Bulut Güvenliği, Sağlık, Sektöre Özel
Başmüfettiş, HHS Bulut Sistemlerinin Potansiyel Olarak Tehlikeye Atılma Riski Altında Olduğunu Söyledi
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
23 Temmuz 2024
Sağlık ve Sosyal Hizmetler Bakanlığı, müfettiş genelinin denetim raporuna göre, düzenlediği sağlık kuruluşlarının karşılaştığı bulut güvenliği sorunlarının bazılarıyla karşı karşıya: Bir düzine farklı bulut güvenliği kontrolünde ve bulut sistemleri envanterinde zayıflıklar.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
HHS’nin 1.555 sisteminin %30’dan fazlası 2022’de bulutta bulunuyordu ve HHS Genel Müfettişlik Ofisi tarafından Pazartesi günü yayınlanan bir rapor, kurumun bulut envanter sürecini, çalışan becerilerini ve ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulamanın olmaması ve bir uzak sunucu için web trafiği şifrelemesi gibi siber güvenlik kontrol zayıflıklarını eleştiriyor. Raporda HHS’nin “potansiyel olarak tehlikeye girme riski altında olabileceği” belirtiliyor.
Uzmanlar, müfettişin gündeme getirdiği, yönetilmeyen sunuculardaki varsayılan yapılandırmaların tehlikesi ve HHS politikaları ile Ulusal Standartlar ve Teknoloji Enstitüsü yönergelerinden sapma gibi konuların, sağlık sektöründe faaliyet gösteren hemen hemen tüm kuruluşlarda görülen yaygın bir sorun olduğunu söylüyor.
Gizlilik ve güvenlik danışmanlık firması Clearwater’ın CISO’su ve şirketin yönetilen güvenlik hizmetleri ekibinin CTO’su Steve Akers, “Kuruluşlar, bulut sağlayıcısının ortamları için güvenlik ve uyumluluğu sağlamak için gerekli tüm şeyleri gerçekleştirdiğini varsayıyor; ancak durum çoğu zaman böyle olmuyor” dedi.
HHS OS veya yönetilen hizmet sağlayıcı yüklenicileri tarafından sahip olunan, işletilen ve bakımı yapılan tüm bulut sistemlerini kapsayan denetim, HHS’nin bulut sistemi politikaları ve prosedürleri, envanterleri ve yapılandırma ayarlarının hem bir ağ güvenlik açığı tarayıcısı hem de bir bulut güvenliği değerlendirme aracı kullanılarak incelenmesini ve güvenlik açıklarının ve yanlış yapılandırmaların tespit edilmesini içeriyordu.
Baş müfettiş ayrıca, Haziran ve Temmuz 2022’de seçili HHS bulut sistemlerinde siber saldırıları tespit edip edemeyeceğini belirlemek için üçüncü taraf bir etik hacker olan BreakPoint Labs’ı işe aldı.
Önemli bulgular
İncelemede, HHS’nin denetim için değerlendirilen bulut sistemlerindeki bileşenleri doğru bir şekilde tanımladığı ancak HHS OS’nin tüm bulut sistemlerini HHS güvenlik gerekliliklerine uygun şekilde doğru bir şekilde tanımlamadığı ve envanterini çıkarmadığı tespit edildi.
“HHS OS, bulut sistemi envanterlerinin doğru ve eksiksiz olduğunu doğrulamak için belgelenmiş prosedürlere sahip değildir. Sonuç olarak, HHS OS tüm bulut sistemleri için siber güvenlik risklerini etkili bir şekilde yönetemeyebilir” dedi raporda.
“Örneğin, HHS İşletim Sistemi, siber saldırıya açık, yanlış yapılandırılmış veya yama uygulanmamış bir bulut sisteminin kendi ortamında bulunduğunun farkında olmayabilir; çünkü sistem envanterlenmemiş olabilir; dolayısıyla, siber saldırı riskini azaltmak için sisteme yama uygulanması planlanma olasılığı düşüktür.”
Denetimde ayrıca HHS’nin bulut sistemlerini korumak için çeşitli güvenlik kontrolleri uyguladığı ortaya çıktı; ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulama ve bir uzak sunucu için web trafiği şifrelemesi dahil olmak üzere en az 12 temel güvenlik kontrolü, federal gereklilikler ve yönergelerle uyumlu bir şekilde etkili bir şekilde uygulanmadı.
“Bu durum, belirli HHS işletim sistemi sahipleri ve sistem güvenlik görevlilerinin, HHS gerekliliklerine uygun olarak bazı bilgi sistemlerini bulut sistemleri olarak tanımlamaması nedeniyle meydana geldi,” dedi HHS OIG. Çoğunlukla işletme veya sistem sahipleri tarafından görevlendirilen HHS işletim sistemi güvenlik görevlileri, “NIST tarafından tanımlanan iş fonksiyonu için rolleri ve sorumlulukları yeterli şekilde yerine getirmek için her zaman gerekli beceri setlerine veya deneyime sahip değildir,” dedi raporda.
HHS OIG, “Sistem güvenlik görevlisi rolleri ve sorumlulukları HHS güvenlik politikalarında tanımlanmış olsa da, nitelikli sistem güvenlik görevlilerinin seçilmesini sağlamak için standartlaştırılmış bir süreç bulunmamaktadır” dedi.
“Bu, HHS OS’nin güvenlik kontrollerinin etkili bir şekilde uygulanmasını sağlama yeteneğini olumsuz yönde etkiliyor. Sonuç olarak, incelediğimiz bulut sistemlerinde depolanan HHS OS verileri potansiyel olarak tehlikeye girme riski altında olabilir.”
HHS OIG Önerileri
HHS OIG, HHS’ye endişelerin giderilmesi konusunda çeşitli önerilerde bulundu ve HHS, rapora eşlik eden yazılı yorumlarda önerilere katıldığını ve önerileri uygulayacağını belirtti.
Öneriler arasında HHS’nin şunları yapması yer alıyor: bulut sistemi envanterlerinin doğru olmasını ve HHS güvenlik gerekliliklerine uygun şekilde tamamlanmasını sağlamak için bir prosedür geliştirmek, NIST’e uygun olarak 12 kontrol zayıflığı bulgusunu gidermek, bulut hizmetlerindeki yanlış yapılandırmaları ve diğer kontrol zayıflıklarını belirlemek için bulut güvenliği değerlendirme araçlarından yararlanmayı içeren bir strateji uygulamak ve zayıf kontrolleri zamanında gidermek.
HHS OIG ayrıca HHS’nin bulut sistemleri için sistem güvenlik görevlisi olarak nitelikli personelin atanmasını sağlamak amacıyla bir politika ve süreç geliştirmesini ve uygulamasını önerdi.
HHS, Information Security Media Group’un HHS OIG raporuna ilişkin yorum talebine hemen yanıt vermedi.
Ortak Zorluklar
Bazı uzmanlar, HHS OIG bulgularının, sağlık sektöründeki birçok kuruluşun karşılaştığı bulut güvenliği kontrolü ve yönetimi sorunlarına benzediğini söyledi.
Danışmanlık firması twSecurity’nin Başkanı Tom Walsh, kurumların bulut hizmet anlaşmalarındaki küçük yazıları dikkatlice okumaları gerektiğini söyledi.
“Çoğunun bulut hizmeti sağlayıcısı ve müşteri arasında bir tür paylaşımlı güvenlik sorumluluğu vardır. İnsanlar bazen bulut hizmeti sağlayıcısının yama yönetimi gibi bir şeyi kendi adlarına hallettiğini varsayarlar, ancak durum böyle değildir,” dedi. “Bu hizmetler mevcut olabilir ancak müşteri için ek bir maliyete neden olabilir.”
Walsh ayrıca yedeklemeleri, iş sürekliliği planlarını ve bulut hizmetleriyle ilgili felaket kurtarma planlarını test etmeyi öneriyor. “Bulut hizmeti sağlayıcısı uzun bir süre boyunca hizmet dışı kalırsa, işletmenin nasıl çalışmaya devam edeceği ve bulut tabanlı sistemlerin nasıl kurtarılacağı konusunda iyi yazılmış ve test edilmiş bir plan var mı?”
Denetimin de ortaya koyduğu gibi, birçok kuruluşun yaptığı yaygın bir hata, bulut ortamını yönetmek ve sürdürmek için kendi iç BT ekiplerini kullanmaya çalışmaktır, dedi Akers. Bu, “genellikle bu ekiplerin bir bulut ortamını yönetmenin inceliklerine aşina olmadığı anlamına gelir.”