İş Sürekliliği Yönetimi / Felaket Kurtarma, Kritik Altyapı Güvenliği, Uç Nokta Güvenliği
FBI, Bağlantılı Tıbbi Cihazların Çoğunun Kritik Güvenlik Açıkları İçerdiğini Açıkladı
Chris Riotta (@chrisriotta) •
22 Aralık 2023
Yeni Hükümet Sorumluluk Ofisi raporuna göre, ABD’deki tıbbi cihazların büyük çoğunluğu, “hastane operasyonları ve hasta bakımı üzerinde potansiyel felaket etkisi” ile sonuçlanabilecek kritik güvenlik açıkları taşıyor.
Ayrıca bakınız: Bugün Yeni Windows 11 Pro Cihazlara Geçmek İçin Dört Neden
Perşembe günü yayınlanan raporda, federal kurumların sağlık hizmeti sağlayıcılarına ve hastalara tıbbi cihazlardaki bu kusurları gidermek için yeterli kaynak ve bilgiyi sağlayamadıkları belirtiliyor.
Sağlık ve İnsani Hizmetler Bakanlığı’na göre, tehdit aktörlerinin tıbbi cihazlardaki güvenlik açıklarından yararlandığı yaygın olarak bilinmiyor ancak GAO, bu tür cihazları hâlâ “siber güvenlik endişesi kaynağı” olarak gördüğünü söyledi.
Raporda, sağlık sistemleri, hastalar ve diğer önemli paydaşların, federal hükümetin tıbbi cihazlara yönelik tehditlerle ilgili güvenlik açığı iletişimlerini anlamada zorluk yaşadıkları belirtiliyor.
FBI’a göre hastanelerdeki bağlantılı tıbbi cihazların ve nesnelerin interneti cihazlarının %53’ü bilinen kritik güvenlik açıkları içeriyor ve ortalama bir tıbbi cihaz altıdan fazla güvenlik açığı içeriyor. Kalp pilleri, insülin pompaları, intrakardiyak defibrilatörler, mobil kardiyak telemetri ve intratekal ağrı pompaları gibi kritik tıbbi cihazlar en çok etkilenenlerdir.
Raporda, bir tehdit aktörünün bir güvenlik açığından yararlanarak bir sağlık hizmeti sağlayıcısının bilgisayar ağına yetkisiz erişim sağladığı ve ardından kalp monitörünün bağlı olduğu bir sunucunun komutasını ele geçirdiği olası bir senaryo ayrıntılarıyla anlatılıyor. Tehdit aktörü, tüm kalp monitörlerinin kontrolünü ele geçirmek ve bunları kapatmak için izinleri manipüle ederek hastaları riske atabilir. Tehdit aktörü daha sonra yandan bir saldırı yoluyla hastane ağındaki diğer tıbbi cihazların güvenliğini tehlikeye atabilir.
GAO, tıbbi cihazların genellikle, tehdit aktörlerinin yetkisiz erişim elde etmesine, veri enjekte etmesine ve komutları yürütmesine olanak tanıyan fabrika ayarları veya üretici yönetim şifreleri gibi güvenli olmayan varsayılan yapılandırmaları kullandığını tespit etti. Raporda ayrıca, onlarca yıl önce üretilen eski cihazların “siber güvenlik dikkate alınarak tasarlanmamış olabileceği” ve bunun sonucunda da “onları modern bir ortamda güvence altına almanın zor olabileceği” belirtiliyor.
GAO, Gıda ve İlaç İdaresi ile Siber Güvenlik ve Altyapı Güvenlik Ajansı’na, cihaz üreticileri için güvenlik rehberliği, bilinen güvenlik açıklarına ilişkin kamu uyarıları ve daha fazlasına ilişkin beş yıllık bir anlaşmanın güncellenmesi talimatını verdi.
Rapor, anlaşmanın tıbbi cihazlara yönelik çeşitli siber güvenlik uygulamalarını ele almada başarısız olduğunu ve organizasyonel ve prosedürel değişiklikleri yansıtacak şekilde güncellenmesi gerektiğini söylüyor.
Son mevzuat, Gıda ve İlaç İdaresi’ne tıbbi cihazlar için siber güvenlik gerekliliklerini belirleme yetkisi verdi. Tıbbi cihaz üreticilerinin, Mart 2023 itibarıyla tüketicilere sunulan tüm yeni tıbbi cihazlar için siber güvenlik açıklarını izlemeye, tespit etmeye ve gidermeye yönelik planlarını sunmaları gerekiyor.