3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Açık Kaynak Koduyla Desteklenen Uygulamalar ve Cihazlar Sağlık Hizmetlerinde Yaygındır
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
8 Aralık 2023
Açık kaynaklı yazılım sağlık hizmetlerinde yaygındır. Elektronik sağlık kayıtları ve tıbbi cihazların içerdiği bileşenler gibi kritik sistemlerde kullanılır. Federal düzenleyiciler, sağlık sektörü firmalarını açık kaynaklı yazılımlarla ilgili riskleri ve tehditleri yönetme konusunda dikkatli olmaya çağırıyor.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Perşembe günü yayınladığı tehdit raporunda, sağlık sektöründe ve diğer kritik altyapı sektörlerinde kullanılan açık kaynaklı yazılımların oluşturduğu potansiyel risklerin ve tehditlerin çok geniş kapsamlı olduğunu söyledi.
HHS HC3’e göre “Açık kaynak yazılım, her bir kritik altyapı sektörünü ve her ulusal kritik işlevi desteklemek için kullanılan yazılımın temelinin bir parçasıdır.”
“Açık kaynak yazılım, modern yazılım geliştirmenin temelini oluştursa da, aynı zamanda genellikle yazılım tedarik zincirindeki en zayıf halkadır.”
HHS HC3, güvenlik firması Synopsis tarafından yakın zamanda yapılan bir araştırmada, çeşitli sektörlerde incelenen yazılım kod tabanlarının %96’sının açık kaynak kodu içerdiğini, kod tabanlarında incelenen kodun ise %76’sının açık kaynak olduğunu buldu.
Ayrıca araştırmacılar, HHS HC3’e göre sağlık, tıbbi teknoloji ve yaşam bilimleri sektörlerinde açık kaynak kod içeren kod tabanlarının yüzdesinin 2018’de yaklaşık %65’ten 2022’de yaklaşık %80’e yükseldiğini buldu.
HHS, “Sağlık sektöründe yüksek riskli güvenlik açıkları içeren kod tabanlarının yüzdesinde 2019’dan 2021’e kadar zamanla yaklaşık %80’den %40’a bir düşüş olsa da, bu sayı yeniden artıyor” uyarısında bulundu.
Kritik meseleler
Bazı tıp sektörü güvenlik uzmanları, HHS HC3’ün açık kaynak yazılım içeren sağlık hizmetlerine yönelik çok sayıda riske ilişkin değerlendirmesine katılıyor.
Sağlık Hizmetleri Bilgi Yönetimi Yöneticileri Koleji bünyesinde yer alan bir CISO profesyonel grubu olan Sağlık Hizmetleri Bilgi Güvenliği Yöneticileri Derneği’nin başkan yardımcısı olan eski sağlık hizmetleri CIO’su David Finn, “Sağlık sektörü, açık kaynak yazılımla ilgili birçok kritik risk ve tehditle karşı karşıyadır” dedi. .
“Üçüncü taraf tabanlı saldırıların çok başarılı olduğunu biliyoruz. Hiper bağlantılı sağlık ekosistemi ve açık kaynaklı yazılımlar veya buna yönelik herhangi bir yazılım hakkında bilmediğimiz şeyler nedeniyle bunlara karşı korunmak en zor olanlardır. Finn, Bilgi Güvenliği Medya Grubu’na şunları söyledi:
Açık kaynaklı yazılımlarla ilgili en yaygın ve endişe verici risklerden bazıları arasında, popüler yazılımın kimliğine bürünmek için genellikle kötü amaçlı kodun yakın olarak adlandırılan paketlere yerleştirilmesi biçimindeki yazım hatası; hassas verilere erişim sağlamak veya sistemin kontrolünü ele geçirmek için kötü amaçlı kodun kod enjeksiyonu; ve her türden kötü amaçlı yazılım olduğunu söyledi.
Finn, “Fidye yazılımı sağlık kuruluşları için büyük bir tehdit olmaya devam ediyor. Bu tehditler, açık kaynaklı yazılımların tehlikeye atılmasıyla daha da kötüleşiyor” dedi.
“Açık kaynak yazılım kullanmak siber güvenlik risklerine, fikri mülkiyet sorunlarına, güvenlik eksikliğine, operasyonel verimsizliklere ve zayıf geliştirici uygulamalarına yol açabilir” dedi.
HHS, güvenlik açıklarından yararlanma, tedarik zinciri saldırıları ve silahlı açık kaynaklı yazılımlar da dahil olmak üzere açık kaynaklı yazılımları içeren tehditlerin tamamının sağlık sektörü için kritik endişeler oluşturduğu konusunda uyardı.
“Açık kaynak koda çok fazla göz dikilmesi, insanların güvenlik açıklarını veya güvenlik sorunlarını kontrol ettiği anlamına gelmiyor. Yazılımın kaynak kodu kamuya açık hale getirilirse, buna herkes erişebilir. Bu genel olarak iyi bir şey olsa da kötü aktörler HHS, güvenlik açıklarını aramak için koda da erişebileceğini söyledi.
HHS, açık kaynak kitaplıklardaki güvenlik açıklarının binlerce uygulamaya yerleştirilmiş olabileceği ve bu nedenle tek satır kodla bile tedarik zincirlerini zayıflatabileceği konusunda uyardı.
HHS, açık kaynaklı elektronik tıbbi kayıtlar ve hastane bilgi yönetim sistemleri gibi sağlık hizmetlerine özel bazı uygulamaların da risk alanları olduğunu söyledi.
Ocak ayında, açık kaynaklı elektronik sağlık kaydının arkasındaki kar amacı gütmeyen kuruluş OpenEMR, saldırganların hasta verilerini çalmasına ve potansiyel olarak bir kuruluşun tüm BT altyapısını tehlikeye atmasına olanak verebilecek üçlü güvenlik kusurunu gideren bir yama yayınladı. OpenEMR kusurları aynı zamanda HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nden gelen bir uyarının da konusuydu (bkz: OpenEMR Kusurları Saldırganların Veri Çalmasına ve Daha Fazlasına İzin Verebilir).
Temmuz 2020’de CISA, SourceForge’da açık kaynaklı bir topluluk tarafından geliştirilen entegre bir hastane bilgi yönetimi sistemi olan OpenClinic GA’da bağımsız bir güvenlik araştırmacısı tarafından keşfedilen güvenlik açıkları hakkında bir uyarı yayınladı (bkz.: Uyarılar: Ultrason ve Açık Kaynak Hastane Sistemlerindeki Kusurlar). CISA daha sonra yaklaşık bir yıl sonra, Haziran 2021’de OpenClinic GA güvenlik açıkları hakkında güncellenmiş bir uyarı yayınladı.
Ancak sağlık hizmetleri de dahil olmak üzere pek çok sektörde kullanılan diğer açık kaynaklı yazılımlar da devam eden riskler taşıyor.
Bunlardan biri, Apache tarafından sağlanan açık kaynaklı günlük kaydı yardımcı programı Log4j’deki ilk kez 2021’de duyurulan Log4Shell güvenlik açığıdır.
Finn, “Apache Log4j günlük kitaplığındaki güvenlik açıkları sağlık kuruluşları için sorun oluşturmaya devam ediyor” dedi.
Bu tür sorunları tıbbi cihazlarda çok sık görüyoruz” dedi. Aslında LogJ4j güvenlik açıklarının, tıbbi cihazlara sahip Gıda ve İlaç İdaresi de dahil olmak üzere federal hükümeti üreticilerden ve tedarikçilerden yazılım malzeme listesi gereksinimleri almaya iten faktörler arasında olduğunu söyledi. “Ne aldığımızı biliyorduk ama içinde ne olduğu hakkında hiçbir fikrimiz yoktu” dedi.
Finn, yaygın olarak kullanılan açık kaynak kodundan ödün verilmesinin önemsiz bir konu olmadığını söyledi. Finn, tahminen 4.000 kuruluşun hâlâ LogJ4j riski altında olduğunu ve güvenlik açığının dünya çapındaki kurumsal ağların %44’ünden fazlasını etkilediğini söyledi.
“Sağlık kuruluşları bu açık kaynaklı yazılım riskleri konusunda dikkatli olmalı ve hasta verilerini ve kritik sistemleri korumak için sağlam güvenlik önlemleri uygulamalıdır.”
Atılacak Adımlar
HHS HC3, yazılım malzeme listelerinin yanı sıra yazılım bileşimi analizinin (açık kaynaklı yazılımı bir kod tabanında tanımlayan otomatik bir süreç) geliştirilmesinin gelecekte açık kaynaklı yazılımlarla ilgili bazı riskleri azaltmaya yardımcı olabileceğini söyledi.
Finn, satıcılardan SBOM talep etmenin yanı sıra, sağlık kuruluşlarının açık kaynaklı yazılım ve bileşenlerini azaltmak için başka önemli adımlar atması gerektiğini söyledi.
“Güvenilir kaynaklardan kullanın veya satın alın. Bu şu anlama gelir: Kaynaktan oluşturulan ve güvenli altyapı üzerinde özel olarak barındırılan paketler sağlayan satıcıları arayın, böylece açık kaynaklı yazılım tedarik zincirinizin en başından itibaren güvenli olduğundan emin olabilirsiniz.” söz konusu.
Ayrıca satıcıların sistemlere, yazılımlara veya platformlara erişmeleri gerektiğinde “iyi yönetilen ve izlenen kullanıcı erişim kontrollerine sahip olduğunuzdan emin olun” tavsiyesinde bulundu.
“Güvenlik bilincine sahip kuruluşlar, özel paketlere ve kanallara erişimi kontrol edebilmek istiyor. Bu erişimi, kuruluşunuzdaki veya kuruluşunuz dışında erişime ihtiyaç duyabilecek belirli kişilere veya gruplara sağlayabilirseniz en iyisi olur.”
Finn ayrıca sağlık kuruluşlarına yaygın güvenlik açıkları ve risklere karşı güvenilir iyileştirmeler yapma çağrısında bulundu. “Burada yapabileceğiniz en iyi şey, yalnızca CVE’leri taramayan, aynı zamanda yanlış pozitif vakalarını azaltmak için bunları düzenleyen açık kaynak uzmanlara sahip bir platformdur.”
Daha büyük resim
Finn, ileriye baktığımızda, açık kaynakla ilgili bir sonraki büyük tehdidin muhtemelen yapay zeka etrafında olacağını söyledi.
“Yapay zeka konusunda iyi bir anlayışa sahip değiliz ve gerekli yazılım, algoritmalar veya veri kümeleri konusunda kesinlikle iyi kontrollere, durum tespiti veya yönetime sahip değiliz” dedi.
“Açık kaynaklı yazılımı bu talihsiz kombinasyona dahil etmek, ateşe benzin dökmek gibi olabilir. Devam etmeliyiz, ancak bunu dikkatli planlama, uygun kontroller ve dağıtımlar konusunda deneyimli liderlik ve yönetimle yapmalıyız” dedi.
Bu arada Finn, uzaktan hasta izleme, tüketici fitness/sağlık uygulamaları ve elektronik sağlık kayıtlarına bilgi alan veya bilgi gönderen diğer IoT donanımları da dahil olmak üzere bağlı cihazların da açık kaynakla ilgili sorunların potansiyel yuvaları olduğunu söyledi.
“Bunlar sağlık hizmeti sağlayıcısının bilmediği cihazlar olabilir ve bilseler bile dokunamazlar. İnsanlar artık iPhone’larıyla EKG çekiyor; ne ters gidebilir ki?”