Uç Nokta Güvenliği , Sağlık Hizmetleri , Sektöre Özgü
Araştırma: Yamasız Hemşire Çağrı Sistemleri, Yazıcılar ve IP Kameralar Listenin Başında
Marianne Kolbasuk McGee (SağlıkBilgisi) •
24 Nisan 2023
Bağlantılı tıbbi cihazlar üzerine yapılan bir araştırma, hemşire çağrı sistemlerinin akıllı hastanelerdeki en riskli cihazlar arasında olabileceğini gösteriyor.
Ayrıca bakınız: Dijital Yönetici Korumasına Yönelik Artan İhtiyaç
Güvenlik satıcısı Armis, sağlık cihazlarında kullanılan 3 milyar varlığı yöneten varlık izleme platformundan elde edilen bulguları analiz ettiğini söyledi.
Armis, yama uygulanmamış kritik güvenlik açıklarının en fazla olduğu cihazları aradıktan sonra, hemşire çağrı istasyonlarını en kötü suçlu olarak belirledi ve bunların %39’unun kritik güncellemeler olmadan gittiğini söyledi.
Ardından infüzyon pompaları geldi ve %27’si kritik önem derecesine sahip yama uygulanmamış güvenlik açıkları gösterdi. Firma ayrıca ilaç dağıtım sistemlerinin yaklaşık üçte birinin desteklenmeyen Windows işletim sistemlerinde çalıştığını tespit etti.
Araştırma şirketi Juniper Research tarafından geçen yıl yapılan bir araştırmaya göre, dünya çapında akıllı hastanelerin 2026 yılına kadar 7 milyonun üzerinde tıbbi cihaz interneti veya akıllı hastane başına 3.850’den fazla cihaz kurması bekleniyor.
Minnesota Üniversitesi Tıbbi Cihaz Siber Güvenlik Merkezi genel müdürü Scott Singer, birçok IoT cihaz üreticisi ve kullanıcısının güvenlik açıklarını yamalamak için bu ürünleri güncellemede geciktiğini söyledi.
Singer, “Düz ağlara sahip olan ve bu hassas IoT cihazlarını ayırmayan birçok şirketle karşılaştım” dedi.
Güvenlik firması Level Nine Group’ta tıbbi cihaz siber güvenlik araştırmasına liderlik eden Jason Sinchak, Armis’in çalışmasında kullanılan otomatikleştirilmiş/tarama analizi türünün güvenlik açıklarını, sorunu istismar etmeye ve doğrulamaya yönelik manuel girişimlere dayalı olarak derecelendirmediğini veya hasta güvenliği etkisindeki faktör.
Bu tür hasta etki risk analizi için, Gıda ve İlaç İdaresi’ni ve MITRE’nin CVSS’yi Tıbbi Cihazlara Uygulamak için Değerlendirme Tablosunu önerdi.
“Bu genellikle skoru birçok yönden değiştirir” dedi. “Ortak bir tema, sağlık hizmeti sunan kuruluşların bu bilgileri alması ve ardından harekete geçmeden önce hasta güvenliğini hesaba katması gerektiğidir.”
Sinchak, sağlık hizmetlerinde rol oynayan bağlı cihazların güvenliğinin genellikle göz ardı edildiğini söyledi. FDA, üreticilerin siber güvenliği daha yüksek bir öncelik haline getirmesini beklediğini açıkça belirtti, ancak bağlı cihazlar aynı aciliyet duygusunu kazanmadı (bkz: Özel: Yeni Tıbbi Cihaz Yasasının Etkisinde FDA Lideri).
“Bunlar, HVAC, kapı erişimi, buzdolapları, güç sistemleri vb. gibi görünmeyen ‘sessiz siber’ OT cihazlarıdır. Bu cihazların uzaktan izlenmesi ve kontrolü ile ilgili bir siber sorun, hasta bakımını çevrimdışı hale getirebilir” dedi.
“Bu cihazlar, karmaşıklıkları ve anlaşılması zor olan ve bir sorun olana kadar asla dokunulmayan ICS/SCADA kontrollerine dahil olmaları nedeniyle genellikle unutuluyor.”
Sinchak, firmasının, sağlık hizmeti sunan kuruluşlardaki BT güvenlik ekiplerinin bilgisi olmadan satıcı tarafından ağa bağlanan binaları ısıtmak için kullanılan kazan sistemleri gibi geleneksel OT cihazlarını değerlendirdiğini söyledi.
“Bir kazan kaybının bir sağlık hizmeti kuruluşu üzerinde ne gibi bir etkisi olur? Önemli, ancak neredeyse hiç analiz edilmedi” dedi.