3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Health-ISAC'den Denise Anderson ve Errol Weiss, Kritik Siber Sorunları Tartışıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
27 Mart 2024
Ayrıca bakınız: (Üçüncü Taraf Riski) Sağlık Durumuna İlişkin Açık Bir Bildiri Sürdürün
Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nin üst düzey liderleri, ABD sağlık ekosistemini etkileyen en yıkıcı siber olay olan Change Healthcare saldırısının, bir avuç büyük tedarikçiye güvenmenin getirdiği riskleri ortaya çıkardığını söyledi.
Health-ISAC'ın güvenlik şefi Errol Weiss, “Gerçek uyandırma çağrısı, sağlık sektörünün az sayıda hizmet sağlayıcıya ne kadar bağlı ve birbirine ne kadar bağımlı olduğunun anlaşılmasıydı” dedi.
“Sadece insanların reçeteleri dolduramaması veya sigorta bilgisi eksikliği nedeniyle prosedürlerin iptal edilmesi gibi birçok hasta sıkıntısı görmüyoruz, aynı zamanda hastaneler de bu sigortayı yaptıramadıkları için nakit akışı üzerinde bir etkiyle karşı karşıya kalıyorlardı.” Weiss, Information Security Media Group ile yaptığı video röportajında şunları söyledi (bkz: Huzurevi İflas İlan Etti, Son Siber Saldırıları Suçladı).
“Şimdi aniden nakit sıkıntısına düştüler ve mali sorunlar da yaşamaya başladılar. Bu seviyedeki birbirine bağlılık ve bağımlılık birçok insanı şaşırtan bir şeydi ve kesinlikle gelecekte de buna bakacağız.”
Health-ISAC CEO'su Denise Anderson, önceki kriz zamanlarında sağlık sektörünün ne kadar az sayıda büyük tedarikçiye bağımlı olduğunu fark ettiğini söyledi. Bu zamanların, 2017'deki Maria Kasırgası sonrası ve koronavirüs pandemisinin tedarik zincirlerini bozduğu dönemler gibi siber ile ilgili olmayan durumları da içerdiğini söyledi.
Ancak Change Healthcare olayı, büyük BT sağlayıcılarına olan bağımlılığın derecesini ve daha önce görülmemiş bir kapsamda domino etkisinin meydana gelebileceğini ortaya çıkardı.
“Birçok durumda kuruluşlar, belirli bir öğe veya süreç için tek bir satıcıya güvenen kuruluşların çoğunun yoğunlaşma riskinin farkında değildir” dedi.
“Dolayısıyla riskleri anlamak. Bunların yoğunlaşması, coğrafi veya başka türden olması gerçekten önemli ve bu risklerin ne olduğunu ve ardından bunlara nasıl yanıt verileceğini belirlemek için özel sektör ile kamu sektörü arasında bir ortaklık gerekiyor.”
ISMG ile yapılan video röportajında Anderson ve Weiss şunları da tartışıyor:
- Health-ISAC'ın tehdit istihbaratı çalışmaları ve yeni yetişen siber profesyonellere yönelik yeni staj programı da dahil olmak üzere faaliyetleri;
- Siber bilgi paylaşımı uygulamaları ve bunların önündeki engeller dünya genelinde nasıl farklılık gösteriyor;
- Sağlık sektörünü etkileyen başlıca saldırı vektörleri, güvenlik açıkları ve dolandırıcılıklar;
- Daha küçük ve kaynakları yetersiz olan sağlık hizmeti sağlayıcılarının karşılaştığı siber güvenlik zorlukları;
- Sağlık ve İnsani Hizmetler Bakanlığı'nın sağlık sektörüne yönelik siber güvenlik performans hedefleri.
Anderson, Ulusal ISAC Konseyine başkanlık ediyor. Ayrıca, İç Güvenlik Bakanlığı liderliğindeki koordineli izleme ve uyarı merkezi olan Ulusal Siber Güvenlik ve İletişim Entegrasyon Merkezi'nde sağlık sektörü temsilcisi olarak hizmet vermektedir. Anderson, Küresel Dayanıklılık Federasyonu'nun yönetim kurulunda görev yapıyor ve Siber Gelecek Vakfı'nın üyesidir. Health-ISAC'tan önce Finansal Hizmetler-ISAC'ın başkan yardımcısıydı.
Weiss'in bilgi güvenliği alanında 25 yılı aşkın deneyimi vardır. Kariyerine Ulusal Güvenlik Teşkilatı'nda gizli ağlara sızma testleri yaparak başladı. Citigroup'un Siber İstihbarat Merkezi'ni kurdu ve yönetti ve Bank of America'nın Küresel Bilgi Güvenliği ekibinde kıdemli başkan yardımcısı olarak görev yaptı.