Sağlık hizmetlerinde fidye yazılımı saldırıları en büyük tehdidimiz Z-Cert.nl’nin yıllık raporuna göre. Bu raporda bahsediliyor ki Bireysel uygulamalara kıyasla sağlık hizmeti sunucularının satıcıları daha sık hedef alınıyor veya profesyoneller (sayfa 16).
Bunun nedeni, bir satıcıyı hacklerseniz etkinin daha büyük olabilmesi olabilir; çünkü satıcı muhtemelen aynı anda birden fazla müşteriye hizmet verir.
Çoğu insanın aklına hastalar tarafından kullanılan sağlık hizmeti sağlayıcıları geliyor; örneğin yaşlılarımız için kullandığımız alarm sistemleri. Geçen yıl bu satıcılardan biri bir fidye yazılımı saldırısının kurbanı oldu; Tunstall.
Peki sağlık hizmeti sağlayıcıları hakkında hassas verileri barındıran sağlayıcılar (örneğin şikayet memurları ve anlaşmazlık çözüm organları) ne olacak?? Ya veri sızdıran hatalar varsa?
Eğer yapabilseydik onlara kimin kaydolduğunu bulabiliriz hedef odaklı kimlik avı o sağlıkçılar: “Şikâyet aldınız, hemen şifrenizi girin”.
Bugün yapacağız firmayı hacklemek Şikayet ve anlaşmazlık komitesi olarak kullanıyorum sağlık çalışmalarım için; SKGE.nl
Bir yıldan fazla bir süre önce HAwebsso.nl’de, +15 bin Hollandalı doktorun e-postaları ve karma şifreleri de dahil olmak üzere özel bilgilerinin sızdırılmasına yol açan veri sızıntısını tartışmıştık. Bu ilginç bir bulguydu çünkü en az +3 yıldır var olan bir hatayı ortaya çıkardı (Archive.org günlükleriyle ilgili olarak belki +5 yıl bile).
LHV hatayı hızlı bir şekilde hafifletti ve açıklamayı koordine etti, nasıl olduğuna dair harika bir örnek koordineli güvenlik açığı açıklaması uygulanabilir sağlık hizmetlerinde.
Ancak Bugünün satıcısı SKGE.nl gelecekte bu tür koordineli güvenlik açığı açıklamalarını yapmıyor raporlama sırasında.
İyi haber şu ki, rapordan sonra SKGE, aşağıdakilerle eşleşen bir CVD yayınladı: NCSC yönergeleri. Fakat Üzücü haber şu ki, sahte raporların akışı onları çevrimiçi tutamayacak kadar yüksektibu yazının yazıldığı sırada (17-03-2024) buna çözüm arıyorlardı (Z-Cert burada yardımcı olabilir).
Herkesin CVD’ye erişimini sağlamak istiyorsak, öğrenilen ilginç bir ders ve daha geniş ölçekte düzeltmemiz gereken bir şey. Bu, hükümetimizin, örneğin CVD önceliklendirme hizmetlerine ihtiyaç duyan kar amacı gütmeyen kuruluşlara hibe sağlayarak düzeltmesi gereken bir şey mi? Yoksa kendilerine hizmet diye bir şey mi teklif ediyorlar?
Birisi kendilerine şu soruyu sorabilir: Açıkça izin verilmeyen bir sistemi hacklemek etik dışı mıdır?
Bu tür bir güvenlik araştırması yapmak kamu yararına hizmet etmektir ve toplumumuz üzerinde ciddi etkisi olan şeyleri araştırmaya çalışan bir gazeteci olmakla karşılaştırılabilir. Özellikle kendi verilerinizi barındırıyorsa.
Ayrıca DIVD Davranış Kurallarına bakın:
Yasal olarak izin verilen sınırların dışında çalıştığımızın farkındayız, bu nedenle güvenlik açıklarının ifşa edilmesiyle ilgili davalarda yaygın olarak kullanılan şu üç kritere göre ilerliyoruz:
Toplumsal ihtiyaç: Mümkün olduğu kadar çok sayıda internet kullanıcısının çevrimiçi zarar görmesini önlemek için güvenlik açığı açıklamasını yapıyoruz ve herhangi bir mali, politik veya bireysel çıkara hizmet etmiyoruz.
Prensibi Orantılılık: Bu ihtiyaca uygun araçlarla hizmet veriyoruz. Araştırmamız çevrimiçi sistemlerin bütünlüğünü ve kullanılabilirliğini artırmalı ve azaltmamalıdır.
Prensibi Yetki devri: İhtiyacı karşılamak için birden fazla araç mevcutsa, en az etkiye sahip olanı tercih ederiz.
A gerçek dünya örneği Hollandalı Gazeteci’nin Daniel Verlaan hackledi AB savunma bakanlarının video konferansı. Bildiğim kadarıyla araştırma yapma izni yoktu, ancak bu hackleme için kendisinden herhangi bir ücret alınmayacak. Bay Borrell hacklemesi sırasında ona şunları söyledi:
“Bunun suç olduğunu biliyorsun değil mi? Polis gelmeden önce hemen imzanızı atsanız iyi olur.” – Bay Borrell, 21 Kasım 2020
Daniel gibi etik gazetecileri/bilgisayar korsanlarını desteklememiz gerektiğine dair (siyasi) liderliği ikna etmek için hala yapmamız gereken işlerin olduğuna dair açık bir işaret. Onları suçlamayın, korkutmayın ve hatta işlerini riskli hale getiren yasalara sahip olmayın.
Öngörüleri paylaşmak ve herkesin önceki hatalardan ders almasını sağlamak ilerlemenin tek yoludur; Devlet aktörleri (sınırsız bütçeler) veya banka hesaplarında (bitcoin cüzdanları) milyonlarca dolar bulunduran fidye yazılımı grupları gibi tehditlerle rekabet etmek zorundasınız.
Son zamanlarda DIVD’nin Adalet Bakanımız (Hollandalı) tarafından onaylanması iyi bir gelişme; DIVD, internetin tamamını güvenlik açıklarına karşı aralıksız taradığından ve sorumlu kişiler bu hataları sistem sahiplerine açıkladığından. Sorumlu bir ifşa politikasına sahip olsalar bile, dünyanın neresinde olurlarsa olsunlar. Kimse bir itfaiyeciye dava açmaz değil mi? Bu arada, her zaman yetenek ararlar, eğer yapabiliyorsanız onlara katılın!
Platformda sağlık hizmeti sağlayıcılarının iletişim bilgilerini değiştirmek için kullandıkları bir portal bulunmaktadır.
Gerçek şikayetler hiçbir portalda kayıtlı değildir. Saklamazsanız kaybedemezsiniz. Saldırı yüzeyini azalttığı için akıllıca bir hareket.
Öyleyse diğer sağlayıcıların verilerine erişip erişemeyeceğimize bir bakalım. Faturaları indirebileceğimiz noktalara göz atmak her zaman iyi bir başlangıçtır.