Kritik Altyapı Güvenliği, Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi
Federaller, Bağlantılı Cihazların Siber Saldırganların Avı Olduğu Konusunda Uyardı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
19 Aralık 2024
Federal yetkililer yeni bir danışma belgesinde, tıbbi cihazların güvenliğinin son yıllarda düzenleyicilerin en çok ilgisini çektiğini, ancak tıbbi nesnelerin internetini ve operasyonel teknoloji sistemlerini oluşturan diğer cihazların da siber saldırılara karşı savunmasız olduğu konusunda uyardı.
Ayrıca bakınız: İşletmeniz Hazır mı? Etkili Tehdit Yönetimine 5 Adımlı Bir Yaklaşım
ABD Sağlık ve İnsani Hizmetler Bakanlığı Çarşamba günü yayınlanan bir bültende, eski yazılımlar, yetersiz siber güvenlik önlemleri ve BT altyapılarıyla zayıf entegrasyonun, sağlık ortamlarında bulunan OT, IoMT ve diğer bağlı cihazları tehdit aktörleri için giderek daha çekici hedefler haline getirdiği uyarısında bulundu.
HHS, “Bu cihazlar hasta bakımı, ürün üretimi, tesis yönetimi ve veri toplama gibi çok sayıda hayati operasyonel faaliyette önemli bir rol oynuyor” dedi. “Tehdit aktörleri, sağlık hizmetlerine müdahale etmek, hasta bilgilerini tehlikeye atmak ve hasta güvenliğini tehdit etmek için OT ve IoMT’deki kritik güvenlik açıklarından yararlanabilir.”
Gıda ve İlaç İdaresi, Aralık 2022’de Kongre tarafından verilen genişletilmiş yetkinin yardımıyla tıbbi cihaz üreticileri için çıtayı yükseltiyor, ancak ısıtma, havalandırma ve iklimlendirme sistemleri ve asansörler gibi diğer bağlı OT sistemleri bunu yapmıyor aynı düzeyde incelemeye tabi tutulur. (Görmek: Tıbbi Cihaz Siber Güvenliği Konusunda Düzenleme Çıtasını Yükseltmek).
IoMT cihazları, infüzyon pompaları ve tıbbi görüntüleme sistemleri gibi çok çeşitli bağlantılı ürünlerin yanı sıra, giyilebilir glikoz monitörleri ve kalp pilleri dahil implante edilebilir cihazlar gibi diğer cihazları da içerir.
FDA, 2016 yılında piyasaya sürülme sonrası tıbbi cihazlar için siber güvenlik kılavuzu da yayınladı. Ancak, birçok hastane tarafından onlarca yıldır sıklıkla kullanılan tıbbi görüntüleme sistemleri gibi pahalı donanımlar da dahil olmak üzere daha eski eski tıbbi cihazlar, genellikle bu ürünleri sömürülme riskine sokan güvenlik açıkları ve diğer sorunları içerir (bkz.: Eski Tıbbi Cihazlar: Kritik Siber Risk Hususları).
HHS, bilgisayar korsanlarının verilere erişmek için güvenli olmayan ağ trafiğini tehlikeye atabileceğini veya erişim elde etmek için sabit kodlanmış veya varsayılan şifreleri kullanabileceğini belirtti. Bu arada HHS, “OT ve IoMT cihazlarının teknolojik kısıtlamalarının şifreleme, gelişmiş iletişim protokolleri ve tehdit algılama yetenekleri dahil olmak üzere sağlam güvenlik önlemlerinin benimsenmesini engellediğini” söyledi.
Ayrıca HHS, OT ve IoMT’nin genellikle satıcılardan “çok az destek alabilen veya hiç destek alamayan” ürün yazılımı, yazılım veya donanım dahil olmak üzere güncelliğini kaybetmiş ortamlarda çalıştığını söyledi.
“Bu destek eksikliği, yamaların uygulanması ve bilinen güvenlik açıklarının giderilmesiyle ilgili zorlukları daha da artırıyor. Sonuç olarak, bu güvenlik açıkları sistemlere yetkisiz erişim elde etmek için kullanılabilir, bu da potansiyel olarak hassas verilerin tehlikeye atılmasına veya operasyonlarda kesintilere yol açabilir.”
HHS, OT ve IoMT’ye yönelik siber tehditlerin veri ihlallerinden kritik operasyonlara, hasta güvenliğine yönelik tehlikelere, IoMT’ye yetkisiz erişime ve hassas hasta verilerinin potansiyel olarak değiştirilmesine kadar uzandığı konusunda uyarıyor. “Bu güvenlik açıkları sıklıkla bu cihaz ve sistemlerdeki yetersiz güvenlik protokollerinden kaynaklanıyor ve bu da onları özellikle siber saldırılara karşı savunmasız hale getiriyor.”
Health-ISAC güvenlik şefi Errol Weiss, Sağlık Bilgi Paylaşımı ve Analiz Merkezi tarafından yapılan son analizde, beş farklı üreticiye ait 12 tıbbi cihazın, kötü niyetli siber aktörlerin istismarının en önemli hedefi olan güvenlik açıklarına sahip olduğunu tespit ettiğini söyledi.
“Beni etkileyen şey, artık saldırganların tıbbi cihazlarda da mevcut olan bilinen güvenlik açıklarından aktif olarak yararlandıklarını biliyor olmamız; bu durum, bu cihazlar ele geçirilmeden önce bu cihazlara yama yapılması önceliğini arttırmalıdır” dedi.
Diğer uzmanlar, OT ve IoMT’nin de özellikle hedeflenmeyen saldırılara karşı savunmasız olabileceğini söyledi.
“Zarar verme niyetiyle yapılan hedefli bir saldırı kesinlikle düşünmemiz gereken bir şey olsa da, OT veya tıbbi IoT’de bulduğumuz gibi savunmasız bir cihazın hedeflenmemiş bir şekilde tehlikeye atılmasının çok daha muhtemel bir senaryo olduğuna inanıyorum çünkü cihaz güvenlik firması MedCrypt’in baş güvenlik stratejisti Axel Wirth, “belirli bir kötü amaçlı yazılım veya saldırı aracı olan saldırı profiline uyuyor” dedi.
“Yani, bir saldırgan tıbbi bir cihaz aramıyor olabilir, yama yapılmamış bir Windows bilgisayarı arıyor olabilir ki bu da tıbbi bir cihazdır.”
Ancak ileriye bakıldığında, sağlık kuruluşlarının OT ve IoMT cihazlarının fidye yazılımı ve benzeri gasp saldırıları tarafından hedef alınması konusunda da endişelenmesi gerektiğini söyledi.
“Altyapı sistemlerinden taviz verilmesi çok daha fazla acıya yol açacak ve dolayısıyla talep edilebilecek ödemeyi ve ödeme alma olasılığını artıracaktır” dedi.
“Geçtiğimiz birkaç yılda fidye yazılımı saldırganları, işlerini büyütmek için stratejik düşüncelerini sergilediler. Ayrıca, sıkı düzenlemelere tabi bir sektör olarak trend, düzenleyicinin güvenlik temel çizgisini empoze etmesini ve sürdürmesini beklemek yönünde görünüyor” dedi. “Ancak saldırganlar düzenlemelerden daha hızlı gelişiyor ve bu nedenle düzenleyiciyi beklemek tavsiye edilen bir strateji olmayabilir.”
Harekete Geçmek
HHS, sağlık kuruluşlarının OT ve IoMT’leri için Sistem Geliştirme Yaşam Döngüsünün tüm aşamalarını ele alan “sağlam” bir siber güvenlik ve risk yönetimi stratejisi uygulamasını tavsiye ediyor.
Bu, varlık envanteri ve yaşam döngüsü yönetimini içermelidir; OT ve IoMT için tehdide dayalı bir risk tanımlama ve yönetim yaklaşımının uygulanması; ağ mikro bölümlemesinin kullanılması; bu cihazlara uzaktan erişimin kısıtlanması; ürünlere erişimi olan üçüncü taraf satıcıların incelenmesi; yazılım ve ürün yazılımının düzenli olarak güncellenmesi; ve cihazla ilişkili riske göre kablosuz sinyallerin ve veri aktarımlarının korunması.
HHS, “HPH sektöründe OT ve IoMT ekipmanlarının güvenliğini sağlamak, siber güvenlik için en iyi uygulamalara dayanan proaktif bir risk yönetimi yaklaşımını gerektirir” dedi.
Weiss, HHS’nin bu son tavsiyesini görmekten memnun olduğunu çünkü bunun sağlık sistemlerindeki siber güvenlik riskleri hakkında farkındalığın artmasına yardımcı olduğunu söyledi.
HHS’nin danışma belgesinde sunduğu tavsiyeleri takip etmenin yanı sıra, sağlık kuruluşlarının aynı zamanda Sağlık Sektörü Koordinasyon Konseyi’nin “Sağlık Endüstrisi Siber Güvenlik Uygulamaları: Tehditleri Yönetmek ve Hastaları Korumak” başlıklı belgesini de takip etmesini öneriyor ve bunun “ağı korumak için pratik, uygun maliyetli siber güvenlik uygulamaları içerdiğini” belirtti. bağlı tıbbi cihazlar” (bkz.: Sağlık Hizmetlerindeki Siber Tehditlere İlişkin Güncellenmiş En İyi Uygulama Başucu Kitabı).