satıcı ararken, güçlü bir güvenlik politikası olan ve ürünleri için sık güvenlik düzeltmeleri ve yükseltmeleri yayınlayan bir sağlayıcıyı tercih etmek önemlidir. Örneğin, Payara Platformu Enterprise aylık sürümlerden yararlanır. Buna ek olarak, siber esnekliğe katkıda bulunurken temel standartlara ve spesifikasyonlara bağlı bir uzmanla ortaklık yapmak son derece faydalıdır.
Son olarak, kapsamlı bir hizmet düzeyi sözleşmesi (SLA) yoluyla sistemleri ve işletmelerin korunması, kesinti süresini ve ilişkili maliyetlerini en aza indirmenin anahtarıdır. Bu anlaşma sadece her iki tarafın sorumluluklarını ve beklentilerini de özetlemekle kalmaz, aynı zamanda düzenli bakım, olay yönetimi ve uyumsuzluk cezaları için hükümler içerir. Bu yönergeleri belirleyerek kuruluşlar sürekli çalışma sağlayabilir, riskleri azaltabilir ve hastaların güvenliğini koruyabilir.
Payara’da, kuruluşların tamamen desteklenen Jakarta EE Runtimes’imiz aracılığıyla dünya standartlarında başvurular sunmalarına yardımcı olmaya adadık. Birden fazla kullanıcı tarafından erişilen uygulama kaynaklarını korumak için tasarlanmış standart tabanlı API’ler ve gelişmiş güvenlik araçları sunuyoruz ve İnternet gibi korunmasız ağlarda seyahat eden veri. Buna ek olarak, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Federal Bilgi İşleme Standartları (FIP’ler) ile uyumlu ve Açık Web Uygulama Güvenliği Projesi (OWASP) tarafından belirlenen yönergelere uyuyoruz. Payara aynı zamanda Eclipse Vakfı’nın kurumsal Java yazılım geliştirme endüstrisinin AB Siber Esnek Yasası’nda (CRA) özetlenenler gibi düzenleyici gereksinimleri karşılamasını sağlayan spesifikasyonların geliştirilmesine yardımcı olmak için Açık Düzenleyici Uyum Çalışma Grubunun bir parçasıdır.
Son olarak, güvenlik sorunlarının şeffaflığı ve hızlı çözümü bizim için çok önemlidir. CVES’i Miter Corporation’a ve diğer kamu güvenlik veritabanlarına rapor ediyoruz. Ayrıca, bir CVE numaralandırma otoritesi (CNA) olarak, CVE endeksinde yayınlanan bilgilerin kontrol edilmesine yardımcı olarak, güvenlik güvenlik açıklarının hızlı tanımlanmasını, çözülmesini ve şeffaf iletişimini sağlıyoruz.
Referanslar
[1] Multi-State Bilgi Paylaşımı ve Analizi Center® (MS-ISAC®), Seçim Altyapı Bilgi Paylaşımı ve Analizi Center® (EI-ISAC®). (2023). Ülke çapında Siber Güvenlik İncelemesi: 2022 Özet Rapor. Mevcut: https://learn.cisecurity.org/ncsr-2022-summary-report [Accessed: 24 July 2024].
[2] Alder, S. (2024). Sağlık hizmetlerinde güvenlik ihlalleri. Hipaa Dergisi. Mevcut: https://www.hipaajournal.com/security-breaches-in-healthcare/ [Accessed: 19 July 2024].
[3] IBM. (2023). Bir Veri İhlali Raporunun Maliyeti 2023. Https://www.ibm.com/reports/data-breach [Accessed: 24 July 2024].
Yazarlar hakkında
Louise Castens, Payara’da kıdemli bir ürün yöneticisi ve ürün lideridir ve son kullanıcılara değer veren teknoloji çözümlerini şekillendirmeye yardımcı olmaya kararlıdır. Louise, ürün yönetiminde 15 yıldan fazla deneyime sahiptir – fırsatları belirlemek, kalite çözümleri sunmak, sürekli sonuçlar ve işletmeler ve müşteriler için çok çeşitli B2B ve SaaS ürünleri ve endüstrileri. İş geçmişi ile bazı uzmanlık alanları ve sertifikaları arasında çevik çerçeveler, iş analizi ve süreç optimizasyonu bulunmaktadır. Louise’e çevrimiçi olarak ulaşılabilir: [email protected] ve şirket web sitemizde www.payara.fish.
Chiara Civardi, endüstriyel otomasyon ve ağ teknolojisinden geliştirici araçlarına, bulut ve kenar hesaplamasına ve yapay zekaya kadar teknolojik herhangi bir şey üzerinde içerik üretme konusunda 10 yılı aşkın deneyime sahip bir pazarlama koordinatörüdür. Teknik olarak doğru ve ilgi çekici bilgileri paylaşma tutkusu var. Chiara, Eth Zürih’ten doktora ve Southampton Üniversitesi’nden bir MSC’ye sahiptir. Chiara’ya çevrimiçi olarak ulaşılabilir. [email protected] ve şirket web sitemizde www.payara.fish.