Sağlık hizmetleri sektörünü hedef alan saldırıların sayısı son birkaç yılda önemli ölçüde arttı. Sağlık kurumları, ulus devlet aktörleri ve siber suçlular tarafından aranan para ve istihbarat açısından son derece değerli bilgilere erişimleri olduğu için siber saldırılara karşı savunmasızdır. Korunan sağlık bilgileri (PHI), finansal veriler (kredi kartı bilgileri ve banka hesap numaraları gibi), kişisel olarak tanımlanabilir bilgiler (PII) (Sosyal Güvenlik Numaraları gibi) ve tıbbi araştırma ve inovasyonla ilgili fikri mülkiyetin tümü hedeflenen veri.
Sağlık hizmetleri sektörüne yönelik bir siber saldırının ağ kesintileri, engellenen izleme, güvenliği ihlal edilmiş pnömatik pompalar ve IV infüzyon tüpleri ve hasta verilerinin çalınması gibi ciddi etkileri olabilir. Amerika Birleşik Devletleri Sağlık ve İnsani Hizmetler Departmanına (HHS) göre, 2021’de 45 milyon insan, 2018’de etkilenen 14 milyona göre üç kat artışla sağlık hizmeti saldırılarından etkilendi.
ABD hükümeti, sağlık sektörünü siber saldırılara karşı savunmasız 16 kritik altyapıdan biri olarak sınıflandırıyor. Sağlık sektörünün önemi göz önüne alındığında, herhangi bir sağlık hizmeti sağlayıcısına yönelik bir saldırı, yönetimden hasta bakımına kadar her şeyi etkileyerek ciddi sonuçlar doğurabilir. Öte yandan, siber suçlular, hastalarının verileri için fidye ödemeleri için hastanelere ve sağlık kuruluşlarına baskı yapmanın karlı olduğunu uzun zamandır keşfettiler. Bu nedenle, sektörün geçtiğimiz yıl içinde birkaç büyük saldırı yaşaması şaşırtıcı değil. Sağlık hizmeti sağlayıcıları, önerilen dört ipucumuzu izleyerek başarabilecekleri siber güvenlik duruşlarına şimdi her zamankinden daha fazla öncelik vermelidir.
- Gecikmeyi Önleyerek Saldırı Penceresini Azaltın
Eski ürünleri kullanan sağlık hizmeti satıcıları ve kuruluşları, yazılım sürümlerini iki kez kontrol etmeli ve güvenlik açıklarını gideren en son sürümleri kullanmalı ve fidye yazılımı saldırılarını önlemek için önerilen hafifletme önlemlerini uygulamalıdır. Eski ürünler, genel olarak, saldırganlara saldırmak için bir fırsat penceresi sunar.
- Biyometrik Güvenliğe Yatırım Yapın
Kullanıcıları, sistemleri ve uç noktaları herhangi bir yerdeki uygulamalara ve hizmetlere güvenli bir şekilde bağlama ve yönetme kurumsal stratejisinin bir parçası olarak Secure Access Service Edge (SASE) çözümleri, şirket içi, bulut ve çevrimiçi kaynaklar. Tutarlı bir klinik deneyim sağlamak, yalnızca sağlık hizmetlerinin kalitesini iyileştirmeye yardımcı olmakla kalmayacak, aynı zamanda harici veya dahili saldırganlara karşı ekstra bir koruma katmanı ekleyerek güvenliği de artıracaktır.
- Elektronik Sağlık Kayıt Sistemlerini Kullanın
Elektronik Sağlık Kaydı (EHR) sistemleri, doktorlara, hizmet sağlayıcılara ve hasta bakıcılara eksiksiz hasta bilgileri gibi dijital verileri zahmetsizce paylaşmalarına izin verdiği için hastalara en fazla faydayı sağlar. Sağlık hizmetleri sektöründe artan önemi nedeniyle, özellikle EHR’leri hedef alan siber suçlarda da önemli bir artış görülmüştür. Hassas hasta bilgilerini ve kişisel bilgileri bilgisayar korsanlarından korumak için EHR’ler yakından izlenmelidir.
- Çok Faktörlü Kimlik Doğrulamayı Uygulayın
İki faktörlü kimlik doğrulama (2FA) olarak da adlandırılan çok faktörlü kimlik doğrulama (MFA), daha geleneksel olan yalnızca parolayla kimlik doğrulama yaklaşımının yerini almış ve çok önemli bir güvenlik güçlendirme aracı haline gelmiştir. Hassas hasta verilerine erişmek için, 2FA sistemlerine erişimi olan sağlık personelinin, akıllı telefon istemleri de dahil olmak üzere, sanal belirteçlere veya fiziksel belirteçlere ihtiyacı olacaktır.
Güvenlik Açığı İstihbaratı Çok Önemlidir
Siber güvenliğe yatırım eksikliği, sağlık çalışanları arasında siber bilgi eksikliği ve bilgisayar korsanlarına kolay bir yol sağlayan kusurlarla dolu ürünler gibi çeşitli faktörler nedeniyle sağlık ekipmanları bilgisayar korsanları için birincil hedeftir.
Güvenlik açıkları bilgisi önemlidir. Sağlık hizmeti veren işletmeler, karşılaştıkları siber güvenlik tehditlerinin farkında olmalı ve bunları ele alacak planlara hazırlıklı olmalıdır. Planlar, fidye yazılımı ve dağıtılmış hizmet reddi (DDoS) saldırıları veya hasta verilerini ifşa edebilecek veya hayat kurtaran sağlık bakım cihazlarını tehlikeye atabilecek başka herhangi bir şey gibi tehdit vektörlerini değerlendirme ve hazırlama konusunda uzmanlaşmış kuruluşlar tarafından sık sık sızma testlerini içerebilir.
yazar hakkında
Benim adım Aaron Sandeen ve DHS sponsorluğundaki bir şirket olan Cyber Security Works’ün (CSW) CEO’su ve Kurucu Ortağıyım. Aaron, şirket operasyonlarının her katmanında akıllı ve eyleme dönüştürülebilir güvenlik içgörüleri sağlama konusunda CSW’ye liderlik ediyor. Aaron’a çevrimiçi olarak https://www.linkedin.com/in/aaronsandeen/ adresinden ve şirketimizin http://www.cybersecurityworks.com/ web sitesinden ulaşılabilir.