Bulut ve IoT Güvenlik Açıklarının Kritik Tehdidi
Yazan Ty Greenhalgh, Sektör Müdürü, Sağlık Hizmetleri, Claroty
Sağlık sektörü, mükemmel bir zorluk fırtınasıyla boğuşuyor: ekonomik belirsizlik, personel eksiklikleri, COVID ile ilgili birikmiş işler ve kıt kamu finansmanı. Şimdi, siber saldırılar hem mali durumu hem de hasta bakımını tehdit ederek krizi tırmandırıyor.
Sağlık kuruluşlarını hedef alan siber saldırılar geçen yıl %45 artarken, bir ihlalin ortalama maliyeti 2020’den bu yana %40’ın üzerinde arttı. Sağlık hizmetlerinin siber suçlular için birincil hedef olduğuna işaret eden 2023 tahminleriyle risk hiç bu kadar yüksek olmamıştı.
Dijital ortamın, özellikle de Tıbbi Nesnelerin İnterneti’nin (IoMT) hızla genişlemesi, sağlık ağlarını savunmasız bırakıyor. Uzaktan izleme sistemleri ve dijital insülin pompaları gibi cihazlar, farkında olmadan saldırganlar için giriş noktaları sağlayabilir.
Daha da kötüsü, birbirine bağlı tıbbi sistemler, ihlal edildiğinde hayati hizmetleri ve hasta bakımını etkileyerek yaygın kesinti riski taşır. Paris’teki Medstar Washington Hastanesi ve André-Mignot eğitim hastanesine yönelik olanlar gibi fidye yazılımı saldırıları bu vahim gerçeği vurgulamaktadır.
UC San Diego Health Siber Güvenlik Tıbbi Direktörü Dr. Christian Dameff’in yerinde bir şekilde ifade ettiği gibi, “bitlerin ve baytların et ve kanla buluştuğu bir noktadayız.” Şimdi, güvenlik ekiplerinin hem sektörü hem de hizmet verdiği hastaları koruyarak sağlık hizmetlerinin dijital ortamını güvence altına alması her zamankinden daha önemli.
Siber-fiziksel sistemlerde artan güvenlik açıkları riski
Siber-fiziksel sistemlerin ve IoT cihazlarının yakınsaması, hasta verilerinin gerçek zamanlı izlenmesini ve analiz edilmesini sağlayarak ve kişiselleştirilmiş tedaviler için daha etkili fırsatlar yaratarak sağlık hizmetlerini olumlu yönde dönüştürüyor. Bu tür teknolojiler ayrıca süreçleri otomatikleştirerek, insan hatasını azaltarak ve uzaktan sağlık hizmetlerini kolaylaştırarak sağlık hizmeti verimliliğini artırıyor. Tüm bu faktörler, sağlık hizmetlerinin erişilebilirliğini ve maliyet etkinliğini önemli ölçüde artırmaktadır.
Ancak aynı zamanda, bu yakınsama aynı zamanda güvenlik riskleri için saatli bir bomba yaratıyor. Tıbbi sistemler buluta ve uzak sunuculara yüksek oranda entegre hale geldikçe, kritik hasta bakım tesislerini kesintiye uğratan potansiyel siber saldırı riski de artıyor. Fidye yazılımı gibi potansiyel olayların sonuçları, gecikmiş tedaviler, yanlış teşhisler ve hatta can kaybı gibi yıkıcı sonuçlara yol açabilir. Halihazırda tıbbi durumlarının fiziksel ve duygusal bedeliyle karşı karşıya kalan hastalar, şimdi kendilerini yüksek riskli bir dijital savaş oyununda farkında olmadan piyon olarak buluyorlar.
Peki sağlık sistemlerindeki bu artan güvenlik açıklarına yol açan nedir? Bunun en önemli nedenlerinden biri, birçoğu artık temel güvenlik güncellemeleriyle satıcılar tarafından desteklenmeyen eski işletim sistemlerinin ve cihazların kullanılmasıdır. Örneğin, Birleşik Krallık’taki çok sayıda NHS GP’si, Windows işletim sisteminin on yıllık bir sürümüne güvenmeye devam ederek onları kötü niyetli aktörler tarafından istismar edilebilecek yama uygulanmamış güvenlik açıklarına maruz bırakıyor.
Yangını körükleyen birçok sağlık kuruluşu, en son yazılım güncellemelerini veya güvenlik özelliklerini destekleyemeyen eski tıbbi cihazlara hala bağımlıdır. Bu güvenlik açıkları, IoT cihazlarının genellikle proaktif güvenlik göz önünde bulundurularak geliştirilmemiş olması gerçeğiyle birleşir. Zayıf varsayılan parolalar, şifreleme eksikliği ve iki faktörlü kimlik doğrulamanın olmaması, IoMT’nin başarısız olduğu noktalardan yalnızca birkaçıdır. Bu tür başarısızlıklar, saldırganların sağlık hizmetleri ağlarına erişmesi, hasta verilerini tehlikeye atması ve doktorların bakım sağlama yeteneklerini engellemesi için kapıyı ardına kadar açık bırakır.
Ayrıca, siber güvenliğe yeterince odaklanılmaması nedeniyle düzenleyici ortamda bariz bir eksiklik var. MHRA, tıbbi cihazların uygunluk değerlendirmelerini yapmaktan sorumlu olsa da, birincil endişeleri siber güvenlik riskinden çok operasyonel fizibilitedir. Bu, üreticilerin mevcut standartlara uygun olarak cihazları güvenlik açıkları için test etmeyebileceği anlamına gelir.
Güvenlik açığı açıklamaları önemli ölçüde artıyor
Güvenlik, Genişletilmiş Nesnelerin İnterneti (XIoT) genelinde önemli bir zorluk olmaya devam etti. Bu şemsiye terim, tüketici araç gereçlerinden endüstriyel ve tıbbi kontrol sistemlerine kadar tüm bağlı cihazları kapsar. Claroty tarafından yapılan son araştırma, 2021’den 2022’ye kadar XIoT cihazlarını etkileyen güvenlik açıklarında %6’lık bir artış keşfetti.
Daha da önemlisi, son iki yılda 150’den fazla IoT güvenlik açığının ifşa edildiğini gördük ve bu da tıbbi ağların güvenlik açığı değerlendirme uygulamalarının giderek daha önemli bir parçası haline geldiğini gösteriyor.
Tüm bu faktörler, XIoT güvenlik sorunları konusunda artan bir farkındalık olduğu gerçeğine işaret ediyor. Cihaz üreticileri, son kullanıcılar ve güvenlik sektörü, bu güvenlik açıklarını bulmaya ve istismar edilmeden önce bunları kapatmaya daha fazla odaklanıyor.
En olumlu çıkarım, satıcı ifşa oranlarının 2020’den bu yana eşi görülmemiş bir şekilde artmasıdır. Araştırmamızda ilk kez, XIoT güvenlik açıklarının satıcı tarafından kendi kendine ifşa edilmesinin sayısı arttı.
üçüncü taraf güvenlik şirketlerinin araştırma ekiplerinin ve bağımsız araştırmacılarınkini geride bıraktı. Bu, satıcıların güvenlik değerlendirme çabalarında daha dikkatli hale geldiklerinin, siber-fiziksel sistem güvenliğine daha etkin bir şekilde yatırım yaptıklarının ve ürün güvenlik programlarını hep birlikte iyileştirdiklerinin çok olumlu bir göstergesidir.
Satıcılar ileriye dönük olarak bu kadar dikkatli olmaya devam ederse, güvenlik ekipleri sağlık hizmeti açıklarını tehdit aktörleri tarafından kullanılmadan önce ele almak ve yamalamak için çok daha iyi bir yerde olacak.
Bununla birlikte, bu artan ifşa oranına rağmen, savunmasız cihazların hala yaygın olduğunu hatırlamak önemlidir. Fiziksellik, bu cihazları yönetirken ve güvenliğini sağlarken en büyük sorundur. Sağlık kuruluşları, özellikle bir tesis genelinde çok yüksek hacimli cihazların dağıtılacağı sensörlerde IoT varlıklarının izini hızla kaybedebilir.
Ek olarak, birçok bağlı cihaz, onları güvenlik açıklarına daha yatkın hale getiren ve yönetimi daha zor hale getiren tasarım sorunlarına sahiptir. Örneğin, bir aygıtın karmaşık bir kullanıcı arabirimi olabilir, bu da aygıtın yanlış yapılandırılması ve güvenliğinin zayıf olması olasılığını artırır. Diğer durumlarda, bir aygıtın yamalar ve bakım için fiziksel olarak açılması gerekebilir; bu, yönetilmesi gereken yüzlerce birim olduğunda büyük bir sorundur.
XIoT varlıklarını güvende tutmak için yoğun çaba harcayan kuruluşlar için bile birkaç cihazı gözden kaçırmak çok kolaydır. Bir ihlali etkinleştirmek için genellikle tek bir güvenlik açığı yeterlidir.
Sağlık hizmetlerine proaktif güvenlik uygulama
Güvenlik açığı keşiflerinin sayısı artarken, tehdit daha ciddiye alınıyor. Birleşik Krallık ve AB de dahil olmak üzere devlet organları, XIoT güvenliğini daha yakından düzenlemek için yasalar üzerinde çalışıyor, daha güvenli tasarımlar ve güvenlik açıklarına yönelik daha hızlı eylem için baskı yapıyor.
Sektör gelişmeye devam ettikçe, özellikle sağlık hizmetleri gibi yüksek riskli alanlarda, XIoT cihaz satıcılarının güvenliğe daha fazla odaklandığını doğal olarak görmeliyiz. Geliştiriciler ve üreticiler, ürünlerinin kolayca yönetilebilmesinden ve düzenli güncellemelerle sağlanabilmesinden sorumludur.
Üreticilerin, kilit düzenleyici kurumlar tarafından ortaya konan standart siber güvenlik uygulamalarını takip etmeye daha fazla önem vermesi gerekiyor. IMDRF (Uluslararası Tıbbi Cihaz Düzenleyicileri Forumu) kılavuzu gibi standartlar, tıbbi cihazların toplam ürün yaşam döngüsü (TPLC) boyunca siber güvenliğini sağlamaya yönelik temel güvenlik ilkelerini ve en iyi uygulamaları sağlar. Sağlık hizmeti kuruluşları ayrıca yalnızca bu yasal düzenleme ilkelerini karşılayan ürün ve sistemler aldıklarından emin olmalıdır.
Bu arada, herhangi bir XIoT’yi operasyonlarına uygulayan kuruluşlar durum tespiti yapmalıdır. Bu, ürünleri tam olarak değerlendirmek ve güvenlik açığı düzeltme eki gibi güvenlik temellerini ele aldıklarından emin olmak için zaman ayırmak anlamına gelir.
Mevcut XIoT uygulamaları için kritik altyapı kuruluşları, en küçük hayati sensörden en büyük MRI makinesine veya Endüstriyel Kontrol Sistemine (ICS) kadar ağlarına bağlı her cihazın tam görünürlüğünü sağlamalıdır. Otomatik varlık bulma araçları, bağlantıları tanımlamaya ve bu görevi daha yönetilebilir hale getirmeye yardımcı olabilir. Tüm cihazlar tanımlandıktan sonra, güvenlik güncellemelerini uygulamak için düzenli bir tempo uygulamak çok önemlidir.
Sağlık kuruluşları, bağlı bir cihazın keşfedilme ve istismar edilme olasılığını sınırlayan ağ hijyen önlemlerini uygulamayı da düşünmelidir. Mevcut çeşitli seçenekler arasında, ağ bölümlendirme oldukça etkilidir ve araştırmamız, kritik güvenlik açıklarını ele almada en başarılı güvenlik yaklaşımı olduğunu ortaya koymuştur. Esasen bu, ağın sanal bölgelere bölünmesini içerir ve saldırganların savunmasız bir XIoT cihazından ana ağa girmesini zorlaştırır.
Mali kazanç için insanların hayatını tehlikeye atmaya istekli siber suçluların acımasız doğası göz önüne alındığında, bağlı cihazlar genellikle saldırılar için kolay bir yol ve büyük kesintiye neden olma yolu sunduğundan, sağlık sektörü XIoT varlıklarının güvenliğine öncelik vermelidir.
yazar hakkında
Ty Greenhalgh, 30 yılı aşkın bir süredir Sağlık Hizmetleri Bilgi Teknolojisi ve Bilgi Yönetimi endüstrisine kendini adamıştır. Kendisi, ISC2 sertifikalı bir Sağlık Hizmetleri Bilgi Güvenliği ve Gizlilik Uygulayıcısı (HCISPP) ve Siber Güvenlik Görevlisidir. Deneyimi, sağlık kuruluşlarının aşılmaz gibi görünen zorlukların üstesinden gelmesine yardımcı olmak için gelişmiş yıkıcı teknoloji çözümlerinden yararlanmıştır. Ty, çeşitli grup ve derneklerde aktif bir üyedir; Sağlık Hizmetleri ve Halk Sağlığı Sektörü Koordinasyon Danışmanının Ortak Siber Güvenlik Çalışma Grubu, Ulusal Siber Güvenlik Eğitimi Girişimi (NICE) İşgücü Geliştirme Çalışma Grubu, Kuzey Karolina Sağlık Bilgi ve İletişim Birliği (NCHICA) Biyomedikal Görev Gücü.
Şirket web sitesi: https://claroty.com/