ABD’deki en büyük kâr amacı gütmeyen sağlık sistemlerinden biri olan CommonSpirit, 1 Aralık’ta bir gizlilik ihlali bildirimi yayınlayarak 16 Eylül’deki bir ihlalin ardından 623.774 hasta kaydının ifşa edildiğini bildirdi. 21 eyalet, fidye yazılımı saldırganlarının hasta kayıtlarına eriştiğini doğruladı, ancak şu anda kişisel bilgilerin kötüye kullanıldığına dair hiçbir kanıt olmadığını söyledi. Potansiyel olarak etkilenen hastalar, CommonSpirit’in Franciscan Medical Group ve Washington’daki Franciscan Health’te tedavi edilen hastalardı. Dört hastane artık bir CommonSpirit üyesi olan Virginia Mason Franciscan Health olarak biliniyor.
Bir yönetilen algılama ve yanıt (MDR) hizmet sağlayıcısı olan Critical Insight’a göre, mevcut ani artış, 2020 ile karşılaştırıldığında sağlık hizmeti sağlayıcılarına yönelik genel saldırılarda geçen yılki %35’lik artışa dayanıyor. Critical Insight’a göre, sağlık hizmeti sağlayıcılarına yönelik siber saldırılar, 2020’de 34 milyon ve 2018’de 14 milyona kıyasla geçen yıl 45 milyon kişiyi etkiledi.
Ekim ayında FBI İnternet Suçları Şikayet Merkezi (ICA), 16 kritik altyapı arasında sağlık ve halk sağlığı sektörünün fidye yazılımı şikayetlerinin %25’ini oluşturduğunu bildirdi. ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), Nisan ayında sağlık kuruluşlarını hedef alan saldırgan bir fidye yazılımı grubu olan Hive hakkında bir uyarı yayınladı.
HHS Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3), Hive’ın Haziran 2021’den beri faaliyette olduğunun bilindiğini ve “o dönemde ABD sağlık sektörünü hedef almada çok agresif olduğunu” belirtti.
Fidye yazılımı ile sağlık hizmeti sağlayıcılarını hedef alan bir diğer yeni hacker grubu da Daixin Team. Ekim ayında HHS, Daixin Ekibinin VMware EXSi sunucularındaki dosyaları şifreleyen kaynak kodu Babuk Locker’ı kullanan fidye yazılımıyla sağlık hizmeti sağlayıcılarının peşine düştüğüne dair bir tavsiye niteliğindeki uyarıyla Siber Güvenlik ve Altyapı Dairesi (CISA) ve FBI’a katıldı.
Danışmanlığa göre Daixin Team’in fidye yazılımı, sağlık hizmeti sağlayıcılarının elektronik sağlık kayıtlarını, tanılama, görüntüleme ve intranet hizmetlerini şifreliyor. Grup ayrıca kişisel olarak tanımlanabilir bilgileri (PII) ve hasta sağlık bilgilerini (PHI) sızdırdı ve bu verileri yayınlamakla tehdit ederek zorla fidye aldı.
Fidye Yazılımların Sağlık Hizmetleri Üzerindeki Etkisi
Bu ayın başlarında New York’ta düzenlenen Yıkıcı Yenilikçiler CIO Forumu sırasında, sağlık sektörü için gelişen teknolojiye odaklanan bir konferans, bir panel tartışması fidye yazılımlarındaki artışa değindi. Sağlık kuruluşları için bir BT danışmanlık firması olan Divurgent’te dijital inovasyondan sorumlu Kıdemli Başkan Yardımcısı Christopher Kunney, “Fidye yazılımı, bugün çoğu sağlık kuruluşu için muhtemelen 1 numaralı güvenlik sorunudur” dedi.
Panelistlerden biri olan Kunney, fidye yazılımlarının sağlık hizmetlerinde büyüyen bir tehdit olmaya devam edeceği konusunda uyardı “hastanenin dört duvarının dışındaki ayak izini genişlettikçe ve sanal bakım ve artık ağımızın üzerinde yer alabilecek diğer teknolojilere baktığımız sürece” altyapı.”
Panelin moderatörlüğünü yapan ve Safe Security’nin kurucu ortağı ve CEO’su olan Saket Modi, bilinen ilk ölümlerden birinin geçen yıl Alabama’da yeni doğmuş bir bebek olan fidye yazılımına atfedildiğini kaydetti. Modi, “Bir fidye yazılımı saldırısı artık yalnızca finansal ve itibarla ilgili değil, insanların yaşamları üzerinde gerçek bir etkiye sahip olabilir” dedi. Fidye yazılım saldırıları, veri hırsızlığı riskinin yanı sıra, özellikle saldırganlar hastaları hayatta tutmaktan sorumlu sistemlere eriştiğinde, hasta bakımının sağlanması için bir risk oluşturur.
Trinidad, Colo’daki Mt. San Rafael Hastanesi ve Klinikleri CIO’su Michael Archuleta, “Siber güvenliğin yalnızca veri güvenliğiyle ilgili olmadığını, aynı zamanda bir ölüm kalım meselesi olduğunu anlamalıyız” diye ekledi.
COVID’in son yıllarda sağlık hizmeti sağlayıcılarını dijital dönüşüm çabalarını hızlandırmaya zorladığını kaydeden birçok kuruluş, artık erişilebilir olan uygulama teknolojisi ve sistemleriyle ilişkili güvenlik risklerini yeterince ele almadı.
Archuleta, “Sağlık hizmetlerinin dijital çağında yaşıyoruz ve genel deneyimimizi ve hasta sonuçlarını daha iyi iyileştiren, aynı zamanda tüm organizasyonun ilerlemesini güvence altına alan inisiyatifleri teknoloji sonuçlarını dahil etmeye başlamamız gerekiyor” dedi.
2022 Sağlık Hizmetleri Siber Güvenlik Yasası
Artan saldırıları durdurmak isteyen Temsilci Jason Crow (D-CO), Sağlık Hizmetleri Siber Güvenlik Yasasına sponsor oldu. Eylül ayında tanıtılan yasa tasarısı, CISA’nın sağlık sektöründe siber güvenliği iyileştirmek için HHS ile işbirliği yapmasını gerektirecek.
Tasarının özetine göre, CISA ve HHS, “HHS programları aracılığıyla bilgi alan federal ve federal olmayan kuruluşlara sunulan siber tehdit göstergeleri ve uygun savunma önlemleri dahil olmak üzere” kaynaklar sağlayacak.
Tasarı ayrıca CISA’nın sağlık hizmetlerine sahip olan veya sağlık hizmetleri sağlayanlara siber güvenlik eğitimi ve iyileştirme stratejileri sağlaması çağrısında bulunuyor. San Rafael Hastanesi ve Klinikleri CIO’su Archuleta, hedeflenen fidye yazılımı saldırılarının %91’inin, çoğu yeterli eğitim almamış olan çalışanlara yönelik kimlik avı e-postalarından geldiğini söyledi. “Kuruluşumuz içinde bir insan güvenlik duvarı geliştirmeye odaklanmıyoruz” dedi.
Bu arada, Senatör Mark Warner (D-VA), mevcut siber güvenlik tehditlerini ve federal hükümetin olası tepkilerini ayrıntılandıran bir politika seçenekleri teknik raporu yayınladı. Rapor, Warner’ın personeli ve siber güvenlik uzmanlarının araştırmalarından ve federal hükümetin siber koruma yeteneklerini geliştirmek için sağlık hizmeti sağlayıcılarıyla işbirliği yapmasına yönelik geniş bir seçenek yelpazesinden ve saldırılardan kurtulmak için bir plandan yararlanıyor.
Warner yaptığı açıklamada, “Sağlık sektörü siber saldırılara karşı benzersiz bir şekilde savunmasız ve daha iyi siber güvenliğe geçiş acı verecek kadar yavaş ve yetersiz oldu.” Dedi. “Federal hükümet ve sağlık sektörü, ortak sorumluluklara sahip ortaklar olarak, korkunç tehditleri karşılamak için dengeli bir yaklaşım bulmalıdır.”