Bulut bilişimden elektronik kayıtlara kadar dijitalleşmeye doğru atılan her adımda sağlık sektörü, hastaların yalnızca mahremiyetini değil aynı zamanda refahını da tehdit eden artan risklerle karşı karşıya kalıyor.
Bu Help Net Security röportajında, Google Cloud CISO Ofisi Direktörü Taylor Lehmann, sağlık hizmeti sağlayıcılarının bir veri ihlali sonrasında yerine getirmesi gereken etik ve yasal sorumluluklarla ilgili kritik tartışmayı tartışıyor. Finansal kaybın çok ötesine geçen, potansiyel olarak hayatları tehlikeye atan ve halkın sağlık sistemlerine olan güvenini sarsan siber tehditlerin ciddi sonuçlarını araştırıyor.
Lehmann ayrıca siber saldırıların operasyonel yansımalarına, bulut teknolojisinin sağlık veri güvenliği üzerindeki dönüştürücü etkisine ve bu gelişen tehditlere karşı savunmayı güçlendirmek için gerekli önlemlere de ışık tutuyor.
Veri ihlali durumunda sağlık hizmeti sağlayıcıları açısından etik ve hukuki sonuçları tartışabilir misiniz?
Hassas, değerli verilere yönelik tarihsel olarak zayıf korumalar ve güvenliği sağlanması zor eski teknolojiler, sağlık hizmetlerini saldırganlar için kolay ve çekici bir hedef haline getirdi. Bu sektördeki siber ihlallerin etkisi, büyük ölçüde topladıkları ve sakladıkları hassas kişisel veriler ve sağlık verileri ve bakım ortamında kullanılan birçok sistemin tıbbi prosedürlerin ve güvenlik önlemlerinin güvenliğini doğrudan desteklemesi nedeniyle bireyler üzerinde ciddi sonuçlar doğurabilir. yaşam sürdürmek.
Sağlık hizmeti sağlayıcıları, diğer sektörlerle karşılaştırıldığında benzersiz bir konumdadır; hasta verilerini koruma ve hasta bakımını siber tehditlere karşı koruma konusunda etik ve yasal yükümlülüklere sahiptirler. Sağlık hizmeti sunumu, güvenlik, dayanıklılık ve insan hayatının güvenliği arasında doğrudan bağlantının olduğu çok az sayıda sektörden biridir.
Bir örnekte, bir sağlık sistemi, bir siber saldırı sonrasında ağını yeniden kurmak için geçici olarak ambulansların yönünü değiştirmiş ve BT sistemlerini kapatmıştır. Tehdit aktörleri, değişen koşullar altında şifreleri, tıbbi kayıtları, sosyal güvenlik numaralarını veya diğer kişisel bilgileri çalabilir.
Yasal açıdan bakıldığında, sağlık hizmeti sağlayıcıları, Amerika Birleşik Devletleri’ndeki HIPAA veya AB’deki GDPR gibi karmaşık bir veri koruma yasaları ve düzenlemeleri ağına tabidir. Bu düzenlemelere uyulmaması, kuruluşlar için ağır cezai ve hukuki para cezalarına ve cezalara yol açabilir. İhlal mağdurlarının tıbbi kimlik hırsızlığı, mali kayıplar, potansiyel yaşam kaybı ve duygusal sıkıntı nedeniyle tazminat talep ettiği davalar da önemli hukuki, mali ve itibarsal etkiye sahip olabilir.
Siber saldırılardan kaynaklanan operasyonel etkiler hasta güvenliğini etkiliyor. Bu saldırıların sağlık hizmeti sunumunu nasıl etkilediğine dair bazı örnekler verebilir misiniz?
Sağlık ve yaşam bilimleri kurumlarına yönelik siber saldırılar, hastanın sağlığını doğrudan etkileyebilir. Siber saldırılar, oluşabilecek mali kaybın yanı sıra operasyonları aksatabilir, itibara zarar verebilir ve hatta halk sağlığını tehdit edebilir. Örneğin, bir ilaç şirketine yönelik bir fidye yazılımı saldırısı, yeni bir ilacın piyasaya sürülmesini geciktirebilir ve bu da ona ihtiyacı olan hastalar üzerinde ciddi bir etki yaratabilir.
Henüz bir siber saldırı nedeniyle kesin bir hasta ölümü yaşanmamış olsa da CISA, 2020-2021’de hastanelere yapılan başarılı fidye yazılımı saldırılarının hastanelerin hastalara bakım verme yeteneklerini azalttığını tespit etti. Haziran ayında, Spring Valley, Illinois’in küçük kırsal topluluğundaki tek hastane olan St. Margaret’s Health, kısmen 2021’deki fidye yazılımı saldırısının ardından hastane hizmetlerini geri yüklemenin aşılamaz maliyetleri nedeniyle kapılarını kalıcı olarak kapattı.
Yavaşça söylemek gerekirse trend çizgileri bizim lehimize değil. St. Margaret’s Health, faaliyetlerini kalıcı olarak durdurmanın birkaç nedeninden biri olarak (birkaç nedenden biri) bir siber saldırıyı belirten ilk sağlık tesisi olmasına rağmen; göstergeler bunun sonuncu olma ihtimalinin düşük olduğunu söylüyor. 2022 yılında hastanelere yönelik siber saldırılar nedeniyle ölüm iddialarının arttığını gördük.
Bunun etkileri aşılamaz. Kapılarını kapatan bir hastane, bölge sakinlerinin kritik bakım alma kabiliyetini doğrudan etkileyebilir.
Tehdit aktörleri sağlık sistemlerimizin savunmasız olduğunu biliyor ve tedavi ettikleri savunmasız insanlara zarar vermeyi umursamıyorlar. Sağlık hizmetlerinin karşı karşıya olduğu büyüyen, varoluşsal tehdide son vermek için yaratıcılık, yenilikçilik, ortaklık ve sağlık hizmetlerinde BT güvenliği ve risk yönetiminin mevcut durumunu değiştirme isteği gerekecek.
Bulut bilişime geçiş, sağlık kuruluşlarının siber güvenlik ortamını nasıl değiştirdi?
Genel bulutlar, sağlık ve yaşam bilimleri kuruluşlarının daha güvenli hale gelmesine yardımcı olmada önemli bir rol oynayabilir. Forrester kısa süre önce, bulut sağlayıcılarının güvenliklerini iyileştirmesiyle kuruluşların bulut teknolojilerine giderek daha fazla yatırım yaptığını tespit etti. Bulutun doğasında var olan daha iyi güvenlik, düzenleme motivasyonu ve yaygın topluluk çabalarıyla birleştiğinde, sağlık hizmeti sağlayıcılarının BT altyapılarını artan talepleri hızlı bir şekilde karşılayacak şekilde ölçeklendirmelerine olanak tanıyabilir.
Bununla birlikte, bulutta kötü yönetilen bir kimlik bilgisi, bir sağlık kuruluşunun hayatında bir günün nasıl geçeceği konusunda büyük fark yaratabilir. Bu büyüyen yüzey alanını, uygun bulut dağıtımı ve bakımı gerçekleştirerek yönetmek, öngörülebilir gelecekte sağlık kuruluşları için zorlu olmaya devam edecek; ancak bu kritik öneme sahiptir ve doğru şekilde yapılırsa uzun vadede güçlü bir yatırım getirisi sağlayacaktır. Son çeyrekte, Google Cloud verileri, buluta yapılan tüm ilk erişim saldırılarının yarısından fazlasının, tüm sektörlerde şifreleri zayıf olan veya hiç şifresi olmayan kullanıcılardan geldiğini gösteriyor. Saldırganlar içeri girdikten sonra fidye yazılımı dağıtırlar ve ayrıca bir tür yanıt veya ödemeyi zorunlu kılmak için verileri yok etmek, satmak veya bir kaldıraç olarak kullanmak üzere giderek daha fazla gasp ederler.
Sağlık kuruluşları bulutta depolanan verilerini korumak için hangi önlemleri uyguluyor ve hangi alanlarda iyileştirme alanı görüyorsunuz?
Sağlık kuruluşları, kullanıcı kimlik bilgilerinin tanımlanmasını, kurulmasını ve izlenmesini sağlamak için kimlik ve erişim yönetimi (IAM) sistemlerini geliştirmeye devam etmelidir. Bu, güvenlik ekiplerine şüpheli etkinlik konusunda erken uyarı sağlayarak kimlik bilgileri hırsızlığı olasılığını azaltmaya yardımcı olacaktır. Kuruluşlar, çalınan ve IAM protokolleri tarafından tespit edilmeyen kimlik bilgilerinin ihlallere yol açmamasını sağlamak için çok faktörlü kimlik doğrulamayı (MFA) kullanmalıdır.
Ek olarak, geçiş anahtarları, kullanıcının sisteme girmek için yalnızca oturum açma kimlik bilgilerine değil, cep telefonu gibi fiziksel bir cihaza da sahip olmasını gerektirerek kimlik bilgisi hırsızlığı olasılığını azaltmaya yardımcı olan giderek daha iyi bir araç haline geliyor. Kullanıcılara ve hizmetlere erişimin sürekli olarak değerlendirilmesi ve gerekli minimum düzeye indirilmesi ve son derece hassas kaynaklara tam zamanında erişim sağlanması, kuruluşun güvenli bir şekilde çalışmasına yardımcı olacaktır.
Sağlık kurumları, bulut güvenliği de dahil olmak üzere güvenlik hijyenine ve tüm iş gücünü siber tehditler konusunda eğitmeye odaklanmalıdır. Aksi takdirde bu kuruluşlar nispeten yaygın olan ve önlenebilir siber saldırıların kurbanı olabilirler.
Sağlık kuruluşlarının önemli bir yüzdesinin yakında bulut teknolojilerini benimsemeyi planladığı göz önüne alındığında, dikkate almaları gereken en önemli siber güvenlik hususları nelerdir?
1. Herkesin izlenmesi ve uygulanması gereken iyi bulut hijyenini uygulamasını sağlamak için ortamınıza ve personel eğitiminize korkuluklar oluşturun.
2. Kuruluş genelinde etkili ve sağlam kimlik doğrulama araçları kullanılmalı ve özellikle, çalınan kimlik bilgilerinin uygun ve yeterli kimlik doğrulamaya yol açmamasını sağlamak amacıyla anahtar kaynaklar için MFA kurulmalıdır. Çalışma alanı yöneticileri ayrıca “gerçek zamanlı” veri erişimi gibi tehditlerin azaltılmasına yardımcı olmak amacıyla önemli bulut hizmetleri için uygun oturum sona erme tarihini uygulamalıdır.
3. Üretim ortamlarını fidye yazılımı, veri silme ve ilgili saldırılardan başarılı bir şekilde kurtarmak için veri yedeklemelerini sürdürün ve iş sürekliliği yeteneklerini test edin. Yedekleme verilerini izole tutun. Kritik veriler için, ek yedeklilik sağlamak üzere çevrimdışı yedeklemeler yapın. Altyapı tahribatının veya benzer saldırıların üretim hizmetlerini etkilemediğinden emin olmak için “beyaz tahta” veya canlı iş sürekliliği testleri gerçekleştirerek sistem dayanıklılığını periyodik olarak test edin.
4. Bulut örneklerine karşı düzenli güvenlik açığı taramaları çalıştırın ve bulutta barındırılan önemli web uygulamalarına karşı sızma testleri gerçekleştirin. Yerel hizmetlerde, üçüncü taraf yazılımlarda ve web uygulamalarında belirlenen güvenlik açıklarını zamanında düzeltin.
5. Tespit ve yanıt platformlarını, saldırganların başarılı bir ele geçirmenin ardından harekete geçebilmesi için kritik hizmetlerin sağlandığı daha fazla sistemi kapsayacak şekilde genişletin.
6. Kuruluşunuzu savunurken daha hızlı ve daha güvenli hareket etmek için makine öğreniminden ve yapay zekadan yararlanın.
Mevcut sağlık hizmetleri siber güvenlik politikaları ve düzenlemeleri, siber güvenlik sorunlarının üstesinden gelmek için yeterli mi, yoksa yeni çerçevelere ihtiyaç var mı?
Pek çok kişinin hassas bilgilerin gizliliğini korumanın kuruluşun ve müşterilerinin güvenliğini sağlamak için yeterli olmadığını fark etmesiyle birlikte bir değişim görüyoruz. Her ne kadar iyi niyetli olsa da sağlık güvenliği yasaları ve düzenlemeleri, kuruluşların yeni teknolojileri tüketme hızına ayak uyduramıyor ve saldırganlar bunları etkilemenin yollarını keşfediyor. Paylaşılan güvenlik tehdidi istihbaratının miktarını artırmayı, sıfır güven gibi yeni güvenlik modellerinin benimsenmesini teşvik etmeyi, yazılım ve veriler için tedarik zincirlerinin güvenliği ve diğerleri.
Cesaret verici bir şekilde, bu çabaların kritik bir sonucu olarak güvenliği de dahil etmek için düzenleyicilerin dikkatinde değişiklikler olduğunu görüyoruz. Örneğin, 2023 tarihli Çok Amaçlı Ödenek Yasası, bağlı tıbbi cihazların güvenliğiyle ilgili iki önemli hüküm içermektedir; bunlara bağlı tıbbi cihazların siber güvenli olması ve pazara girdikten sonra bu şekilde kalması yönündeki yeni Federal İlaç İdaresi gerekliliği de dahildir. Bunun yapılmaması, FDA’nın yaptırım uygulamasına ve bu cihazların pazara ulaşmasını engellemesine olanak tanıyacaktır. AB’nin de benzer düzenlemeleri var.
Buna ek olarak FDA, geçen yıl hazırladığı Bilgisayar Yazılım Güvencesi modeli taslağında, tıbbi cihazların kalite, güvenlik ve güvenliğini yönetmeye yönelik risk temelli bir yaklaşımın geleceğinin sinyalini verdi. Kılavuz, bu sistemlerin tasarımında ve uygulanmasında güvenlik ve kalitenin yanı sıra güvenliğin de dikkate alınması gerektiğini açıkça ortaya koydu.
Bu düzenlemeler, ABD’de daha emniyetli, emniyetli ve dayanıklı bir sağlık sistemi oluşturmaya yönelik güçlü bir başlangıç noktasıdır ve diğerlerinin de uluslararası düzeyde benzer önlemleri benimsemesi nedeniyle; ancak etkili ve kalıcı bir değişim sağlamak için bu düzenleme çabalarının sektör işbirliği ve bilgi paylaşımıyla desteklenmesi gerekmektedir.