Amerikan Hastane Birliği ve Sağlık-ISAC bir bildiri yayınladı ortak tehdit bülteni Rus siber suç fidye yazılımı çetelerinin gerçekleştirdiği bir dizi fidye yazılımı saldırısının ardından ABD ve İngiltere’de kan sıkıntısı yaşandı ve hasta bakımı aksadı.
Kuruluşlar, sağlık hizmeti sunum kuruluşlarını (HDO’lar), hastaneleri ve sağlık sistemlerini, hasta bakımı sunumunda önemli sorunlar yaratabilecek üçüncü taraf satıcılara yönelik siber saldırıların neden olduğu fiziksel tedarik zinciri kesintilerine hazırlanmaya çağırdı. Bülten, kan tedarikçilerine yönelik son üç fidye yazılımı saldırısına dikkat çekti.
Temmuz ayında, Florida merkezli kan tedarikçisi OneBlood, şirketin kan örneklerini manuel olarak etiketlemek zorunda kalması nedeniyle bölgedeki kan ürünlerinin gönderiminde büyük gecikmelere neden olan bir fidye yazılımı saldırısının hedefi oldu. Sonuç, bölge hastanelerini ve hasta bakımını etkileyen bir kan kıtlığıydı. Haziran ayında, patoloji tedarikçisi Synnovis bir fidye yazılımı çetesi tarafından saldırıya uğradı, bu da Londra’daki birçok hastanede bakım ve planlanan ameliyatlarda gecikmelere neden oldu ve binlerce ünite kanın kullanılamamasına neden oldu çünkü hasta kan grupları sağlık kayıt sistemine erişim olmadan araştırılamıyordu. Nisan ayında ise kan plazması tedarikçisi Octapharma, savunmasız bir VMWare sistemi üzerinden saldırıya uğradı ve 35 eyalette kan plazması bağışları durduruldu. Bu siber suçlular, ABD ve AB’de hasta bakımını aksatmanın yanı sıra bağışçı bilgilerini ve bağışçı tarafından korunan sağlık bilgilerini çalabildiler
Sağlık BT ekiplerinin tedarik zinciri kesintilerinin iş operasyonlarını ve hasta bakımını nasıl etkileyeceğini göz önünde bulundurmaları ve tek arıza noktalarını belirlemeleri gerekir. Saldırılar, kritik öneme sahip tedarikçileri kurumsal risk yönetimi ve acil durum yönetimi planlarına dahil etme ihtiyacını vurgular. Kuruluşların ayrıca tedarik zincirlerindeki kritik öneme sahip tarafları belirlemek ve bu hizmetlerden herhangi birinin kaybını nasıl ele alacaklarına dair prosedürler geliştirmek için çok disiplinli Üçüncü Taraf Risk Yönetimi (TRPM) yönetim komiteleri ve programları geliştirmeleri gerekir.
Health-ISAC ve AHA bülteni ayrıca üçüncü taraf tedarikçilerin; sağlık hizmeti misyonu için elzem olup olmadığını, tedarikçi başarısız olursa kuruluş için felaketle sonuçlanabilecek sonuçlara yol açıp açmayacağını ve uygun alternatiflerin olup olmadığını dikkate almayı öneriyor.