Avustralya’daki sağlık kuruluşlarının sistemleri ve verileri, kötü amaçlı aktörler için ana hedeflerdir, Avustralya sinyalleri müdürlüğü son zamanlarda sağlık ve sosyal yardımın 2023-24 yıllarında siber olaylar için en yüksek hükümet dışı rapor sektörü olduğunu belirtmektedir.
.jpg&h=420&w=748&c=0&s=0)
“Sağlık kuruluşları üç temel siber güvenlik zorluğuyla karşı karşıyadır: hizmetleri bozan ve hasta verilerini tehlikeye atan fidye yazılımı saldırıları; hassas hasta bilgilerini içerebilecek veri ihlalleri; ve hasta gizliliğini ve operasyonel şeffaflığı dengelemenin karmaşıklığı, ”diyor FPT yazılımı, sağlık dikey endüstrisinin küresel başkanı Chu Canh Chieu.
“FPT yazılımının Avustralya’da ve uluslararası alanda bu sektördeki kuruluşların bu endişeleri ele almasına yardımcı olduğu kanıtlanmış bir kaydı var.”
Güvenlik açıklarını gidermek için bir güvenlik değerlendirmesi
Önemli bir örnek, AWS tarafından dağıtılmış bir sisteme sahip bir telehealth servis sağlayıcısı için yapılan bir güvenlik değerlendirmesidir:
Doktorlar ve yöneticilerin hasta bilgilerini yönetmesi, istişareleri planlaması ve sağlık koşullarını izlemeleri için bir web portalı.
Hastaların ağırlık, kalp atış hızı ve kan basıncı gibi sağlık verilerini girmesi için bir iOS ve Android mobil uygulaması.
Proje, servis sağlayıcının hasta verilerini tehlikeye atabilecek ve operasyonel iş akışlarını bozabilecek güvenlik açıklarını belirlemesini ve iyileştirmesini sağlayan bir güvenlik değerlendirmesi içeriyordu. Projeyi üstlenmek için FPT yazılımı, sömürülebilir güvenlik açıklarını ortaya çıkarmak için sisteme bir saldırı simüle etti. Sorunları belirledikten sonra satıcı, sağlayıcıya iyileştirme rehberliği sağladı ve yeni güvenlik riskleri getirilmeden tüm güvenlik açıklarının hafifletilmesini sağlamak için sistemi yeniden test etti.
Değerlendirme sırasında FPT yazılımı, en kritik olanı sağlayıcının hesap kayıt sisteminde bir erişim kontrolü kusuru olan birden fazla güvenlik açığı keşfetti. Bu sayı, yetkisiz bireylerin uygun yetkilendirme yapmadan yönetici veya doktor hesapları oluşturmalarını ve kendi yaratılan hesapları kullanarak sistemdeki hastaların sağlık verilerine sınırsız erişim kazanmasını sağladı.
Güvenlik açığını tespit eden FPT yazılımı, aşağıdakileri içeren bir dizi iyileştirme önlemi uyguladı:
- Erişim kontrol tasarımını yeniden değerlendirme ve zorlamak için bir ara katman yazılımı çözümü geliştirme
Tüm yönetici seviyesi API istekleri için merkezi erişim kontrolü ve
- Sağlamak için erişim kontrolü uygulamasının kapsamlı bir incelemesini yapmak
İş gereksinimleriyle uyumlu.
Sonuç olarak, FPT yazılımı ve sağlayıcı, ürün güvenliğini sağlamak için gerekli zaman diliminde belirlenen güvenlik açıklarını düzeltebildi.
Güvenlik uyumluluğunun değerlendirilmesi
FPT yazılımı ayrıca, ABD Gıda ve İlaç İdaresi siber güvenlik gereksinimlerini karşılayıp karşılamadıklarını belirlemek için bir müşterinin sağlık ürünlerinin güvenlik değerlendirmesini de üstlenmiştir.
2023’ün sonunda ortaya çıkan yükümlülükler, müşterinin beş ürün için öngörüye gönderimde güvenlik testi belgeleri ve diğer materyaller göndermesini istedi.
FPT yazılım güvenlik değerlendirmesi:
- FDA gereksinimlerini karşılamak için bir penetrasyon testi senaryosunun uyarlanması.
- OWASP Masaüstü Uygulaması Güvenlik Top 10 ve OWASP Uygulama Güvenlik Doğrulama Standardına dayalı bir test kontrol listesi geliştirme
- Müşteri tarafından talep edilen ürünler üzerinde penetrasyon testi yapmak
- Güvenlik bulgularını ele almak için öneriler sunmak
- Dikiş sonrası bulguların doğrulanması
Katılım, tanımlamayı ve hafifletmeyi gerektiriyordu:
- Yedi Kritik Şiddet Sorunu
- 12 yüksek şiddet sorunu ve
- 66 Orta Şiddet Sorunu
Danışmanlık firması ayrıca, kaynak kodu yoluyla lisans çatlaması ve hassas bilgi sızıntısı gibi fikri mülkiyet zorluklarını, kimlik doğrulama eksikliği, erişim kontrolü ve güvensiz erişim kontrol tasarımı ve güvensiz bağlantı yöntemlerinin kullanımı ve gereksiz hizmetlerin açılması gibi iletişim sorunları gibi erişim kontrolü sorunlarını ele almak için güvenlik çözümleri tasarlamaktadır.
Sağlık kuruluşlarının bugün yaşadığı temel siber güvenlik zorlukları
Bu iki örnek, birçok sağlık kuruluşunun sistemlerindeki ve operasyonel süreçlerindeki köklü güvenlik açıkları nedeniyle siber güvenlik ile mücadele ettiğini göstermektedir. Birçok kuruluş, gerçek zamanlı tehdit algılamasından ziyade periyodik güvenlik denetimlerine güvenerek onları artan, tespit edilmemiş siber tehditlere maruz bırakır.
Ayrıca, otomatik algılama ve azaltma araçları olmadan, siber olaylara verilen yanıtlar ertelenebilir ve veri ihlalleri ve sistem kesinti riskini artırabilir. Sağlık kuruluşları ayrıca, hasar vermeden önce saldırıları tespit etmek ve durdurmak için gereken saldırı tespit ve önleme sistemlerinden sıklıkla yoktur ve hassas hasta bilgilerini riske atan modası geçmiş şifreleme yöntemlerine ve teminatsız veri transferlerine güvenmektedir.
Buna ek olarak, üçüncü taraf servis sağlayıcılar ve zayıf güvenlik kontrollerine sahip satıcılar siber tehditler için giriş noktaları haline gelebilirken, zayıf veya eski erişim kontrol politikaları ve çok faktörlü kimlik doğrulama eksikliği yetkisiz erişim riskini artırır. Son olarak, karmaşık düzenleyici gereksinimlere bağlı kalmak zor olabilir ve bazı sağlık kuruluşları için yasal ve itibar riski artıran güvenlik boşluklarına yol açabilir.
Ölçeklenebilir, uygun maliyetli çözümlerle proaktif siber güvenliği güçlendirmek
Penetrasyon testleri, güvenlik açıklarını kullanılmadan önce ortaya çıkarmada kritik bir rol oynayabilir ve FPT yazılım teklifleri, bir hizmet olarak ölçeklenebilir, çevik ve uygun maliyetli penetrasyon testi, kuruluşun yanıtlarını test etmek için saldırı senaryolarını simüle eden kırmızı takım egzersizlerini, boşlukları tanımlamak ve en iyi işleri en iyi şekilde en iyi şekilde işlevselleştirme ve entegre etmek için güvenlik kontrol egzersizlerini içerir.
İşletme ayrıca kuruluşların siber güvenlik programlarını iş hedefleri ile hizalamalarına ve SOC dahil olmak üzere SOC ve yönetilen genişletilmiş tespit ve yanıtı da dahil olmak üzere gelişen siber güvenlik zorluklarını ele almak için bir dizi en yeni çözüm sunmasına yardımcı olmak için stratejik bir değerlendirme sunmaktadır.
FPT yazılımı ile kuruluşlar, günümüzün hızlı değişen tehdit manzarasını etkili bir şekilde ele almak için eyleme geçirilebilir zeka, aktif savunma, uygun maliyetli güvenlik, 7/24 uzman izleme ve stratejik risk yönetiminden yararlanabilir.