Federal Soruşturma Bürosu (FBI), sağlık tesislerini eski/yama uygulanmamış tıbbi cihazları kullanmanın olası riskleri konusunda uyardı ve onları siber saldırılardan korumak için öneriler yayınladı.
Ajans, güvenlik açıklarına sahip tıbbi cihazların sağlık tesislerinin günlük işleyişini olumsuz etkileyebileceğini ve hastaların güvenliğini tehlikeye atabileceğini belirtti. Güvenli olmayan cihazların kullanılması da veri gizliliğini engelleyebilir.
İster donanım tasarımında ister yazılım çerçevesinde bulunsun, herhangi bir tıbbi cihaz bileşenindeki güvenlik açıkları, özellikle belirli konfigürasyonlarda yıkıcı sonuçlara yol açabilir.
Büro, hastanelerde kullanılan tüm tıbbi cihazların ve Nesnelerin İnterneti cihazlarının yarısından fazlasının güvenlik açıkları içerdiğini bildiriyor. Bunlara insülin pompaları, defibrilatörler, kalp pilleri, mobil kardiyak telemetri vb. dahildir.
Neden Güvenli Tıbbi Cihazlar
Bu konuya azami dikkat gösterilmesi gerekiyor çünkü bazı tıbbi cihazlar otuz yıl ve daha uzun bir süredir bile kullanılıyor. Bu, özellikle cihaz yazılımı EOL’ye (ömrün sonuna) ulaştıysa, tehdit aktörlerinin güvenlik açıklarını belirlemesine ve bunlardan yararlanmasına olanak tanır. Sağlık tesislerinde kullanılan bu tür “eski cihazlar”, güncel olmayan yazılımlar içerir, çünkü güncellemeler veya yamalar için üretici desteği olmadığında bu cihazları iyi bir şekilde korumak imkansız hale gelir.
Başka bir sorun da, kolayca yararlanılabilen varsayılan yapılandırmanın kullanılması ve özel yazılımlarının uygun bir güvenlik açığı düzeltme eki uygulamasından yoksun olmasıdır. Bu cihazların güvenlik tehditlerine maruz kalmaması gerektiği için güvenlik önlemlerinden bile yoksun olabilirler.
Büro, kuruluşların yalnızca tıbbi cihazlardaki güvenlik açıklarını tespit etmelerini değil, aynı zamanda bu cihazları aktif olarak güvenceye almalarını ve riskleri azaltmaya yardımcı olmak için belirlenen sorunları rapor etmeleri için çalışanları eğitmelerini tavsiye ediyor.
YAMA Yasası
FBI, yama uygulanmamış tıbbi cihazlarda bulunan güvenlik açıklarındaki çarpıcı artıştan endişe duyuyor. Haziran 2021’de AHA, Kongre’den uzun süredir bekleyen mevzuat olan ‘Yama Yasası’nı desteklemesini istedi.
AHA, Kongre’ye yazdığı bir mektupta, tıbbi cihazların güvenliğinin sağlanmasının şart olduğunu ve üreticilerin siber güvenlik çözümlerini uygulamaya odaklanması gerektiğini belirtti. 2017’de FBI, tıbbi cihazlardaki kusurların kötü şöhretli WannaCry sağlık hizmeti fidye yazılımı saldırısından yararlandığını keşfetti.
“Beklemede olan mevzuat, tıbbi cihaz üreticilerinin pazar sonrası güvenlik açıklarını zamanında izlemesini ve tanımlamasını, koordineli güvenlik açığı ifşası için bir plan geliştirmesini, cihaza ömür boyu siber güvenlik desteği sağlamasını ve dahil olmak üzere cihazda bulunan tüm yazılımların bir muhasebesini sağlamasını gerektirecektir. üçüncü taraf yazılımı.”
John Riggi – siber güvenlik için ulusal danışman – AHA
Hangi Kuruluşlar Yapabilir?
Kuruluşlar, uç nokta korumasını mümkün olan her yerde kullanabilir ve cihaz verilerini şifreleyebilir. Ayrıca, her tıbbi cihaz için karmaşık şifreler kullanmak esastır.
Bir başka harika strateji de elektronik bir envanter yönetim sistemini sürdürmektir. Kritik tıbbi cihazların belirlenmesine ve güvenlik açığı taramalarının düzenli olarak yapılmasına yardımcı olacaktır.
Son olarak, yeni keşfedilen her güvenlik açığını zamanında düzeltmek için cihaz üreticileriyle iletişim halinde kalmaları gerekir.
Alakalı haberler
- Tıbbi Uyarı Cihazlarının Önemi
- Doktor, saldırıya uğramış aşırı dozu simüle ederken ilaç pompaları ve Kalp Pili tehdidi
- Uydu Hedefleme? FBI, SATCOM Ağ Sağlayıcılarına Yönelik Saldırılara Karşı Uyardı
- Yüksek önemde Intel çip kusuru, arabaları, tıbbi cihazları ve IoT cihazlarını savunmasız bıraktı
- FBI, fidye yazılımı yaymak için kötü amaçlı USB sürücüleri postalayan bilgisayar korsanları konusunda uyardı