Sağlık kuruluşlarına yönelik siber saldırılar hızla artarken, ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), bu önemli sektörü koruma becerisi konusunda artan eleştirilerle karşı karşıya.
Devlet Sorumluluk Ofisi’nin (GAO) yeni bir raporu, HHS’nin henüz kritik siber güvenlik hedeflerine ulaşamadığını ve sağlık kuruluşlarını giderek daha karmaşık hale gelen siber tehditlere karşı savunmasız bıraktığını ortaya koydu.
GAO raporunda, HHS’nin sağlık hizmetleri siber güvenliği konusunda önde gelen federal kurum konumuna rağmen, özellikle fidye yazılımı, Nesnelerin İnterneti (IoT) tehditleri ve operasyonel teknoloji (OT) risklerinin gelişmeye devam etmesi nedeniyle gerekli savunmaları oluşturmada sınırlı ilerleme kaydettiği sonucuna varıldı.
HHS Rolü ve Karşılanmayan Beklentiler
Sağlık hizmetleri altyapısını güvence altına almakla görevli birincil federal kurum olan HHS, sektöre yönelik korumaları koordine etmek için Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile birlikte çalışır. Ancak GAO raporunda tutarlı bir gözetim ve planlama eksikliğinin olduğu belirtiliyor.
HHS’nin gözetim eksiklikleri, daha önce önerilen güvenlik önlemlerinin uygulanmaması ile birleştiğinde, sağlık hizmeti verilerini etkili bir şekilde koruma yeteneğini sınırlayarak kalıcı güvenlik açıkları yaratıyor.
GAO, bu güvenlik açıklarının bir örneğinin, 2024’ün başlarında hassas verileri açığa çıkaran, hizmetleri kesintiye uğratan ve tahmini 874 milyon dolarlık hasara yol açan Change Healthcare fidye yazılımı saldırısı olduğunu söyledi. Bu tür olaylar, özellikle sağlık sektörü siber suçluların ana hedefi olmaya devam ederken, HHS içinde daha güçlü liderliğe ve daha etkili denetime olan acil ihtiyacı ortaya koyuyor.
HHS’nin Change Healthcare olayı sırasında açığa çıkan eksiklikleri, HHS’yi gelecekteki bu tür olayları önlemek için siber güvenlik standartlarını yükseltmeye çağıran Senatör Ron Wyden gibi Meclis üyelerinin de eleştirilerine yol açtı.
Ayrıca şunu okuyun: Tehdit Ortamı Raporu: ABD Sağlık Hizmetleri 2024
Etkili Fidye Yazılımı Denetiminin Eksikliği
Fidye yazılımları, hasta bakımında ciddi aksamalara ve mali kayıplara yol açan saldırılarla sağlık hizmetleri için kalıcı bir tehdit haline geldi.
GAO raporu, HHS’nin sağlık sektörünün kritik sistemlerin güvenliğini sağlamak için gerekli olan fidye yazılımı azaltma uygulamalarını benimsemesini tutarlı bir şekilde izlemediğini ortaya koyuyor. GAO, benimseme veya uygulamayı takip etmeden, HHS’nin hangi kuruluşların en fazla risk altında kaldığını veya kaynakları en çok ihtiyaç duyulan yere yönlendirdiğini doğru bir şekilde belirleyemeyeceğini söyledi.
“HHS, çerçevede belirtilen fidye yazılımına özgü uygulamaların benimsenmesini henüz takip etmiyordu. HHS yetkilileri bize çerçevedeki temel kavramların uygulanmasını değerlendirebileceklerini söylese de bakanlık bunu yapmaya yönelik çabalarına dair kanıt sunmadı.” – GAO
HHS, sağlık kuruluşlarına rehberlik, eğitim ve tehdit brifingleri gibi kaynakları sağlamak için adımlar attı. Ancak somut izleme olmadan bu kaynakların ölçülebilir etkinliği yoktur.
Bu sorunu çözmek için GAO, HHS’nin, fidye yazılımı risklerini azaltmak için sektörün temel siber güvenlik uygulamalarını benimsemesini değerlendirmek üzere CISA ile koordinasyon kurmasını tavsiye ediyor. Bu değerlendirme, HHS’ye iyileştirilmesi gereken alanlara ilişkin kritik bilgiler sağlayacak, kaynakları daha etkili bir şekilde tahsis etmesine ve savunmasız kuruluşları fidye yazılımı saldırılarına karşı korumasına olanak tanıyacak.
Sektör Genelinde Siber Güvenlik için Etkin Olmayan Destek
HHS, görevi gereği sağlık kuruluşlarına siber güvenliği güçlendirme konusunda yardımcı olmak için belgeler, eğitim oturumları ve brifingler dahil olmak üzere çeşitli kaynaklar sunar. Ancak GAO raporu, HHS’nin sağlık kuruluşları için hangi destek biçimlerinin en yararlı olduğunu değerlendirmediğini ortaya koyuyor.
Sonuç olarak HHS, kaynaklarının sektörün ihtiyaçlarını etkili bir şekilde karşılayıp karşılamadığı konusunda net bir anlayışa sahip değil, bu da iletişim boşluklarına ve tehdide yanıt sürelerinin gecikmesine yol açıyor. GAO, HHS’yi, destek çabalarının etkisini ölçmek için değerlendirme prosedürleri uygulamaya çağırıyor; bu, siber güvenlik yaklaşımında bilinçli ayarlamalar yapmasına olanak sağlayacak.
IoT ve OT Cihazlarına İlişkin Risk Değerlendirmelerindeki Boşluklar
Sağlık sektörü, yeni siber güvenlik riskleri oluşturan hasta izleme sistemleri ve hastane altyapısı gibi IoT ve OT cihazlarına giderek daha fazla güveniyor. Ancak GAO, HHS’nin bu cihazları kapsayan kapsamlı bir risk değerlendirmesini henüz tamamlamadığını söyledi.
HHS, tıbbi cihazlarda IoT ile ilişkili belirli riskleri değerlendirmiş olsa da sektör çapında IoT ve OT tehditlerine ilişkin daha geniş bir değerlendirme eksiktir. Bu boşluk, pek çok sağlık kuruluşunun, bu bağlantılı cihazların oluşturduğu güvenlik açıklarına karşı yeterli korumadan yoksun kalmasına neden oluyor.
“HHS’nin belirli bir IoT cihazı türü olan tıbbi cihazlara yönelik devam eden risk faaliyetleri vardı. Ancak HHS, IoT ve OT cihazlarını ele alan sektör çapında kapsamlı bir siber güvenlik risk değerlendirmesi yapmamıştı. Sonuç olarak bakanlık, büyüyen ve gelişen tehditlere karşı hangi ek güvenlik korumalarının gerekli olduğunu bilmiyordu.” – GAO
Ayrıca şunu okuyun: Sağlık Hizmeti IoT Cihazlarında Güvenlik Açığı Yönetimi: Tıbbi Ekipmanın Güvenliğini Sağlamaya Yönelik En İyi Uygulamalar
GAO, HHS’nin risk değerlendirmelerini IoT ve OT cihazlarını kapsamlı bir şekilde içerecek şekilde genişletmesini tavsiye ediyor. Bunu yapmak, sağlık kuruluşlarına ek güvenlik korumalarının nerede gerekli olduğu konusunda daha net bir anlayış sunacak ve ortaya çıkan tehditlere karşı daha iyi hedeflenmiş savunmalara olanak tanıyacaktır.
İşbirliği ve Koordinasyon Zorlukları
HHS’nin Stratejik Hazırlık ve Müdahale İdaresi (ASPR), siber güvenliği güçlendirmek için sağlık kuruluşları arasında işbirliğinin geliştirilmesinde önemli bir rol oynuyor. Bununla birlikte GAO, belirsiz hedeflere, tanımlanmamış sorumluluklara ve güncelliğini yitirmiş işbirliği sözleşmelerine atıfta bulunarak, ASPR’nin etkili işbirliğine öncülük etme çabalarındaki zayıflıklara işaret ediyor. Bu sorunlar ASPR’nin sağlık kuruluşlarını ortak güvenlik hedefleri etrafında birleştirme yeteneğini engellemektedir.
Bunu geliştirmek için GAO, ASPR’nin net hedefler belirlemesi, sorumlulukları daha kesin bir şekilde tanımlaması ve işbirliği çabalarının ilerlemesini düzenli olarak değerlendirmesi gerektiğini öne sürüyor. Bu strateji, ASPR’nin çalışma gruplarının ve işbirliklerinin hem verimli hem de etkili olmasını sağlayacak ve sektörün siber güvenlik duruşuna doğrudan fayda sağlayacaktır.
Devlet Kurumları için Çelişkili Siber Güvenlik Gereksinimlerinin Uyumlaştırılması
GAO ayrıca HHS’nin Medicare ve Medicaid Hizmetleri Merkezleri (CMS) ile diğer federal kurumlar arasında eyalet düzeyindeki siber güvenlik çabalarını zorlaştıran çelişkili siber güvenlik gereksinimleri tespit etti.
CMS, Medicare ve Medicaid verilerini işleyen devlet kurumları için belirli siber güvenlik uygulamalarını zorunlu kılar, ancak bu standartlar çoğu zaman Sosyal Güvenlik İdaresi gibi diğer kurumların standartlarıyla çatışır. Bu durum kafa karışıklığı yaratır ve devlet yetkilileri için gereksiz uyum yükleri yaratır ve temel siber güvenlik çabalarına odaklanmalarını azaltır.
Bu sorunu çözmek için GAO, CMS’nin siber güvenlik gerekliliklerini uyumlu hale getirmek için diğer federal kurumlarla birlikte çalışmasını tavsiye ediyor. HHS, kurumlar arasında tutarlı standartlar oluşturarak uyumluluğu basitleştirebilir, devlet kurumlarının kaynakları daha etkili bir şekilde tahsis etmesine yardımcı olabilir ve eyalet düzeyinde siber güvenliği güçlendirebilir.
Kapsamlı Siber Güvenlik Önlemlerine Öncelik Verme
GAO, HHS’nin sağlık sektörünü etkili bir şekilde korumak için devam eden siber güvenlik sorunlarını ele alması gerektiğini açıkça belirtti. GAO’nun tavsiyelerinin uygulanması, HHS’nin liderlik rolünün geliştirilmesi, fidye yazılımı ve IoT ile ilgili güvenlik açıklarının azaltılması ve sağlık kuruluşları arasında gelişmiş koordinasyonun teşvik edilmesi açısından kritik öneme sahip olacaktır.
Bu sorunların proaktif olarak ele alınması, HHS’nin siber güvenlik uygulamalarının benimsenmesini izlemesini, destek kaynaklarının etkisini değerlendirmesini ve özellikle IoT ve OT cihazları için kapsamlı risk değerlendirmeleri yapmasını gerektirecektir. HHS, daha stratejik bir yaklaşımla sağlık hizmeti sağlayıcılarının gelişen siber tehdit ortamına daha iyi hazırlanmalarına yardımcı olabilir ve güvenli ve emniyetli hasta bakımı sunmaya devam etmek için gerekli korumalara sahip olmalarını sağlayabilir.
İlgili