Artan siber tehditler karşısında, sağlık sektörü siber saldırılar için bir yuva haline geldi. Bu durumun ciddiyeti göz önüne alındığında, sağlık kuruluşlarını savunmasız hale getiren faktörlere, eski BT sistemlerinin rolüne, yaygın ağ izleme hatalarına, veri ihlallerindeki kalıplara ışık tutan Centura Health’in CISO Yardımcısı Shenny Sheth ile görüştük. Bu saldırıların finansal sonuçları.
Bu konuşma aynı zamanda bir sağlık sisteminin siber risk profilini etkilemede ortaklıkların ve üçüncü taraf ilişkilerinin karmaşıklığını da ele alıyor.
Sağlık kuruluşlarına yönelik siber saldırılardaki artış göz önüne alındığında, bu sektörün siber suçlular için neden bu kadar birincil hedef haline geldiğinin en belirgin nedenlerinden bazılarını açıklayabilir misiniz?
Kamu sağlığı yönetiminin yanı sıra özel sağlık sektöründe bir siber güvenlik ofisine, kişilere, satıcılara, paydaşlara ve bütçelere liderlik ettiğim yaklaşık yirmi yıllık kariyerimin ardından, sektörün siber saldırılara karşı özellikle savunmasız olduğunu görüyorum. Sağlık hizmeti kuruluşları, genellikle yetersiz güvenlik, saldırganların ödeme talebine hızlı bir şekilde eşlik etme olasılığının yüksek olması ve sahip oldukları hasta kayıtlarının değeri nedeniyle saldırılarda ani bir artış yaşadı.
Gözlemim, birkaç katkıda bulunan unsuru öneriyor:
- Onlarca yıllık eski teknoloji, yetersiz hazırlık ve siber acil durumlar etrafında planlama ile birleştirildi
- Çökmekte olan ekosistem ve hastanelerde kullanılan büyük hacimli ağ bağlantı noktaları ve cihazlar, segmentasyon, bölge oluşturma ve güvenliğin zirvesinde kalmayı bir sanat biçimi haline getiriyor.
- İş gücü, çevrimiçi ve kişisel siber risklere ilişkin sınırlı anlayışları nedeniyle siber sorunların ve olayların o kadar farkında veya ilgili değil
- Personelin yeniden düzenlenmesini veya başka bir deyişle iş dönüşümünü gerektirebilecek yeni teknolojinin getirilmesiyle uygun çalışma çözümlerini bozma iştahı yoktur.
- Uzaktan/hibrit çalışma düzenlemesi, kuruluşun temel saldırı yüzeylerini daha da genişletti
- Özel kimlik ve hasta bilgileri, finansal olarak motive olan saldırganlar için büyük bir ödül değerindedir.
Size göre, eski BT sistemleri sağlık sektörünün siber saldırılara karşı savunmasızlığına nasıl katkıda bulundu ve bu sistemlerin modernizasyonu neden kritik bir ihtiyaç?
Amiral gemisi bir sağlık kuruluşu olarak Centura Health, en son tıbbi teknolojinin yeniden hayal edilmesi, yenilenmesi ve benimsenmesi konusunda başarılıdır. Ancak, sektördeki her kademe ve büyüklükteki kuruluşun bu hıza ayak uyduramadığını anlıyorum. Örneğin, belirli entegre sağlık sistemleri, tamamen modernleşmek şöyle dursun, gelir eksiklikleriyle, sistemlerin yaşam döngüsü yükseltmelerini erteleme/erteleme ile uğraşmak zorundadır.
Bu, tıp teknolojisinin hızla eskidiğini, ilgili zayıflıkların derinleştiğini ve genel olarak sektörün siber saldırılara karşı oldukça savunmasız kaldığını gösteriyor. Kullanım ömrü sonu (EOL) ve hizmet sonu (EOS) platformlarını aşamalı olarak kaldırarak yeni yatırımları proaktif bir şekilde rasyonalize etmek kritik öneme sahiptir. Güvenli Uygulama Programlama Arayüzleri (API) ve dikkatli yapılandırma yönetimiyle sağlam veri bağlayıcıları aracılığıyla genişletilebilirliği destekleyen mimari desenler, sağlık kuruluşları, yüksek güvenlik açığı / maruz kalma indeksine sahip görev açısından kritik sistemleri mevcut dolar ve insanlarla modernize edebilir.
Sağlık kuruluşlarının tehditlere karşı ağlarını izlerken yaptıkları yaygın hataları açıklayabilir misiniz?
Daha önce, işgücünün bazı üyelerinin gerekli siber hijyen kurallarını uygulamayabileceğini, diğerlerinin ise çalışma ortamlarını etkileyen çevrimiçi tehditleri tanıma ve hafifletme bilgisinden yoksun olduğunu paylaşmıştım. Dikkat, insanlar hatalı değil!
2022’de HITRUST Collaborate’de sağlık kuruluşlarının siber yetenek boru hattınızdan “büyücüler” ile “karanlık güçleri” savuşturması gerektiğini konuşmuş ve paylaşmıştım. Eğitim/farkındalık bütçelerini yürütün ve güvenlik operasyonlarıyla ilgili düşük değerli görevlerde yüksek iş faktörünü, aşırı stresi ve gereksiz insan odağını azaltmanın ve ardından ortadan kaldırmanın yolunu bulun; bunun yerine ekipleri Uzlaşma ve Maruz Kalma Göstergelerini (IoC/ IoE) dahili olarak. Bu bir zorunluluk.
En önemli sağlık hizmeti veri ihlallerine bakıldığında, kuruluşların gelecekteki saldırıları önlemesine yardımcı olabilecek hangi modeller veya ortak noktalar ortaya çıkıyor?
FBI/InfraGard’ın aktif bir üyesi olarak, Sektörler Arası Konsey iletişimlerimizi ve federal Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından sağlanan önemli mesajları takip etmeye devam ediyorum. Ajans kısa bir süre önce kötü uygulama kalıplarının altını çizdi ve bu tür uygulamaların “tehlikeli olduğunu ve ulusal güvenlik, ulusal ekonomik güvenlik ve ulusal halk sağlığı ve güvenliğine yönelik riski önemli ölçüde artırdığını” belirtti.
CISA ayrıca, bu uygulamaların her birinin “İnternet’ten erişilebilen teknolojilerde özellikle korkunç olduğunu” kaydetti. Bu öğrenme ışığında, sağlık kuruluşları şunları yapmalıdır: (1) Kritik altyapı ve ulusal kritik işlevlere (NCF) hizmet veren desteklenmeyen (veya ömrünün sonuna gelmiş) yazılımlardan uzaklaşma planlarını benimsemeli ve (2) parola- kritik altyapıya ve NCF alanına girişi önlemek için kötü niyetli İlk Erişimi veya Uzaktan Kod Yürütmeyi (RCE) caydırmak için daha az, çok faktörlü, çok cihazlı kefil hizmetleri.
Özellikle GDPR kapsamındaki olası para cezaları ve fidye yazılımı saldırılarıyla ilişkili maliyetler göz önüne alındığında, sağlık kuruluşlarının veri ihlalleri nedeniyle karşı karşıya kaldığı mali yansımaları tartışabilir misiniz?
GDPR, bazı ihlallerin diğerlerinden daha ciddi olduğunu açıkça belirtir. Bir kuruluşun bir önceki mali yıla ait dünya çapındaki gelirinin %2’sinden (veya 10 Milyon Avro’ya kadar) ila %4’üne (veya 20 Milyon Avro’ya kadar), hangisi daha yüksekse) kadar değişen para cezaları. Bunlar yalnızca AB konularının korunan verilerinin ihlaliyle ilgili para cezalarıdır, maliyetler, büyük bir sağlık kuruluşunun başarılı bir fidye yazılımı saldırısının ardından büyük veri yığınlarının ihlal edilmesinden veya çalınmasından kurtarmak zorunda kaldığı durumlarda on milyonlarca doları bulabilir.
Diğer işletmeler ve tedarikçilerle ortaklık, bir sağlık sisteminin risk profilini nasıl etkiler ve sağlık kuruluşları, ortaklarının siber tehditleri azaltabilmesini nasıl sağlayabilir?
Üçüncü taraf tedarik zinciri ilişkilerine artan bağımlılıkla, olayların meydana gelmesi sonsuza dek büyüktür; ve bir olayla ilgili tahmini doğrudan finansal risk katlanarak arttı. Kanun yapıcılar, şirketler ve müşteriler için, kilit satıcılar, iş ortakları, ortaklar, bağlı kuruluşlar veya teknoloji barındırma hizmetleri tarafından gerçekleştirilen işlevler, genellikle ana iş tarafından gerçekleştirilenlerden ayırt edilemez.
Sonuç olarak, siber boşluklar üçüncü taraflarca istismar edildiğinde, sağlık sistemleri ilgili finansal, itibar ve düzenleyici risklerle karşı karşıya kalır. Bu, kuruluşun risk profilini büyük ölçüde değiştirir. Bir iş ortağının bilgilerin yanlışlıkla veya kötü niyetli değişiklik, imha ve yetkisiz erişime karşı yeterince korunmayan bir şekilde kullanımı, depolanması ve/veya iletilmesinden kaynaklanan riskler, kapsanan varlık üzerinde doğrudan siber etkiye yol açar. Başarılı bir siber saldırı nedeniyle sakat kalan bir tıbbi cihaz tedarikçisi veya ilaç üreticisi, yıkıcı bir olayı yeterince yönetememe nedeniyle kritik cihazların, parçaların, ilaçların veya hizmetlerin tedarik edilememesine neden olarak olumsuz etkilere neden olabilir.
Centura Health’in yaptığı gibi, ABD merkezli kuruluşlar, düzenleyici makamların kınamasına, davalara ve/veya olumsuz etkilere neden olan çıkar çatışması dahil olmak üzere yasalara, yönetmeliklere veya etik standartlara uymamaktan kaçınabilir. HITRUST Ortak Güvenlik Çerçevesi (HITRUST CSF), veri gizliliği ve mahremiyet yükümlülüklerine hizmet etmek için uygulamalar, sorumluluklar ve yeterli kaynaklara sahip siber güvenlik programı için yapı sağlar.
Ben, HITRUST, Health3PT Konseyi ve çevrimiçi kaynaklarımız, sağlık kurumlarının ve üçüncü şahıslarının ciddi mali ve itibar kaybına yol açabilecek siber felaketleri nasıl proaktif risk değerlendirmesi yapabilecekleri, nasıl iyileştirebilecekleri ve ortadan kaldırmak için sürekli olarak nasıl harekete geçebilecekleri konusunda mükemmel öneriler sunuyoruz.