Siber güvenlik firması Picus Security güvenlik araştırma mühendisi Sila Özeren, ABD federal yetkililerinin operasyonel teknolojide kullanılan bazı cihazlardaki güvenlik açıkları hakkında son tavsiyelerin, birçok sağlık sektörü kuruluşunun sıklıkla hafife alındığı potansiyel güvenlik risklerinin altını çizdiğini söyledi.
Siber güvenlik altyapısı ve Güvenlik Ajansı tarafından yapılan son iki uyarıyı bu kritik güvenlik açığı sorunlarını vurgulamaktadır.
Bu, Advantech Iview’deki çeşitli güvenlik açıklarına ilişkin bir CISA danışmanlığı, HVAC, erişim kontrolü ve güç sistemlerini yöneten akıllı bina platformlarına ve Siemens siprotec 5 cihazlarında bir kusur hakkında ayrı bir CISA uyarısı içerir.
Etkilenen OT ürünlerinin her ikisi de büyük hastanelerde ve diğer sağlık ortamlarında bulunabilir ve sömürülürse çeşitli potansiyel olarak ciddi riskler sunabilir.
Örneğin, Advantech Iview’deki bazı güvenlik açıklarının kullanılması “hastanenin bazı kısımlarında elektrik kesintilerine veya kararsız güç kalitesine yol açabilir” dedi. “Bu, sıcaklık artışlarına veya hava filtreleme arızalarına ve hatta kapanmalara bile neden olabilir. Bu, kullanılamaz olabilirler çünkü ameliyat odalarıyla uğraşabilir.” Dedi.
Yetkili, bu ürünleri kullanan sağlık tesislerinin sorunları yeniden tasarlamak için proaktif olması gerektiğini söyledi.
“Patch, Patch, Patch. Yamalar ve güncellemeler uygulayın. Canlı bir hastanede eşleştirilmemiş bir sistem riski çok büyük olduğundan, planlanmış kesinti süresi gerektirse bile yamayı geciktirmeyin.”
Bilgi Güvenliği Medya Grubu ile bu sesli görüşmede (Fotoğraf Aşağıdaki Ses Link), ÖZEREN de tartıştı:
- Etkilenen Advantech Iview ve Siemens Siprotec 5 ürünlerindeki belirli güvenlik açıklarının detayları;
- Sağlık ortamlarında kullanılan diğer OT cihazlarında görülen bu güvenlik açıklarının ve benzer güvenlik sorunlarının iyileştirilmesi;
- Sağlık sektörünün OT güvenlik risklerini nasıl daha iyi ele alabileceği.
Picus Security’de bir yardımcı güvenlik araştırma mühendisi olan Özeren, Türkiye’deki Orta Doğu Teknik Üniversitesi’ndeki Uygulamalı Matematik Enstitüsü’nden kriptografi alanında bir MSC’ye sahiptir ve burada Crystals-Kyber ve maskeli uygulamaları adlı PQC algoritması üzerine tezini tamamlar.