Sağlık sektöründeki kuruluşlar fidye yazılımı çetelerinin ana hedefi olmaya devam ederken ve CISA, saldırganlar tarafından kullanılan sağlık hizmetlerine özel bir platformdaki bir güvenlik açığına (CVE-2023-43208) karşı uyarıda bulunurken, Sağlık için Gelişmiş Araştırma Projeleri Ajansı (ARPA-H) ), sağlık bilişimi ekipleri için bir güvenlik açığı yönetimi platformu geliştirmeyi amaçlayan Otonom Savunma için Evrensel Yama ve İyileştirme (UPGRADE) programını duyurdu.
Fidye yazılımı tehdit aktörleri tarafından istismar edilen CVE-2023-43208
NextGen HealthCare’in Mirth Connect veri entegrasyon platformunu etkileyen, kolaylıkla yararlanılabilen, kimlik doğrulaması yapılmadan uzaktan kod yürütme güvenlik açığı olan CVE-2023-43208, şirket tarafından yamalandı ve Ekim 2023’te Horizon3.a1 araştırmacıları tarafından kamuya açıklandı.
Microsoft Tehdit İstihbaratı, Nisan ayında fidye yazılımı tehdit aktörleri tarafından kullanıldığını tespit etmesine rağmen, CISA bunu Pazartesi günü Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi.
Bu, yamanın yayınlanmasından aylar sonra bile, internete yönelik savunmasız Mirth Connect örneklerinin, saldırganların sağlık kuruluşlarının ağlarına ilk erişim için yararlanabileceği ve kullanabileceği anlamına geliyor.
UPGRADE programı sağlık hizmetleri güvenlik açığı yönetimi çözümü arıyor
ARPA-H, “Proaktif satıcılar yazılım zayıflıklarıyla ilgili tüketici ürünlerini günler veya haftalar içinde yamalarken, sağlık hizmetleri teknolojisinin geniş ölçekte yama yapması bir yıldan fazla zaman alabilir” diyor.
“İnternet bağlantılı cihazların çok sayıda olması, sağlık hizmetleri BT kaynaklarındaki sınırlamalar ve test ve yama için gereken cihaz kesinti süresine karşı toleransın düşük olması nedeniyle hastanelerde güvenlik güncellemelerini dağıtmak zordur. Siber güvenlik sektörünün büyüklüğüne rağmen, her zamankinden daha fazla ekipman ağa bağlı olsa da, sağlık sektörü sorunları hâlâ yeterince çözülemiyor.”
UPGRADE programının amacı, herhangi bir hastane ortamına uyum sağlayacak, proaktif ve özerk bir şekilde güvenlik açıklarının riskini ve potansiyel etkisini simüle edecek/değerlendirecek, bir yama tedarik edecek veya geliştirecek, onu bir model ortamında test edecek ve dağıtacak bir güvenlik platformu oluşturmaktır. Sağlık hizmetleri dağıtım kuruluşlarında kullanılan tıbbi, BT ve diğer cihazlara minimum düzeyde zarar verecek şekilde.
ARPA-H’nin dirençli sistemler program yöneticisi Andrew Carney, “UPGRADE, hastane siber dayanıklılığına yönelik özel ve ölçeklenebilir bir yazılım paketi geliştirmek üzere ekipman üreticilerini, siber güvenlik uzmanlarını ve hastane BT personelini bir araya getirmeyi bekliyor” diyor.
“Programın dört teknik alanı var. Teknik alan 1, bir güvenlik açığı azaltma platformunun oluşturulmasına odaklanmaktadır. Teknik alan 2, hastane ortamlarında yüksek kaliteli dijital ekipman ikizleri oluşturmayı amaçlamaktadır. Teknik alanlar 3 ve 4, yazılımdaki güvenlik açıklarını hızla ve otomatik olarak tespit edecek ve ardından her biri için güvenle savunma geliştirecek yöntemler geliştirmeyi amaçlıyor.”
Programa yapılacak yatırımın 50 milyon doları aşması bekleniyor. Başvuru sahipleri 18 Haziran 2024 tarihine kadar çözüm önerisinde bulunabilirler.