Elektronik Sağlık Kayıtları , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
EHR’ler Neden Bu Kadar Savunmasız ve Kuruluşlar Onları Koruma Konusunda Nasıl Daha İyi Hale Gelebilir?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
19 Şubat 2024
Bir hastane veya klinik bir fidye yazılımı veya başka bir siber saldırıya maruz kaldığında, genellikle elektronik sağlık kayıt sistemlerinin kazanamayacağı anlaşılıyor. EHR sistemi saldırının ana hedefi olmasa bile, mağdur organizasyonun olaya müdahale etmesi nedeniyle sıklıkla devre dışı bırakılır.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Bu ayın başlarında Chicago Ann & Robert H. Lurie Çocuk Hastanesi’nde meydana gelen bir saldırı, pediatrik tıp merkezini, e-posta, telefon ve elektronik sağlık kayıtları da dahil olmak üzere birçok BT ve iletişim sistemini birkaç hafta boyunca çevrimdışı duruma getirmeye zorladı (bkz: Chicago Çocuk Hastanesinde Sistemler ve Telefonlar Hala Çevrimdışı).
Bu durumlar, kuruluşların bu kritik BT sistemlerinin güvenliğini, gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlama misyonlarında önemli zorluklara neden olabilir; bunların tümü güvenli ve zamanında hasta bakımı sağlanmasının temelini oluşturur.
Güvenlik ve gizlilik ortağı ve baş danışmanı Wendell Bobst, “EHR sistemleri siber saldırılar için cazip hedeflerdir. Erişim veya bir uzlaşma sağlandığında, EHR’ler veri bakımından zengindir ve klinisyenlerin operasyonel bağımlılığı nedeniyle fidye için büyük ölçüde kullanılabilir” dedi. danışmanlık tw-Güvenlik.
Siber suçlular hastanelere saldırdığında, hasta verilerinin riske atılması riskinin yanı sıra hızlı, verimli ve kaliteli hasta bakımı sağlama yeteneği de ciddi şekilde engellenir. Vermont’taki North Country Hastanesi’nin eski CIO’su ve CISO’su olan ve şu anda Fortified Health Security güvenlik firmasında kıdemli sanal bilgi güvenliği görevlisi olan Kate Pierce, “Öyleyse söz konusu olan hastaların hayatlarıdır” dedi.
Erişim Yönetimi Karmaşıklığı
Pierce, EHR sistemlerinin güvenliğinin çok karmaşık olabilmesinin zorlukları daha da artırdığını söyledi. “Birçok modül söz konusu ve farklı erişim seviyeleri genellikle kuruluş içindeki çok çeşitli rollere bağlı.”
“Erişimi yönetmek zaman alıcı olabilir ve doğru yapılmazsa hasta bakımında gecikmelere neden olabilir. Sağlık sistemleri sürekli olarak en az ayrıcalıklı erişimi sağlamaya adanmış değilse, dış ve iç tehditlerden kaynaklanan ihlal riski artabilir” dedi.
Uygulama Güvenlik Açıkları
Bobst, EHR sistemlerinin karmaşıklığı ve kritikliğinin, bu sistemleri riske sokan güvenlik açıklarının giderilmesinde de engeller oluşturduğunu söyledi.
“Bu gerilim, ek işlevsellik talebinin, istismar fırsatlarını önlemek için gereken test gereksinimleriyle çatışabileceği için mevcut” dedi. “Kod tabanı büyümeye devam ettikçe, EHR tedarikçilerinin bunu yönetmesi giderek daha zor hale geliyor. Son olarak, EHR kesinti süresi – güvenlik açıklarını düzeltmek için bile olsa – klinisyenler tarafından küçümseniyor ve bu da güncellemeleri ve kritik yamaları geciktirebilir.
MFA Benimseme Engelleri
Bobst, EHR sisteminin çok kritik olması nedeniyle, uzaktan erişim için çok faktörlü kimlik doğrulama gibi daha güçlü erişim kontrolleri ve daha sağlam günlük kaydı ve denetim dahil olmak üzere daha sıkı bir güvenlikle yönetilmesi gerektiğini söyledi.
Ancak bu her zaman gerçekleşmez.
Pierce, “Satıcılar ve sağlık sistemleri de dahil olmak üzere bazı kuruluşlar, yetkisiz erişimi önlemenin anahtarı olan web tabanlı EHR sistemleri için uzaktan erişim için MFA’ya ihtiyaç duymakta yavaş davrandı” dedi. Sebeplerin arasında personelin ekstra adım atma konusundaki direnci, seçenekleri sunmanın karmaşıklığı ve bu kontrolleri uygulamanın maliyeti yer alıyor dedi.
Pierce, “EHR’de yer alan veriler siber suçluların birincil hedefidir” dedi. Bir saldırgan bir kuruluşun ağına girdiğinde, veri merkezinde bulunan EHR sistemlerinin tehlikeye atılma olasılığı, ortamdaki diğer tüm bilgi sistemlerinden daha fazla olmayabilir” dedi.
Bir Ölüm-Kalım Meselesi
EHR’ler de dahil olmak üzere kritik BT sistemlerini bozan saldırıları içeren güvenlik ve diğer ciddi sorunlar, araştırma, düzenleme ve kanun yapma da dahil olmak üzere birçok alanda dikkat çekiyor.
Minnesota Üniversitesi tarafından Ekim 2023’te yapılan bir araştırma, saldırı sırasında hastanede bulunan hastalarda hastane içi ölüm oranlarının ortalama %33 ila %55 arasında arttığını ortaya çıkardı. Bu oranlar kesinlikle EHR’lerin çevrimdışı olmasının etkisine atfedilmemektedir. Görüntüleme sistemlerinin ve diğer kritik klinik BT’nin kapatılması da bir faktördür.
Hastane EHR kesintisinin etkisi, saldırılan kuruluşla sınırlı değildir. Pierce, durumun bölgedeki diğer tıbbi sağlayıcıları da etkilediğini söyledi.
“Siber bir olay sırasında hastaneler, hasta bakımını yönetmekte zorlandıkları için hastaları genellikle yakındaki tesislere yönlendirmeyi tercih ediyor. Ancak genellikle bu bakımla ilgili güvenli, bilinçli kararlar vermek için gereken temel bilgilerden yoksunlar” dedi. Hastalar bir siber saldırı nedeniyle başka yöne yönlendirildiğinde, bu diğer tesislerin acil servisleri genellikle hızla doluyor.
Düzenleyiciler, klinik ve diğer BT sistemlerini büyük ölçüde etkileyebilecek fidye yazılımlarının ve diğer saldırı türlerinin kurbanı olmayı daha iyi önlemek için sağlık sektörü kuruluşlarını siber güvenlik uygulamalarını ve kontrollerini artırmaya zorluyor.
Sağlık sektörü siber güvenliğini iyileştirmek için Sağlık ve İnsani Hizmetler Bakanlığı’nın gelişen stratejisinin yanı sıra son aylarda sağlık sektörü siber sorunlarını ele alan çeşitli iki partili yasa tasarılarının takip edilmesini tavsiye ediyorlar.
Katmanlı Güvenlik Stratejisi
Politika ve hükümet politikalarının yanı sıra kuruluşlar, EHR’lerini güvenlik risklerinden daha iyi korumak için önlemler alabilir ve almalıdır.
Bobst, bir veya daha fazla teknolojinin atlanması durumunda bir organizasyonu korumak için teknoloji katmanlarının gerekli olduğunu söyledi. Kuruluşlar, gizli verilerin nerede ve nasıl yaşamasına izin verileceğini sınırlamazsa, bunun çok maliyetli hale geleceğini ekledi.
Kritik katmanlar, iş gücü eğitiminden tehdit istihbaratına kadar uzanır. Bunun, personelin mevcut faaliyetler, istismarlar ve karanlık web faaliyetlerinden haberdar olmasına yardımcı olmak için FBI dahil olmak üzere satıcılardan ve kolluk kuvvetlerinden gelen tehdit bültenlerini de içerdiğini söyledi.
Diğer kritik katmanların arasında MFA, sınırlı kullanıcı erişimi ve uç nokta koruması ve SIEM veya XDR platformuna bağlanan ağ erişim kontrolleri yer alıyor dedi. Bobst’a göre EHR uygulamaları ve dosya paylaşımları, rol tabanlı erişimden, dizin kimlik doğrulamasından ve kapsamlı denetimden yararlanmalıdır.
Pierce, EHR sistemlerindeki şüpheli faaliyetlerin erken tespit edilmesinin anahtarının sık ve düzenli denetim olduğunu söyledi. “Kuruluşların manuel denetimler yapacak kaynaklara sahip olmaması durumunda, şüpheli faaliyetlere ilişkin hem proaktif hem de reaktif uyarıları tetiklemek için kullanılabilecek bazı araçlar var” dedi.
Ayrıca, alışılmadık derecede yüksek miktarda verinin ağdan ayrılması durumunda uyarıların ayarlanmasını da önerdi.
“Bu, siber suçluların, verileri şifrelemeden önce önemli bilgilerinizi fidye için saklamak üzere dışarı aktardıklarının bir işareti olabilir” dedi. Pierce’e göre, bu izlemenin yanı sıra sağlık sistemleri, personeli herhangi bir şüpheli etkinliği bildirmeye teşvik eden “bir şey görürseniz bir şey söyleyin” kültürünü benimsemelidir.
Bobst, sağlık kuruluşlarının, siber saldırganların hangi katmanların zayıf, yetersiz finansmanlı veya yetersiz kaynaklara sahip olduğunu bilmeleri halinde, çeşitli zayıflıklardan yararlanacak bir saldırı yolu veya vektör oluşturabileceklerini akılda tutması gerektiğini söyledi. “Bu ilkeleri kullanarak olaya müdahale masa üstü tatbikatları oluşturuyoruz” dedi.
Ancak hemen şunu da ekledi: “Fidye yazılımlarını ve benzeri saldırıları durdurmak için sihirli bir değnek olsaydı şu anki durumumuz olmazdı.”