Bir Illinois hastanesinin, en azından kısmen, operasyonları aylarca sekteye uğratan 2021 fidye yazılımı saldırısı nedeniyle bu hafta sonunda operasyonları durdurma kararı, çevrimiçi şantaj kampanyalarının bazen var olan tehdidini net bir şekilde hatırlatıyor.
Bu, özellikle kaynak sıkıntısı çeken küçük ve kırsal hastaneler için geçerlidir.
Margaret’s Health (SMH), topluma 120 yıl hizmet ettikten sonra, Spring Valley ve Peru, Illinois’deki hastanelerini, kliniklerini ve diğer tesislerini bu 16 Haziran Cuma günü kalıcı olarak kapatacak. Karara, COVID-19 pandemisine bağlı benzeri görülmemiş harcamalar, sosyal mesafe kurallarına bağlı düşük hasta hacimleri ve sağlık sistemini geçici istihdam kurumlarına güvenmek zorunda kalan personel eksiklikleri dahil olmak üzere birçok faktör yol açtı.
Ancak Şubat 2021’de Spring Valley’deki sistemlerine yönelik fidye yazılımı saldırısının oynayacağı büyük rol vardı; hastanenin verilen hizmetler için sigortacılardan ödeme alma kabiliyetini feci şekilde etkilediler ve saldırı, hastanenin BT ağının, e-posta sistemlerinin, elektronik tıbbi kayıtlar (EMR) portalının ve diğer Web operasyonlarının kapatılmasına neden oldu.
Katkıda Bulunan Faktör
SMH’nin kalite ve toplum hizmetlerinden sorumlu başkan yardımcısı Linda Burt, saldırının dört ay sürdüğünü ve bu süre zarfında çalışanların e-posta ve EMR sistemi de dahil olmak üzere BT sistemine erişiminin olmadığını söyledi.
Burt, “Tıbbi kayıtlar için kağıda başvurmak zorunda kaldık. Yeniden çevrimiçi olmak ve herhangi bir ücret girebilmek veya iddiaları gönderebilmek aylar sürdü ve bazı hizmet hatlarında neredeyse bir yıl sürdü,” diyor. “Sigorta planlarının birçoğunun, yapılmadığı takdirde ödeme yapmayacakları zamanında dosyalama hükümleri var. Dolayısıyla, hiçbir tazminat talebi gönderilmiyor ve hiçbir ödeme gelmiyordu.”
SMH, güvenlik analisti ve araştırmacı Adrian Sanabria’nın elinde tuttuğu, son yirmi yılda bir siber saldırı nedeniyle iflas etmek zorunda kalan kuruluşların listesini yapan en son kişidir. Liste şu anda birden çok sektörden – çoğu küçük – 24 kuruluştan oluşuyor. Listedeki isimler arasında, yaklaşık 40 milyon kredi kartıyla ilişkili hassas verilerin açığa çıkmasına neden olan bir veri ihlalinin ardından 2005 yılında kapanan ödeme işleme firması CardSystems; bilgisayar korsanlarının sistemlerine girip şirket hakkında bilgi sızdırmasının ardından 2011 yılında kapanan güvenlik firması HBGary; ve bir fidye yazılımı saldırısının ardından 2019’da kapanan Brookside KBB ve İşitme Merkezi. Anlamlı bir şekilde, Sanabria’nın listesindeki siber saldırıların 10’u fidye yazılımıyla ilgili ve bunların tümü, fidye yazılımının gerçekten artmaya başladığı 2014’ten sonra gerçekleşti.
St. Margaret, Son Fidye Yazılımı Kazası Olmayacak
Eski CISA baş stratejisti ve Claroty’de şu anki siber güvenlik stratejisi başkan yardımcısı Joshua Corman, SMH’de olanların diğer hastanelerin, özellikle de küçük hastanelerin ve kırsal alanlarda bulunanların başına gelmesini bekliyor. Aşırı hastane ölümleri ile fidye yazılımı arasındaki potansiyel ilişkiyi inceleyen bir CISA COVID-19 görev gücünün bir parçası olan Corman, kapanması en çok beklenen hastanelerin diğer hastanelerden ve alternatif bakım seçeneklerinden en uzakta bulunan hastaneler olduğunu söylüyor.
“Küçük ve kırsal hastaneler, son yıllardaki ciddi mali sıkıntılarla karşı karşıya. [the] Corman, salgın ve çok az kişinin planlanmamış aksamalar için elinde çok fazla nakit rezervi olduğunu söylüyor. Fidye yazılımı saldırıları, operasyonları haftalarca ve aylarca kesintiye uğratabilir ve bu nedenle, bardağı taşıran son damla olabilir.
Durumu daha da kötüleştiren birkaç faktör olabilir. Genellikle birçok küçük, orta ölçekli ve kırsal hastanede tam zamanlı bir güvenlik personeli yoktur. Ayrıca siber sigorta almakta daha zorlanırlar ve aldıklarında da daha az kapsam için daha pahalıya mal olabilir.
Corman, “Kongre ve Beyaz Saray rahatlamayı araştırıyor ve bunun zamanı çoktan geçti” diyor.
Bu arada, politika yapıcılar ve sektör paydaşlarının siber hijyen konusundaki çıtayı maddi yollarla yükseltmenin bir yolunu bulmaları ve daha küçük, hedef açısından zengin ancak siber açıdan fakir kuruluşlara mali yardım sağlamaları gerekiyor. Corman, “Fidye yazılımı saldırıları, Kurul düzeyinde dikkati hak eden yeni, insan yapımı ancak maddi bir tehlikeyi temsil ediyor” diyor. “Bu tehlike, daha küçük ve kırsal hastaneleri kapanmaya itebilir.”
Seattle Şehri eski CISO’su ve şu anda sağlık siber güvenlik firması Critical Insight’ta aynı rolde olan Mike Hamilton, SMH’ye yönelik saldırının fırsatçı mı yoksa doğası gereği hedefli mi olduğunun net olmadığını söylüyor. Ancak Hamilton, tehdit aktörü siber sigorta taşıdığını bilirse, muhtemelen isteseler bile fidye ödeyemeyecek durumda olan SMH gibi sağlık kuruluşlarının bile hedef haline gelebileceğini söylüyor. “Kuruluşların siber sigortaya sahip olduğunu bilmek, tehdit aktörlerinin haraç talebini yeniden inşa etme ve kurtarma maliyeti eşiğinin hemen altına koymasına olanak tanıyor” diye belirtiyor.
Eyalet ve Federal Yardımı Savunmak
Corman gibi Hamilton da, operasyonları sekteye uğratan bir siber saldırıyı, halihazırda ince marjlarla çalışan sağlık hizmeti sağlayıcıları için varoluşsal bir unsur olarak görüyor.
Corman, daha küçük ve kırsal sağlık sistemlerindeki yöneticilere ve üst yönetime eyalet ve federal yetkililerden yardım almalarını tavsiye ediyor. Corman, “Riski en aza indirmeye yardımcı olmak için, bu sistemler FBI ile birlikte bölgesel CISA ve HHS kaynaklarını devreye sokmalıdır” diyor. Ayrıca, CISA’nın Bilinen İstismar Edilen Güvenlik Açıklarının yamalanmasına öncelik vermeye odaklanabilir ve CISA’nın sunduğu Cyber Hygiene Scanning (CyHy) ve Cyber Essentials gibi bazı ücretsiz siber güvenlik araçlarından yararlanabilirler.
Hamilton, sağlık hizmeti BT ekiplerinin çalışanların bir sağlık hizmeti ortamından internete erişimini mümkün olduğunca sınırlaması gerektiğini söylüyor. “Elektrik üreten bir barajı çalıştıran bir kontrol odası benzetmesini kullanın – İnternet erişimi yok, nokta” diyor. “Çoğu saldırı, kullanıcı eylemiyle başlar ve bu erişimin sınırlandırılması, önleme üzerinde çok büyük bir etkiye sahip olabilir.”